This document is an excerpt from the EUR-Lex website
Document 32008D0633
Council Decision 2008/633/JHA of 23 June 2008 concerning access for consultation of the Visa Information System (VIS) by designated authorities of Member States and by Europol for the purposes of the prevention, detection and investigation of terrorist offences and of other serious criminal offences
Décision 2008/633/JAI du Conseil du 23 juin 2008 concernant l'accès en consultation au système d'information sur les visas (VIS) par les autorités désignées des États membres et par l'Office européen de police (Europol) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière
Décision 2008/633/JAI du Conseil du 23 juin 2008 concernant l'accès en consultation au système d'information sur les visas (VIS) par les autorités désignées des États membres et par l'Office européen de police (Europol) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière
JO L 218 du 13.8.2008, p. 129–136
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV) Ce document a été publié dans des éditions spéciales
(HR)
In force: This act has been changed. Current consolidated version: 11/06/2019
13.8.2008 |
FR |
Journal officiel de l'Union européenne |
L 218/129 |
DÉCISION 2008/633/JAI DU CONSEIL
du 23 juin 2008
concernant l'accès en consultation au système d'information sur les visas (VIS) par les autorités désignées des États membres et par l'Office européen de police (Europol) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière
LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité sur l'Union européenne, et notamment son article 30, paragraphe 1, point b), et son article 34, paragraphe 2, point c),
vu la proposition de la Commission,
vu l'avis du Parlement européen,
considérant ce qui suit:
(1) |
Aux termes de la décision 2004/512/CE du Conseil du 8 juin 2004 portant création du système d'information sur les visas (VIS) (1), le VIS a été conçu comme un système d'échange de données sur les visas entre les États membres. La mise en place du VIS représente une des grandes initiatives des politiques de l'Union européenne visant à créer un espace de liberté, de sécurité et de justice. Le VIS devrait avoir pour objectif d'améliorer la mise en œuvre de la politique commune en matière de visas, tout en contribuant à la sécurité intérieure et à la lutte contre le terrorisme dans un cadre clairement défini et contrôlé. |
(2) |
Lors de sa session du 7 mars 2005, le Conseil a adopté des conclusions dans lesquelles il déclarait que, «afin de remplir pleinement l'objectif d'amélioration de la sécurité intérieure et de la lutte contre le terrorisme», un accès au VIS devait être garanti aux autorités des États membres compétentes en matière de sécurité intérieure «dans le cadre de l'exercice de leurs compétences dans le domaine de la prévention et de la détection des infractions pénales et des enquêtes en la matière, y compris les actes ou menaces terroristes», «dans le strict respect des règles relatives à la protection des données à caractère personnel». |
(3) |
En matière de lutte contre le terrorisme et les autres formes graves de criminalité, il est essentiel que les services concernés disposent des informations les plus complètes et les plus récentes dans leurs domaines respectifs. Les services nationaux compétents des États membres ne sauraient s'acquitter de leurs missions sans détenir les informations nécessaires. Les informations contenues dans le VIS peuvent être nécessaires à la prévention du terrorisme et des formes graves de criminalité et à la lutte contre ces phénomènes et elles devraient donc pouvoir être consultées par les autorités désignées, dans les conditions définies dans la présente décision. |
(4) |
En outre, le Conseil européen a souligné que, dans le cadre de la coopération entre les autorités des États membres, lors d'enquêtes sur des activités criminelles transfrontalières, Europol jouait un rôle clé de soutien dans la prévention de la criminalité, ainsi que pour l'analyse et les enquêtes criminelles à l'échelle de l'Union. Dès lors, Europol devrait également avoir accès aux données du VIS dans le cadre de sa mission et conformément à la convention du 26 juillet 1995 portant création d'un Office européen de police (2). |
(5) |
La présente décision complète le règlement (CE) no 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour (règlement VIS) (3), dans la mesure où elle fournit une base juridique dans le cadre du titre VI du traité sur l'Union européenne, autorisant les autorités désignées et Europol à avoir accès au VIS. |
(6) |
Il convient de désigner les autorités compétentes des États membres ainsi que les points d'accès centraux par lesquels l'accès s'effectue et de détenir une liste des unités opérationnelles, au sein des autorités désignées, qui sont autorisées à avoir accès au VIS aux fins spécifiques de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves visées dans la décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres (4), ainsi qu'aux fins des enquêtes en la matière. Il est essentiel de faire en sorte que le personnel dûment habilité ayant un droit d'accès au VIS soit limité aux personnes qui «ont besoin d'en connaître» et qui ont une connaissance appropriée des règles en matière de sécurité et de protection des données. |
