02017R2226 — FR — 11.06.2019 — 002.001

---

Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document

►B

RÈGLEMENT (UE) 2017/2226 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) no 767/2008 et (UE) no 1077/2011 (JO L 327 du 9.12.2017, p. 20)

Modifié par:

		Journal officiel
		n°	page	date
►M1	RÈGLEMENT (UE) 2018/1240 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 12 septembre 2018	L 236	1	19.9.2018
►M2	RÈGLEMENT (UE) 2019/817 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 20 mai 2019	L 135	27	22.5.2019

Rectifié par:

►C1	Rectificatif, JO L 258 du 15.10.2018, p.  5 (2017/2226)

---

▼B

RÈGLEMENT (UE) 2017/2226 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 30 novembre 2017

portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) no 767/2008 et (UE) no 1077/2011

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet

1.  Le présent règlement crée un «système d’entrée/de sortie» (EES) destiné à:

2.  Aux fins de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves, et des enquêtes en la matière, le présent règlement fixe également les conditions dans lesquelles les autorités désignées des États membres et Europol peuvent être autorisés à avoir accès à l’EES pour le consulter.

▼M2

3.  En stockant des données d'identité, des données du document de voyage et des données biométriques dans le répertoire commun de données d'identité (CIR) établi par l'article 17, paragraphe 1, du règlement (UE) 2019/817 du Parlement européen et du Conseil ( 1 ), l'EES contribue à faciliter l'identification correcte des personnes enregistrées dans l'EES et à aider à cette identification aux conditions et pour les finalités prévues à l'article 20 dudit règlement.

▼B

Article 2

Champ d’application

1.  Le présent règlement s’applique:

2.  Le présent règlement s’applique aussi aux ressortissants de pays tiers auxquels l’entrée pour un court séjour sur le territoire des États membres a été refusée en vertu de l’article 14 du règlement (UE) 2016/399.

3.  Le présent règlement ne s’applique pas:

▼C1

▼B

4.  Les dispositions du présent règlement relatives au calcul de la durée du séjour autorisé et à la production de signalements à l’intention des États membres lorsque le séjour autorisé a expiré ne s’appliquent pas aux ressortissants de pays tiers qui:

Article 3

Définitions

1.  Aux fins du présent règlement, on entend par:

▼M2

▼M2

▼B

▼M2

▼B

2.  Les termes définis à l’article 4 du règlement (UE) 2016/679 ont la même signification dans le présent règlement pour autant que le traitement de données à caractère personnel soit effectué par les autorités des États membres aux fins prévues à l’article 6, paragraphe 1, du présent règlement.

3.  Les termes définis à l’article 3 de la directive (UE) 2016/680 ont la même signification dans le présent règlement pour autant que le traitement de données à caractère personnel soit effectué par les autorités des États membres aux fins prévues à l’article 6, paragraphe 2, du présent règlement.

Article 4

Frontières auxquelles l’EES est mis en œuvre et utilisation de l’EES à ces frontières

1.  L’EES est mis en œuvre aux frontières extérieures.

2.  Les États membres qui appliquent l’acquis de Schengen dans son intégralité introduisent l’EES à leurs frontières intérieures avec les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES.

3.  Les États membres qui appliquent l’acquis de Schengen dans son intégralité et les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES introduisent l’EES à leurs frontières intérieures avec les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité et qui ne mettent pas en œuvre l’EES.

4.  Les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES introduisent l’EES à leurs frontières intérieures au sens de l’article 2, point 1) b) et c), du règlement (UE) 2016/399.

5.  Par dérogation à l’article 23, paragraphe 2, troisième et quatrième alinéas, et à l’article 27, un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES introduit l’EES sans fonctionnalités biométriques à ses frontières intérieures terrestres avec un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES. Lorsque, à ces frontières intérieures, un ressortissant de pays tiers n’a pas encore été enregistré dans l’EES, le dossier individuel de ce ressortissant de pays tiers est créé sans enregistrer de données biométriques. Les données biométriques sont ajoutées au prochain point de passage frontalier auquel l’EES est mis en œuvre avec les fonctionnalités biométriques.