(7) |
Les demandes d'accès au VIS devraient être adressées aux points d'accès centraux par les unités opérationnelles des autorités désignées. Ces points d'accès centraux devraient ensuite traiter les demandes d'accès au VIS après avoir vérifié si toutes les conditions d'accès sont remplies. En cas d'urgence exceptionnelle, les points d'accès centraux devraient traiter immédiatement la demande et ne procéder aux vérifications qu'ultérieurement. |
(8) |
Dans le souci d'assurer la protection des données à caractère personnel et, en particulier, d'exclure un accès systématique, le traitement de données du VIS ne devrait avoir lieu que cas par cas, notamment lorsque l'accès en consultation est lié à un événement particulier, à un péril associé à une infraction grave ou à une ou à plusieurs personnes déterminées à l'égard desquelles il existe des raisons sérieuses de croire qu'elles commettront ou qu'elles ont commis une infraction terroriste ou une autre infraction pénale grave, ou qu'elles sont en relation avec une ou de telles personnes. Les autorités désignées et Europol ne devraient dès lors consulter les données contenues dans le VIS que lorsqu'ils ont des motifs raisonnables de penser que cette consultation fournira des informations qui faciliteront de manière significative la prévention ou la détection des infractions graves ou les enquêtes en la matière. |
(9) |
Une fois qu'elle sera entrée en vigueur, la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale devrait être applicable aux traitements de données à caractère personnel réalisés en vertu de la présente décision. Toutefois, jusqu'à ce que les règles fixées dans cette décision-cadre soient applicables, et afin de compléter ces règles, il convient de prévoir des dispositions appropriées pour assurer la protection requise des données. Chaque État membre devrait garantir dans son droit national un niveau de protection approprié des données correspondant au moins à celui résultant de la convention du Conseil de l'Europe du 28 janvier 1981 relative à la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et de la jurisprudence correspondante établie dans le cadre de l'article 8 de la convention de sauvegarde des droits de l'homme et des libertés fondamentales, ainsi que, pour les États membres qui l'ont ratifié, du protocole additionnel du 8 novembre 2001 à ladite convention du Conseil de l'Europe, et devrait tenir compte de la recommandation no R (87) 15 du comité des ministres du Conseil de l'Europe du 17 septembre 1987 visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police. |
(10) |
Dans un souci d'efficacité, l'application de la présente décision devrait être évaluée à intervalles réguliers. |
(11) |
Étant donné que les objectifs de la présente décision, à savoir la définition d'obligations et de conditions d'accès pour la consultation des données du VIS par les autorités désignées des États membres et par Europol, ne peuvent pas être réalisés de manière suffisante par les États membres et peuvent donc, en raison de l'ampleur et des effets de l'action, être mieux réalisés au niveau de l'Union européenne, le Conseil peut arrêter des mesures, conformément au principe de subsidiarité visé à l'article 2 du traité sur l'Union européenne et défini à l'article 5 du traité instituant la Communauté européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, la présente décision n'excède pas ce qui est nécessaire pour atteindre ces objectifs. |
(12) |
Conformément à l'article 47 du traité sur l'Union européenne, la présente décision n'affecte pas les compétences de la Communauté européenne, notamment celles prévues dans le règlement (CE) no 767/2008 et dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (5). |
(13) |
La présente décision constitue un développement des dispositions de l'acquis de Schengen auxquelles le Royaume-Uni ne participe pas, conformément à la décision 2000/365/CE du Conseil du 29 mai 2000 relative à la demande du Royaume-Uni de Grande-Bretagne et d'Irlande du Nord de participer à certaines dispositions de l'acquis de Schengen (6). Par conséquent, le Royaume-Uni ne participe pas à l'adoption de cet acte et n'est pas lié par celui-ci ni soumis à son application. |
(14) |
La présente décision constitue un développement des dispositions de l'acquis de Schengen auxquelles l'Irlande ne participe pas, conformément à la décision 2002/192/CE du Conseil du 28 février 2002 relative à la demande de l'Irlande de participer à certaines dispositions de l'acquis de Schengen (7). Par conséquent, l'Irlande ne participe pas à l'adoption de cet acte et n'est pas liée par celui-ci ni soumise à son application. |
(15) |
Toutefois, conformément à la décision-cadre 2006/960/JAI du Conseil du 18 décembre 2006 relative à la simplification de l'échange d'informations et de renseignements entre les services répressifs des États membres de l'Union européenne (8), les informations contenues dans le VIS peuvent être communiquées au Royaume-Uni et à l'Irlande par les autorités compétentes des États membres dont les autorités désignées ont accès au VIS en vertu de la présente décision, et les informations tenues dans les registres nationaux relatifs aux visas du Royaume-Uni et de l'Irlande peuvent être transmises aux services répressifs compétents des autres États membres. Toute forme d'accès direct au VIS par les autorités centrales du Royaume-Uni et de l'Irlande nécessiterait, compte tenu de l'état actuel de la participation de ces pays à l'acquis de Schengen, la conclusion d'un accord entre la Communauté et ces États membres, qui pourrait devoir être complété par d'autres règles précisant les conditions et procédures régissant un tel accès. |
(16) |
En ce qui concerne l'Islande et la Norvège, la présente décision constitue, exception faite de l'article 7, un développement des dispositions de l'acquis de Schengen au sens de l'accord conclu par le Conseil de l'Union européenne, la République d'Islande et le Royaume de Norvège sur l'association de ces deux États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (9), qui relève du domaine visé à l'article 1er, point B, de la décision 1999/437/CE du Conseil (10) relative à certaines modalités d'application dudit accord. |
(17) |
En ce qui concerne la Suisse, la présente décision constitue, exception faite de l'article 7, un développement des dispositions de l'acquis de Schengen au sens de l'accord signé par l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen, qui relève du domaine visé à l'article 1er, point B, de la décision 1999/437/CE en liaison avec l'article 4, paragraphe 1, de la décision 2004/849/CE du Conseil (11). |
(18) |
La présente décision constitue, à l'exception de son article 6, un acte fondé sur l'acquis de Schengen ou qui s'y rapporte, au sens de l'article 3, paragraphe 2, de l'acte d'adhésion de 2003 et de l'article 4, paragraphe 2, de l'acte d'adhésion de 2005. |
(19) |
La présente décision respecte les droits fondamentaux et observe les principes inscrits notamment dans la Charte des droits fondamentaux de l'Union européenne, |
DÉCIDE:
Article premier
Objet et champ d'application
La présente décision fixe les conditions dans lesquelles les autorités désignées des États membres et l'Office européen de police (Europol) peuvent avoir accès en consultation au système d'information sur les visas (VIS), aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière.
Article 2
Définitions
1. Aux fins de la présente décision, on entend par:
a) |
«système d'information sur les visas (VIS)»: le système d'information sur les visas institué par la décision 2004/512/CE; |
b) |
«Europol»: l'Office européen de police institué par la convention du 26 juillet 1995 portant création d'un Office européen de police (la «convention Europol»); |
c) |
«infractions terroristes»: les infractions définies par le droit national qui correspondent ou sont équivalentes aux infractions visées aux articles 1er à 4 de la décision-cadre 2002/475/JAI du Conseil du 13 juin 2002 relative à la lutte contre le terrorisme (12); |
d) |
«infractions pénales graves»: les formes de criminalité qui correspondent ou sont équivalentes à celles visées à l'article 2, paragraphe 2, de la décision-cadre 2002/584/JAI; |
e) |
«autorités désignées»: les autorités qui sont chargées de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi que des enquêtes en la matière, et qui sont désignées par les États membres en vertu de l'article 3. |
2. Les définitions du règlement (CE) no 767/2008 sont également applicables.
Article 3
Autorités et points d'accès centraux désignés
1. Les États membres désignent les autorités visées à l'article 2, paragraphe 1, point e), qui sont autorisées à consulter les données du VIS en vertu de la présente décision.
2. Chaque État membre tient une liste des autorités désignées. Au plus tard le 2 décembre 2008, chaque État membre communique la liste de ses autorités désignées dans une déclaration adressée à la Commission et au secrétariat général du Conseil et peut à tout moment modifier ou remplacer sa déclaration par une autre.
3. Chaque État membre désigne le ou les points d'accès centraux par lesquels l'accès s'effectue. Les États membres peuvent désigner plus d'un point d'accès central afin de tenir compte de leur structure organisationnelle et administrative et de s'acquitter de leurs obligations constitutionnelles ou légales. Au plus tard le 2 décembre 2008, chaque État membre notifie son ou ses points d'accès centraux dans une déclaration adressée à la Commission et au secrétariat général du Conseil et peut à tout moment modifier ou remplacer sa déclaration par une autre.