Article 5

Configuration de l’EES

L’eu-LISA développe l’EES et en assure la gestion opérationnelle, y compris les fonctionnalités liées au traitement des données biométriques visées à l’article 16, paragraphe 1, point d), et à l’article 17, paragraphe 1, points b) et c), ainsi que le niveau de sécurité adéquat de l’EES.

Article 6

Objectifs de l’EES

1.  En enregistrant et en stockant des données dans l’EES et en donnant aux États membres l’accès à ces données, l’EES a pour objectifs:

▼M2

▼B

2.  En donnant l’accès aux autorités désignées conformément aux conditions fixées dans le présent règlement, l’EES a pour objectifs:

3.  Le cas échéant, l’EES aide les États membres à mettre en œuvre leurs programmes nationaux d’allègement des formalités, mis en place conformément à l’article 8 quinquies du règlement (UE) 2016/399, afin de faciliter le franchissement des frontières pour les ressortissants de pays tiers:

Article 7

Architecture technique de l’EES

1.  L’EES se compose des éléments suivants:

▼M2

▼B

▼M2

▼M2

1 bis.  Le CIR contient les données visées à l'article 16, paragraphe 1, points a) à d), à l'article 17, paragraphe 1, points a), b) et c), et à l'article 18, paragraphes 1 et 2. Les autres données de l'EES sont stockées dans le système central de l'EES.

▼B

2.  Le système central de l’EES est hébergé par l’eu-LISA sur ses sites techniques. Il fournit les fonctionnalités prévues dans le présent règlement conformément aux conditions de disponibilité, de qualité et de rapidité visées à l’article 37, paragraphe 3.

3.  Sans préjudice de la décision 2008/602/CE de la Commission ( 8 ), certains composants matériels et logiciels de l’infrastructure de communication de l’EES sont partagés avec l’infrastructure de communication du VIS visée à l’article 1er, paragraphe 2, de la décision 2004/512/CE. La séparation logique des données du VIS et des données de l’EES est assurée.

Article 8

Interopérabilité avec le VIS

1.  L’eu-LISA établit un canal de communication sécurisé entre le système central de l’EES et le système central du VIS afin de permettre l’interopérabilité entre l’EES et le VIS. La consultation directe entre l’EES et le VIS n’est possible que si elle est prévue à la fois par le présent règlement et par le règlement (CE) no 767/2008. L’extraction des données relatives aux visas depuis le VIS, leur importation dans l’EES et la mise à jour des données du VIS dans l’EES constituent un processus automatisé une fois que l’opération en question aura été lancée par l’autorité concernée.

2.  L’interopérabilité permet aux autorités frontalières utilisant l’EES de consulter le VIS à partir de l’EES afin:

3.  L’interopérabilité permet aux autorités chargées des visas utilisant le VIS de consulter l’EES à partir du VIS afin:

4.  En ce qui concerne l’utilisation du service internet de l’EES visé à l’article 13, la base de données distincte en lecture seule visée à l’article 13, paragraphe 5, est mise à jour quotidiennement par le VIS au moyen d’une extraction à sens unique des sous-ensembles minimaux nécessaires de données du VIS.

Article 9

Accès à l’EES aux fins d’introduction, de modification, d’effacement et de consultation de données

1.  L’accès à l’EES afin d’introduire, de modifier, d’effacer et de consulter les données visées à l’article 14 et aux articles 16 à 20 est exclusivement réservé au personnel dûment autorisé des autorités nationales de chaque État membre qui sont compétentes pour les finalités définies aux articles 23 à 35. Cet accès est limité dans la mesure nécessaire à l’exécution des tâches de ces autorités nationales conformément à ces finalités et est proportionné aux objectifs poursuivis.

2.  Chaque État membre désigne les autorités nationales compétentes aux fins du présent règlement, lesquelles sont les autorités frontalières, les autorités chargées des visas et les autorités chargées de l’immigration. Le personnel dûment habilité des autorités nationales compétentes a accès à l’EES afin d’introduire, de modifier, d’effacer ou de consulter des données. Chaque État membre communique sans tarder une liste de ces autorités nationales compétentes à l’eu-LISA. Cette liste précise à quelles fins chaque autorité a accès aux données stockées dans l’EES.

3.  Les autorités habilitées à consulter les données de l’EES ou à y accéder aux fins de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves et des enquêtes en la matière sont désignées conformément au chapitre IV.

▼M2

4.  L'accès aux données de l'EES stockées dans le CIR est exclusivement réservé au personnel dûment autorisé des autorités nationales de chaque État membre et au personnel dûment autorisé des agences de l'Union qui sont compétentes pour les finalités prévues aux articles 20 et 21 du règlement (UE) 2019/817. Cet accès est limité en fonction de la mesure dans laquelle les données sont nécessaires à l'exécution de leurs tâches à ces fins, et est proportionné aux objectifs poursuivis.

▼B

Article 10

Principes généraux

1.  Chaque autorité compétente habilitée à accéder à l’EES s’assure que l’utilisation qui en est faite est nécessaire, appropriée et proportionnée.

2.  Chaque autorité compétente veille à ce que l’utilisation de l’EES, y compris le relevé des données biométriques, soit conforme aux garanties prévues par la convention de sauvegarde des droits de l’homme et des libertés fondamentales, par la Charte des droits fondamentaux de l’Union européenne et par la convention des Nations unies relative aux droits de l’enfant. En particulier, lorsqu’il est procédé au relevé des données relatives à un enfant, l’intérêt supérieur de celui-ci doit prévaloir.

Article 11

Calculatrice automatique et obligation d’informer les ressortissants de pays tiers de la durée restante du séjour autorisé

1.  L’EES comprend une calculatrice automatique qui indique la durée maximale du séjour autorisé pour les ressortissants de pays tiers enregistrés dans l’EES.

Cette calculatrice automatique ne s’applique pas aux ressortissants de pays tiers:

2.  La calculatrice automatique informe les autorités compétentes:

3.  Les autorités frontalières informent le ressortissant de pays tiers de la durée maximale du séjour autorisé, laquelle tient compte du nombre d’entrées et de la durée du séjour autorisés par le visa, conformément à l’article 8, paragraphe 9, du règlement (UE) 2016/399. Cette information est fournie par le garde-frontière au moment des vérifications aux frontières ou au moyen d’équipements installés au point de passage frontalier permettant au ressortissant de pays tiers de consulter le service internet conformément à l’article 13, paragraphes 1 et 2, du présent règlement.

4.  En ce qui concerne les ressortissants de pays tiers soumis à l’obligation de visa qui séjournent, sur la base d’un visa de court séjour ou d’un visa de court séjour national, dans un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES, la calculatrice automatique n’indique pas le séjour autorisé sur la base du visa de court séjour ou du visa de court séjour national.

Dans le cas visé au premier alinéa, la calculatrice automatique vérifie uniquement:

5.  Aux fins de vérifier si des ressortissants de pays tiers titulaires d’un visa de court séjour délivré pour une ou deux entrées ont ou non déjà utilisé le nombre d’entrées autorisées par leur visa de court séjour, la calculatrice automatique ne tient compte que des entrées effectuées sur le territoire des États membres qui appliquent l’acquis de Schengen dans son intégralité. Il n’est cependant pas procédé à cette vérification à l’entrée sur le territoire des États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES.

6.  La calculatrice automatique s’applique également aux courts séjours sur la base d’un visa de court séjour à validité territoriale limitée délivré en vertu de l’article 25, paragraphe 1, point b), du règlement (CE) no 810/2009. Dans ce cas, la calculatrice automatique tient compte du séjour autorisé sur la base de ce visa, indépendamment du fait que le séjour cumulé du ressortissant de pays tiers concerné excède ou non 90 jours sur toute période de 180 jours.