4. La Commission publie les déclarations visées aux paragraphes 2 et 3 au Journal officiel de l'Union européenne.
5. Au niveau national, chaque État membre tient une liste des unités opérationnelles qui, au sein des autorités désignées, sont autorisées à avoir accès au VIS par l'intermédiaire du ou des points d'accès centraux.
6. Seul le personnel dûment habilité des unités opérationnelles, ainsi que du ou des points d'accès centraux, sont autorisés à avoir accès au VIS conformément à l'article 4.
Article 4
Procédure d'accès au VIS
1. Lorsque les conditions énoncées à l'article 5 sont remplies, les unités opérationnelles visées à l'article 3, paragraphe 5, présentent au ou aux points d'accès centraux visés à l'article 3, paragraphe 3, par écrit ou par voie électronique, une demande d'accès au VIS, qui est motivée. Lorsqu'ils reçoivent une demande d'accès, le ou les points d'accès centraux vérifient que les conditions d'accès visées à l'article 5 sont remplies. Si toutes les conditions d'accès sont remplies, le personnel dûment habilité du ou des points d'accès centraux traite la demande. Les données du VIS consultées sont communiquées aux unités opérationnelles visées à l'article 3, paragraphe 5, de telle sorte que la sécurité des données n'est pas compromise.
2. En cas d'urgence exceptionnelle, le ou les points d'accès centraux peuvent recevoir des demandes présentées par voie écrite, électronique ou orale. Dans ce cas, ils traitent immédiatement la demande et ne vérifient qu'ultérieurement si toutes les conditions énoncées à l'article 5 sont remplies, y compris s'il y a eu urgence exceptionnelle. Cette vérification ex post a lieu dans un délai raisonnable après le traitement de la demande.
Article 5
Conditions d'accès aux données du VIS par les autorités désignées des États membres
1. L'accès au VIS en consultation est accordé aux autorités désignées, dans la limite de leurs pouvoirs et si les conditions suivantes sont réunies:
a) |
l'accès en consultation doit être nécessaire à la prévention, à la détection d'infractions terroristes ou d'autres infractions pénales graves, ou aux enquêtes en la matière; |
b) |
un cas spécifique doit rendre l'accès en consultation nécessaire; |
c) |
s'il existe des motifs raisonnables de considérer que la consultation des données du VIS contribuera de manière significative à la prévention ou à la détection des infractions en question, ou aux enquêtes en la matière. |
2. La consultation du VIS est limitée aux recherches à l'aide de l'une des données suivantes du VIS mentionnées dans le dossier de demande de visa:
a) |
nom, nom à la naissance [nom(s) antérieur(s)]; prénom(s); sexe; date, lieu et pays de naissance; |
b) |
nationalité actuelle et nationalité à la naissance; |
c) |
type et numéro du document de voyage, autorité l'ayant délivré et dates de délivrance et d'expiration; |
d) |
destination principale et durée du séjour prévu; |
e) |
but du voyage; |
f) |
dates d'arrivée et de départ prévues; |
g) |
première frontière d'entrée prévue ou itinéraire de transit; |
h) |
résidence; |
i) |
empreintes digitales; |
j) |
type de visa et numéro de la vignette visa; |
k) |
coordonnées de la personne adressant l'invitation et/ou susceptible de prendre en charge les frais de subsistance du demandeur durant le séjour. |
3. La consultation du VIS, en cas de réponse positive, donne accès à l'ensemble des données énumérées au paragraphe 2 ainsi que:
a) |
aux autres données extraites du formulaire de demande; |
b) |
aux photographies; |
c) |
aux données saisies concernant tout visa délivré, refusé, annulé, retiré ou prorogé. |
Article 6
Conditions d'accès aux données du VIS par les autorités désignées d'un État membre à l'égard duquel le règlement (CE) no 767/2008 n'est pas encore entré en vigueur
1. L'accès au VIS en consultation est accordé aux autorités désignées d'un État membre à l'égard duquel le règlement (CE) no 767/2008 n'est pas encore entré en vigueur, dans les limites de leurs pouvoirs, et:
a) |
dans des conditions identiques à celles visées à l'article 5, paragraphe 1; et |
b) |
sur demande dûment motivée, adressée par écrit ou par voie électronique à une autorité désignée d'un État membre auquel le règlement (CE) no 767/2008 est applicable; cette autorité demande ensuite au ou aux points d'accès centraux nationaux de consulter le VIS. |
2. Un État membre à l'égard duquel le règlement (CE) no 767/2008 n'est pas encore entré en vigueur communique ses informations en matière de visas aux États membres auxquels le règlement (CE) no 767/2008 est applicable sur demande effectuée par écrit ou par voie électronique, dûment motivée, si les conditions énoncées à l'article 5, paragraphe 1, sont remplies.