Article 12

Mécanisme d’information

1.  L’EES comprend un mécanisme qui recense automatiquement les fiches d’entrée/de sortie ne comportant pas de données concernant la sortie immédiatement après la date d’expiration d’un séjour autorisé et recense automatiquement les fiches pour lesquelles la durée maximale du séjour autorisé a été dépassée.

2.  Pour les ressortissants de pays tiers qui franchissent une frontière sur la base d’un document facilitant le transit en cours de validité délivré conformément au règlement (CE) no 693/2003 du Conseil ( 9 ) (FTD), l’EES comprend un mécanisme qui recense automatiquement les fiches d’entrée/de sortie ne comportant pas de données concernant la sortie immédiatement après le moment d’expiration du séjour autorisé et recense automatiquement les fiches pour lesquelles la durée maximale du séjour autorisé a été dépassée.

3.  Une liste, générée par l’EES et contenant les données visées aux articles 16 et 17, de toutes les personnes identifiées comme ayant dépassé la durée du séjour autorisé est mise à disposition des autorités nationales compétentes désignées, conformément à l’article 9, paragraphe 2, afin que celles-ci puissent prendre les mesures appropriées.

Article 13

Service internet

1.  Afin que les ressortissants de pays tiers puissent vérifier à tout moment la durée restante du séjour autorisé, un accès internet sécurisé à un service internet hébergé par l’eu-LISA sur ses sites techniques permet aux ressortissants de pays tiers d’entrer les données requises en application de l’article 16, paragraphe 1, point b), en même temps que leur date d’entrée ou de sortie prévue, ou les deux. Sur la base de ces données, le service internet transmet aux ressortissants de pays tiers une réponse «OK/NOT OK», ainsi que les informations relatives à la durée restante du séjour autorisé.

2.  Par dérogation au paragraphe 1, dans le cas d’un séjour prévu dans un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES, le service internet ne fournit aucune information sur le séjour autorisé sur la base d’un visa de court séjour ou d’un visa de court séjour national.

Dans le cas visé au premier alinéa, le service internet permet aux ressortissants de pays tiers de vérifier le respect de la limite globale de 90 jours sur toute période de 180 jours et de recevoir des informations sur la durée restante du séjour autorisé dans cette limite. Ces informations sont fournies pour les séjours effectués au cours de la période de 180 jours précédant la consultation du service internet ou leur date d’entrée ou de sortie prévue, ou les deux.

3.  Aux fins du respect des obligations qui leur incombent au titre de l’article 26, paragraphe 1, point b), de la convention d’application de l’accord de Schengen, les transporteurs utilisent le service internet afin de vérifier si des ressortissants de pays tiers titulaires d’un visa de court séjour délivré pour une ou deux entrées ont déjà utilisé le nombre d’entrées autorisées par leur visa. Les transporteurs fournissent les données énumérées à l’article 16, paragraphe 1, points a), b) et c), du présent règlement. Sur la base de ces données, le service internet leur transmet une réponse «OK/NOT OK». Les transporteurs peuvent conserver les informations transmises ainsi que la réponse reçue conformément au droit applicable. Les transporteurs mettent en place un dispositif d’authentification pour garantir que seul le personnel autorisé puisse avoir accès au service internet. La réponse «OK/NOT OK» ne peut être considérée comme une décision d’autorisation ou de refus d’entrée en vertu du règlement (UE) 2016/399.

4.  Aux fins de la mise en œuvre de l’article 26, paragraphe 2, de la convention d’application de l’accord de Schengen ou aux fins du règlement de tout litige éventuel découlant de l’article 26 de ladite convention, l’eu-LISA tient des registres de toutes les opérations de traitement de données réalisées par les transporteurs dans le cadre du service internet. Ces registres indiquent la date et l’heure de chaque opération, les données utilisées à des fins d’interrogation, les données transmises par le service internet et le nom du transporteur concerné.

Les registres sont conservés pendant une période de deux ans. Les registres sont protégés par des mesures appropriées empêchant tout accès non autorisé.

5.  Le service internet utilise une base de données distincte en lecture seule mise à jour quotidiennement au moyen d’une extraction à sens unique des sous-ensembles minimaux nécessaires de données de l’EES et du VIS. L’eu-LISA est responsable de la sécurité du service internet, de la sécurité des données à caractère personnel qu’il contient et du processus d’extraction des données à caractère personnel vers la base de données distincte en lecture seule.

6.  Le service internet ne permet pas aux transporteurs de vérifier si des ressortissants de pays tiers titulaires d’un visa de court séjour national délivré pour une ou deux entrées ont déjà utilisé le nombre d’entrées autorisées par ledit visa.

7.  La Commission adopte des actes d’exécution concernant les règles détaillées relatives aux conditions d’utilisation du service internet et les règles relatives à la protection et à la sécurité des données applicables au service internet. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

CHAPITRE II

INTRODUCTION ET UTILISATION DES DONNÉES PAR LES AUTORITÉS COMPÉTENTES

Article 14

Procédures d’introduction de données dans l’EES

1.  Les autorités frontalières vérifient, conformément à l’article 23, si un dossier individuel antérieur a été créé dans l’EES pour le ressortissant de pays tiers, de même que l’identité de celui-ci. Lorsqu’un ressortissant de pays tiers utilise un système en libre-service pour le pré-enregistrement des données ou pour la réalisation des vérifications aux frontières, la vérification est effectuée via le système en libre-service.

2.  Dans les cas où il existe un dossier individuel antérieur pour le ressortissant de pays tiers, l’autorité frontalière procède, si nécessaire:

Les fiches visées au premier alinéa, point b), du présent paragraphe sont rattachées au dossier individuel du ressortissant de pays tiers concerné.

S’il y a lieu, les données visées à l’article 19, paragraphes 1, 2, 4 et 5, sont ajoutées à la fiche d’entrée/de sortie du ressortissant de pays tiers concerné. Les documents de voyage et les identités utilisés légitimement par un ressortissant de pays tiers sont ajoutés à son dossier individuel.

Lorsqu’un dossier individuel antérieur est enregistré et que le ressortissant de pays tiers présente un document de voyage en cours de validité différent de celui qui a été enregistré précédemment, les données visées à l’article 16, paragraphe 1, point d), et à l’article 17, paragraphe 1, point b), sont également mises à jour conformément à l’article 15.

3.  Si cela s’avère nécessaire pour créer ou mettre à jour la fiche d’entrée/de sortie d’un titulaire de visa, les autorités frontalières peuvent extraire du VIS et importer dans l’EES les données prévues à l’article 16, paragraphe 2, points c) à f), du présent règlement, conformément à l’article 8 du présent règlement et à l’article 18 bis du règlement (CE) no 767/2008.

4.  En l’absence d’enregistrement antérieur d’un ressortissant de pays tiers dans l’EES, l’autorité frontalière crée un dossier individuel pour ce ressortissant de pays tiers en introduisant les données visées à l’article 16, paragraphes 1 et 6, à l’article 17, paragraphe 1, et à l’article 18, paragraphe 1, selon le cas.

5.  Lorsqu’un ressortissant de pays tiers utilise un système en libre-service pour le pré-enregistrement des données, l’article 8 bis du règlement (UE) 2016/399 s’applique. Dans ce cas, le ressortissant de pays tiers peut préenregistrer les données du dossier individuel ou, le cas échéant, les données de la fiche d’entrée/de sortie qui doivent être mises à jour. Les données sont confirmées par les autorités frontalières lorsque la décision d’autoriser ou de refuser l’entrée a été prise conformément au règlement (UE) 2016/399. Les données énumérées à l’article 16, paragraphe 2, points c) à f), du présent règlement peuvent être extraites du VIS et importées dans l’EES.