3. L'article 8, paragraphe 1 et paragraphes 3 à 6, l'article 9, paragraphe 1, l'article 10, paragraphes 1 et 3, l'article 12 et l'article 13, paragraphes 1 et 3, s'appliquent mutatis mutandis.
Article 7
Conditions de l'accès d'Europol aux données du VIS
1. L'accès au VIS en consultation est accordé à Europol, dans les limites de sa mission:
a) |
lorsqu'il est nécessaire à l'exécution de ses fonctions, prévues à l'article 3, paragraphe 1, point 2), de la convention Europol et aux fins des travaux spécifiques d'analyse visés à l'article 10 de ladite convention; |
b) |
lorsqu'il est nécessaire à l'exécution de ses fonctions, prévues à l'article 3, paragraphe 1, point 2), de la convention Europol et à la réalisation d'une analyse de caractère général et de type stratégique, telle que prévue à l'article 10 de la convention Europol, à condition que les données du VIS soient rendues anonymes par Europol avant ce traitement et conservées sous une forme ne permettant plus d'identifier la personne concernée. |
2. L'article 5, paragraphes 2 et 3, de la présente décision s'applique mutatis mutandis.
3. Aux fins de la présente décision, Europol désigne une unité spécialisée dont les agents dûment habilités constituent le point d'accès central chargé de consulter le VIS.
4. Le traitement des informations obtenues par Europol lors de la consultation du VIS est soumis à l'accord de l'État membre qui les a saisies dans le système. Cet accord est obtenu par l'intermédiaire de l'unité nationale Europol de cet État membre.
Article 8
Protection des données à caractère personnel
1. Le traitement des données à caractère personnel consultées en vertu de la présente décision est soumis aux règles ci-après et au droit national de l'État membre requérant. S'agissant de ce traitement, chaque État membre garantit dans son droit national un niveau de protection approprié des données correspondant au moins à celui résultant de la convention du Conseil de l'Europe du 28 janvier 1981 relative à la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, ainsi que, pour les États membres qui l'ont ratifié, du protocole additionnel du 8 novembre 2001, et tient compte de la recommandation no R (87) 15 du comité des ministres du Conseil de l'Europe visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police du 17 septembre 1987.
2. Le traitement de données à caractère personnel réalisé par Europol en vertu de la présente décision est conforme à la convention Europol et aux règles adoptées en application de celle-ci et contrôlé par l'autorité de contrôle commune indépendante instituée par l'article 24 de ladite convention.
3. Les données à caractère personnel obtenues du VIS en vertu de la présente décision sont traitées uniquement aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes et des poursuites en la matière.
4. Les données à caractère personnel obtenues du VIS en vertu de la présente décision ne sont pas transférées à des pays tiers ou à des organisations internationales ou mises à leur disposition. Toutefois, en cas d'urgence exceptionnelle, ces données peuvent être transférées à des pays tiers ou à des organisations internationales ou mises à leur disposition exclusivement aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves et dans les conditions visées à l'article 5, paragraphe 1, de la présente décision, sous réserve de l'accord de l'État membre qui a introduit les données dans le VIS et conformément au droit national de l'État membre qui transfère les données ou les met à disposition. Conformément à leur droit national, les États membres s'assurent que des relevés de ces transferts sont établis et les mettent, sur demande, à la disposition des autorités nationales chargées de la protection des données. Le transfert de données par l'État membre qui a saisi les données dans le VIS conformément au règlement (CE) no 767/2008 est soumis au droit national de cet État membre.
5. L'organe ou les organes compétents qui, conformément au droit national, sont responsables du contrôle du traitement des données à caractère personnel par les autorités désignées en vertu de la présente décision contrôlent la licéité du traitement des données à caractère personnel en application de la présente décision. Les États membres veillent à ce que ces organes disposent des ressources suffisantes pour s'acquitter des tâches qui leur sont confiées par la présente décision.