6.  Lorsqu’un ressortissant de pays tiers utilise un système en libre-service pour la réalisation des vérifications aux frontières, l’article 8 ter du règlement (UE) 2016/399 s’applique. Dans ce cas, la vérification visée au paragraphe 1 du présent article est effectuée via le système en libre-service.

7.  Lorsqu’un ressortissant de pays tiers utilise une porte électronique pour le franchissement des frontières extérieures ou des frontières intérieures lorsque les contrôles n’ont pas encore été levés, l’article 8 ter du règlement (UE) 2016/399 s’applique. Dans ce cas, l’enregistrement correspondant de la fiche d’entrée/de sortie et le rattachement de cette fiche au dossier individuel concerné sont effectués via la porte électronique.

8.  Sans préjudice de l’article 20 du présent règlement et de l’article 12, paragraphe 3, du règlement (UE) 2016/399, lorsque le court séjour d’un ressortissant de pays tiers qui est présent sur le territoire d’un État membre commence directement après un séjour sur la base d’un titre de séjour ou d’un visa de long séjour et qu’aucun dossier individuel antérieur n’a été créé, ce ressortissant de pays tiers peut demander aux autorités compétentes visées à l’article 9, paragraphe 2, du présent règlement, de créer un dossier individuel et une fiche d’entrée/de sortie en introduisant les données visées à l’article 16, paragraphes 1, 2 et 6, et à l’article 17, paragraphe 1, du présent règlement. À la place des données visées à l’article 16, paragraphe 2, point a), du présent règlement, ces autorités compétentes introduisent la date de début du court séjour et, à la place des données visées à l’article 16, paragraphe 2, point b), du présent règlement, elles introduisent le nom de l’autorité qui a introduit ces données.

Article 15

Image faciale de ressortissants de pays tiers

1.  Lorsqu’il est nécessaire de créer un dossier individuel ou de mettre à jour l’image faciale visée à l’article 16, paragraphe 1, point d), et à l’article 17, paragraphe 1, point b), l’image faciale est prise en direct.

2.  Par dérogation au paragraphe 1, dans les cas exceptionnels où les spécifications relatives à la qualité et à la résolution prévues pour l’enregistrement dans l’EES de l’image faciale prise en direct ne peuvent pas être respectées, l’image faciale peut être extraite électroniquement de la puce du document de voyage électronique lisible à la machine (DVLM-e). En pareils cas, l’image faciale n’est insérée dans le dossier individuel qu’après une vérification électronique de la correspondance entre l’image faciale enregistrée sur la puce du DVLM-e et l’image faciale du ressortissant de pays tiers concerné prise en direct.

3.  Chaque État membre transmet à la Commission, une fois par an, un rapport concernant l’application du paragraphe 2. Ce rapport indique notamment le nombre de ressortissants de pays tiers concernés et comporte une explication des cas exceptionnels rencontrés.

4.  L’image faciale des ressortissants de pays tiers est d’une résolution et d’une qualité suffisantes pour servir à l’établissement automatisé de correspondances biométriques.

5.  Dans les deux ans suivant la mise en service de l’EES, la Commission élabore un rapport sur les normes relatives à la qualité des images faciales stockées dans le VIS et sur la question de savoir si celles-ci sont de nature à permettre l’établissement de correspondances biométriques en vue d’utiliser les images faciales stockées dans le VIS aux frontières et sur le territoire des États membres, aux fins de la vérification de l’identité des ressortissants de pays tiers soumis à l’obligation de visa, sans stocker ces images faciales dans l’EES. La Commission transmet ce rapport au Parlement européen et au Conseil. Ce rapport est accompagné, lorsque la Commission considère que cela est approprié, de propositions législatives, y compris des propositions visant à modifier le présent règlement, le règlement (CE) no 767/2008, ou les deux, en ce qui concerne l’utilisation des images faciales de ressortissants de pays tiers stockées dans le VIS aux fins visées au présent paragraphe.

Article 16

Données à caractère personnel relatives aux ressortissants de pays tiers soumis à l’obligation de visa

1.  Aux frontières auxquelles l’EES est mis en œuvre, l’autorité frontalière crée le dossier individuel d’un ressortissant de pays tiers soumis à l’obligation de visa en introduisant les données suivantes:

2.  À chaque entrée d’un ressortissant de pays tiers soumis à l’obligation de visa à une frontière à laquelle l’EES est mis en œuvre, les données ci-après sont introduites dans une fiche d’entrée/de sortie:

▼C1

▼B

La fiche d’entrée/de sortie visée au premier alinéa est rattachée au fichier individuel dudit ressortissant de pays tiers à l’aide du numéro de référence individuel créé par l’EES lors de la création de ce fichier individuel.

3.  À chaque sortie d’un ressortissant de pays tiers soumis à une obligation de visa, à une frontière à laquelle l’EES est mis en œuvre, les données ci-après sont introduites dans la fiche d’entrée/de sortie:

Lorsque ledit ressortissant de pays tiers utilise un visa différent du visa enregistré dans la dernière fiche d’entrée, les données de la fiche d’entrée/de sortie énumérées au paragraphe 2, points d) à g), sont mises à jour en conséquence.

La fiche d’entrée/de sortie visée au premier alinéa est rattachée au dossier individuel dudit ressortissant de pays tiers.

4.  Lorsqu’il n’existe aucune donnée concernant la sortie immédiatement après la date d’expiration du séjour autorisé, la fiche d’entrée/de sortie est assortie d’un drapeau par l’EES et les données du ressortissant de pays tiers soumis à l’obligation de visa qui a été identifié comme ayant dépassé la durée du séjour autorisé sont incluses dans la liste visée à l’article 12.

5.  Pour créer ou mettre à jour la fiche d’entrée/de sortie d’un ressortissant de pays tiers soumis à l’obligation de visa, les données prévues au paragraphe 2, points c) à f), du présent article peuvent être extraites du VIS et importées dans l’EES par l’autorité frontalière conformément à l’article 18 bis du règlement (CE) no 767/2008.

6.  Lorsqu’un ressortissant de pays tiers bénéficie du programme national d’allègement des formalités d’un État membre conformément à l’article 8 quinquies du règlement (UE) 2016/399, l’État membre concerné introduit une notification dans le dossier individuel dudit ressortissant de pays tiers en précisant le programme national d’allègement des formalités de l’État membre concerné.

7.  Les dispositions spécifiques figurant à l’annexe II s’appliquent aux ressortissants de pays tiers qui franchissent la frontière sur la base d’un FTD en cours de validité.

Article 17

Données à caractère personnel relatives aux ressortissants de pays tiers exemptés de l’obligation de visa

1.  L’autorité frontalière crée le dossier individuel des ressortissants de pays tiers exemptés de l’obligation de visa en introduisant les données suivantes:

2.  Pour les ressortissants de pays tiers exemptés de l’obligation de visa, l’article 16, paragraphe 2, points a), b) et c), l’article 16, paragraphe 3, points a) et b), et l’article 16, paragraphe 4, s’appliquent mutatis mutandis.

3.  Les enfants de moins de douze ans sont exemptés de l’obligation de donner leurs empreintes digitales.

4.  Les personnes dont il est physiquement impossible de relever les empreintes digitales sont exemptées de l’obligation de les donner.

Toutefois, si l’impossibilité physique est temporaire, ce fait est enregistré dans l’EES et la personne est tenue de donner ses empreintes digitales à la sortie ou lors de l’entrée suivante. Ces informations sont supprimées de l’EES une fois les empreintes digitales relevées. Les autorités frontalières ont le droit de demander des précisions sur les motifs de l’impossibilité temporaire de donner des empreintes digitales. Les États membres veillent à ce que des procédures appropriées garantissant la dignité de la personne soient en place en cas de difficultés rencontrées lors du relevé des empreintes.