6. Les organes visés au paragraphe 5 veillent à ce que tous les quatre ans au moins un audit du traitement des données à caractère personnel soit effectué en application de la présente décision, le cas échéant conformément aux normes internationales d'audit.
7. Les États membres et Europol permettent à l'organe ou aux organes compétents visés aux paragraphes 2 et 5 d'obtenir les informations nécessaires à l'exécution des tâches qui leur sont confiées en application du présent article.
8. Avant d'être autorisé à traiter des données stockées dans le VIS, le personnel des autorités ayant un droit d'accès au VIS reçoit une formation appropriée sur les règles en matière de sécurité et de protection des données et est informé des infractions et des sanctions pénales éventuelles en la matière.
Article 9
Sécurité des données
1. L'État membre responsable assure la sécurité des données pendant leur transmission aux autorités désignées et leur réception par celles-ci.
2. Chaque État membre adopte les mesures de sécurité nécessaires en ce qui concerne les données devant être extraites du VIS en vertu de la présente décision puis stockées, notamment pour:
a) |
assurer la protection physique des données, notamment en élaborant des plans d'urgence pour la protection des infrastructures critiques; |
b) |
refuser l'accès des personnes non autorisées aux installations nationales dans lesquelles l'État membre stocke des données (contrôles à l'entrée de l'installation); |
c) |
empêcher toute lecture, copie, modification ou tout effacement non autorisés de supports de données (contrôle des supports de données); |
d) |
empêcher l'inspection, la modification ou l'effacement non autorisés de données à caractère personnel stockées (contrôle du stockage); |
e) |
empêcher le traitement non autorisé de données du VIS (contrôle du traitement des données); |
f) |
garantir que les personnes autorisées à accéder au VIS n'aient accès qu'aux données pour lesquelles elles ont une autorisation d'accès et uniquement grâce à des identités d'utilisateur individuelles et uniques ainsi qu'à des modes d'accès confidentiels (contrôle de l'accès aux données); |
g) |
garantir que toutes les autorités ayant un droit d'accès au VIS créent des profils décrivant les tâches et responsabilités qui incombent aux personnes habilitées à accéder aux données et à les consulter et mettent sans tarder et à leur demande ces profils à la disposition des autorités de contrôle nationales visées à l'article 8, paragraphe 5 (profils des membres du personnel); |
h) |
garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel peuvent être transmises par des installations de transmission de données (contrôle de la transmission); |
i) |
garantir qu'il puisse être vérifié et constaté quelles données ont été extraites du VIS, à quel moment, par qui et à quelle fin (contrôle de l'enregistrement des données); |
j) |
empêcher, en particulier par des techniques de cryptage adaptées, que des données à caractère personnel puissent être lues et copiées de façon non autorisée lors de leur transmission à partir du VIS (contrôle du transport); |
k) |
contrôler l'efficacité des mesures de sécurité visées au présent paragraphe et prendre les mesures d'organisation en matière de contrôle interne qui sont nécessaires au respect de la présente décision (autocontrôle). |
Article 10
Responsabilité
1. Toute personne ou tout État membre ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions de la présente décision a le droit d'obtenir réparation de l'État membre responsable du dommage subi. Cet État membre est exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait dommageable ne lui est pas imputable.
2. Si le non-respect, par un État membre, des obligations qui lui incombent en vertu de la présente décision entraîne un dommage pour le VIS, cet État membre en est tenu responsable, sauf si un autre État membre n'a pas pris de mesures raisonnables pour prévenir le dommage ou pour en atténuer les effets.
3. Les actions en réparation intentées contre un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par les dispositions du droit interne de l'État membre défendeur.
Article 11
Autocontrôle
Les États membres veillent à ce que chaque autorité autorisée à avoir accès aux données du VIS prenne les mesures nécessaires pour se conformer à la présente décision et coopère, le cas échéant, avec l'organe de contrôle national ou les organes de contrôle nationaux visé(s) à l'article 8, paragraphe 5.
Article 12
Sanctions
Les États membres prennent les mesures nécessaires pour que toute utilisation non conforme aux dispositions de la présente décision des données introduites dans le VIS soit passible de sanctions, y compris administratives et/ou pénales, qui soient effectives, proportionnées et dissuasives.
Article 13
Conservation des données du VIS dans les fichiers nationaux
1. Les données extraites du VIS peuvent être conservées dans les fichiers nationaux uniquement si cela est nécessaire dans un cas individuel, que cela est conforme aux fins exposées dans la présente décision et aux dispositions juridiques pertinentes, y compris celles relatives à la protection des données, et pour une durée n'excédant pas la durée nécessaire dans le cas considéré.
2. Le paragraphe 1 n'affecte pas les dispositions du droit national des États membres relatives à l'introduction dans leurs fichiers nationaux, par les autorités désignées, de données que l'État membre a introduites dans le VIS conformément au règlement (CE) no 767/2008.
3. Toute utilisation de données non conforme aux paragraphes 1 et 2 est considérée comme une utilisation frauduleuse en vertu de la législation nationale de chaque État membre.
Article 14
Droit d'accès, de rectification et d'effacement
1. Le droit de toute personne d'accéder aux données la concernant obtenues du VIS en vertu de la présente décision s'exerce dans le respect du droit de l'État membre auprès duquel elle le fait valoir.
2. Si le droit national le prévoit, l'autorité de contrôle nationale décide si des informations doivent être communiquées et selon quelles modalités.
3. Un État membre autre que celui qui a introduit les données dans le VIS conformément au règlement (CE) no 767/2008 ne peut communiquer des informations concernant ces données que s'il donne préalablement à l'État membre ayant introduit les données la possibilité de prendre position.
4. La communication des informations à la personne concernée est refusée si cette non-communication est indispensable à l'exécution d'une tâche légale en liaison avec les données ou à la protection des droits et des libertés des tiers.
5. Toute personne a le droit de faire rectifier des données la concernant qui sont inexactes ou de faire effacer des données la concernant qui sont stockées illégalement. Si les autorités désignées reçoivent une demande dans ce sens ou si elles disposent d'éléments tendant à démontrer que les données traitées dans le VIS sont erronées, elles en informent immédiatement l'autorité chargée des visas de l'État membre qui a introduit les données dans le VIS, qui vérifie les données en question et, au besoin, les rectifie ou les efface sans délai, conformément à l'article 24 du règlement (CE) no 767/2008.
6. La personne concernée est informée dans les meilleurs délais, et en tout cas au plus tard soixante jours après la date à laquelle elle a demandé à y avoir accès, ou plus tôt si la législation nationale prévoit un délai plus court.
7. La personne concernée est informée du suivi donné à l'exercice de son droit de rectification et d'effacement dans les meilleurs délais, et en tout cas au plus tard trois mois après la date à laquelle elle a demandé la rectification ou l'effacement, ou plus tôt si la législation nationale prévoit un délai plus court.
8. Dans chaque État membre, toute personne a le droit de former un recours ou de déposer une plainte devant les autorités ou les juridictions compétentes de l'État membre qui lui a refusé le droit d'accès ou le droit de rectification ou d'effacement des données la concernant prévu au présent article.
Article 15
Coûts
Chaque État membre, de même qu'Europol, met en place et gère, à ses propres frais, l'infrastructure technique nécessaire à la mise en œuvre de la présente décision et prend en charge les coûts résultant de l'accès au VIS aux fins de la présente décision.
Article 16
Établissement de relevés
1. Chaque État membre et Europol veillent à ce que toutes les opérations de traitement des données résultant de la consultation du VIS en vertu de la présente décision soient enregistrées afin de pouvoir contrôler l'admissibilité de la consultation et la licéité du traitement des données, d'assurer un autocontrôle et le bon fonctionnement du système, ainsi que l'intégrité et la sécurité des données.
Ces relevés comportent les informations suivantes:
a) |
l'objet précis de l'accès en consultation visé à l'article 5, paragraphe 1, point a), y compris le type d'infraction terroriste ou autre infraction pénale grave concerné, et, pour Europol, l'objet précis de l'accès en consultation visé à l'article 7, paragraphe 1; |
b) |
la référence du fichier national concerné; |
c) |
la date et l'heure précise de la transmission; |
d) |
le cas échéant, la mention du recours à la procédure visée à l'article 4 bis, paragraphe 2; |
e) |
les critères de recherche utilisés pour la consultation; |
f) |
la nature des données consultées; |
g) |
conformément aux dispositions nationales ou à celles de la convention Europol, la référence de l'agent qui a effectué la consultation et celle de l'agent qui a ordonné la consultation ou la transmission. |
2. Les relevés contenant des données à caractère personnel ne sont utilisés que pour le contrôle de la licéité du traitement des données au regard de la protection des données, ainsi que pour garantir la sécurité des données. Seuls les relevés exempts de données à caractère personnel peuvent être utilisés aux fins du suivi et de l'évaluation mentionnés à l'article 17 de la présente décision.
3. Ces relevés sont protégés par des mesures appropriées contre tout accès non autorisé et tout abus et sont effacés un an après l'expiration de la durée de conservation visée à l'article 23, paragraphe 1, du règlement (CE) no 767/2008, sauf s'ils sont nécessaires dans le cadre d'une procédure de contrôle visée au paragraphe 2, lorsque celle-ci est déjà engagée.
Article 17
Suivi et évaluation
1. L'instance gestionnaire visée dans le règlement (CE) no 767/2008 veille à ce que des systèmes soient mis en place pour contrôler le fonctionnement du VIS en application de la présente décision par rapport aux objectifs fixés en termes de résultats, de coût-efficacité, de sécurité et de qualité du service.
2. Aux fins de la maintenance technique, l'instance gestionnaire a accès aux informations nécessaires concernant les opérations de traitement effectuées dans le VIS.
3. Deux ans après le début de l'activité du VIS et ensuite tous les deux ans, l'instance gestionnaire soumet au Parlement européen, au Conseil et à la Commission un rapport sur le fonctionnement technique du VIS en application de la présente décision. Ce rapport comporte notamment des informations sur les performances du VIS par rapport à des indicateurs quantitatifs définis au préalable par la Commission, et en particulier sur la nécessité de l'article 4, paragraphe 2, et sur le recours à celui-ci.
4. Trois ans après le début de l'activité du VIS et ensuite tous les quatre ans, la Commission soumet un rapport d'évaluation global du VIS en application de la présente décision. Ce rapport comprend notamment un examen des résultats obtenus par rapport aux objectifs fixés, détermine si les principes de base qui sous-tendent la présente décision restent valables et évalue la mise en œuvre de la présente décision par rapport au VIS, la sécurité du VIS, et en tire toutes les conséquences pour le fonctionnement futur. La Commission transmet les rapports d'évaluation au Parlement européen et au Conseil.
5. Les États membres et Europol communiquent à l'instance gestionnaire et à la Commission les informations nécessaires pour établir les rapports visés aux paragraphes 3 et 4. Ces informations ne peuvent jamais porter préjudice aux méthodes de travail ni fournir des indications sur les sources, les membres du personnel ou les enquêtes des autorités désignées.
6. L'instance gestionnaire fournit à la Commission les informations nécessaires pour élaborer les rapports d'évaluation visés au paragraphe 4.
7. Au cours de la période transitoire avant que l'instance gestionnaire n'assume ses responsabilités, la Commission est chargée d'élaborer et de présenter les rapports visés au paragraphe 3.
Article 18
Entrée en vigueur et date d'application
1. La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
2. La présente décision prend effet à compter de la date qui sera fixée par le Conseil lorsque la Commission l'aura informé que le règlement (CE) no 767/2008 est entré en vigueur et est pleinement applicable.
Le secrétariat général du Conseil publie cette date au Journal officiel de l'Union européenne.
Fait à Luxembourg, le 23 juin 2008.
Par le Conseil
Le président
I. JARC
(1) JO L 213 du 15.6.2004, p. 5.
(2) JO C 316 du 27.11.1995, p. 2. Convention modifiée en dernier lieu par le protocole modifiant ladite convention (JO C 2 du 6.1.2004, p. 3).
(3) Voir page 60 du présent Journal officiel.
(4) JO L 190 du 18.7.2002, p. 1.
(5) JO L 281 du 23.11.1995, p. 31. Directive modifiée par le règlement (CE) no 1882/2003 (JO L 284 du 31.10.2003, p. 1).
(6) JO L 131 du 1.6.2000, p. 43.
(7) JO L 64 du 7.3.2002, p. 20.
(8) JO L 386 du 18.12.2006, p. 89.
(9) JO L 176 du 10.7.1999, p. 36.
(10) JO L 176 du 10.7.1999, p. 31.
(11) Décision 2004/849/CE du Conseil du 25 octobre 2004 relative à la signature, au nom de l'Union européenne, et à l'application provisoire de certaines dispositions de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (JO L 368 du 15.12.2004, p. 26).
(12) JO L 164 du 22.6.2002, p. 3.