5.  Lorsque la personne concernée est exemptée de l’obligation de donner ses empreintes digitales en vertu du paragraphe 3 ou 4, le champ d’information spécifique porte la mention «sans objet».

Article 18

Données à caractère personnel relatives aux ressortissants de pays tiers auxquels l’entrée est refusée

1.  Lorsque l’autorité frontalière a pris la décision, conformément à l’article 14 et à l’annexe V du règlement (UE) 2016/399, de refuser à un ressortissant de pays tiers l’entrée sur le territoire des États membres pour un court séjour, et lorsque aucun dossier antérieur n’est enregistré dans l’EES pour ce ressortissant de pays tiers, l’autorité frontalière crée un dossier individuel dans lequel elle introduit:

2.  Lorsque le ressortissant de pays tiers se voit refuser l’entrée pour un motif correspondant au point B, D ou H de la partie B de l’annexe V du règlement (UE) 2016/399, et lorsque aucun dossier antérieur contenant des données biométriques n’est enregistré dans l’EES pour ce ressortissant de pays tiers, l’autorité frontalière crée un dossier individuel dans lequel elle introduit les données alphanumériques requises en application de l’article 16, paragraphe 1, ou de l’article 17, paragraphe 1, du présent règlement, selon le cas, ainsi que les données suivantes:

3.  Par dérogation au paragraphe 2 du présent article, lorsque le motif correspondant au point H de la partie B de l’annexe V du règlement (UE) 2016/399 s’applique, et que les données biométriques du ressortissant de pays tiers sont enregistrées dans le signalement SIS qui entraîne le refus d’entrée, les données biométriques du ressortissant de pays tiers ne sont pas introduites dans l’EES.

4.  Lorsque le ressortissant de pays tiers se voit refuser l’entrée pour un motif correspondant au point I de la partie B de l’annexe V du règlement (UE) 2016/399, et lorsque aucun dossier antérieur contenant des données biométriques n’est enregistré dans l’EES pour ce ressortissant de pays tiers, les données biométriques ne sont introduites dans l’EES que si l’entrée est refusée parce que le ressortissant de pays tiers est considéré comme représentant un danger pour la sécurité intérieure, y compris, le cas échéant, pour certains aspects de l’ordre public.

5.  Lorsqu’un ressortissant de pays tiers se voit refuser l’entrée pour un motif correspondant au point J de la partie B de l’annexe V du règlement (UE) 2016/399, l’autorité frontalière crée le dossier individuel dudit ressortissant de pays tiers sans ajouter de données biométriques. Si le ressortissant de pays tiers est en possession d’un DVLM-e, l’image faciale est extraite de ce document.

6.  Lorsque l’autorité frontalière a pris la décision, conformément à l’article 14 et à l’annexe V du règlement (UE) 2016/399, de refuser l’entrée d’un ressortissant de pays tiers pour un court séjour sur le territoire des États membres, les données ci-après sont introduites dans une fiche de refus d’entrée distincte:

En outre, pour les ressortissants de pays tiers soumis à l’obligation de visa, les données prévues à l’article 16, paragraphe 2, points d) à g), du présent règlement sont introduites dans la fiche de refus d’entrée.

Pour créer ou mettre à jour la fiche de refus d’entrée de ressortissants de pays tiers soumis à l’obligation de visa, les données prévues à l’article 16, paragraphe 2, points d), e) et f), du présent règlement peuvent être extraites du VIS et importées dans l’EES par l’autorité frontalière compétente conformément à l’article 18 bis du règlement (CE) no 767/2008.

7.  La fiche de refus d’entrée prévue au paragraphe 6 est rattachée au dossier individuel du ressortissant de pays tiers concerné.

Article 19

Données à ajouter en cas de retrait, d’annulation ou de prorogation d’une autorisation de court séjour

1.  Lorsqu’il a été décidé de retirer ou d’annuler une autorisation de court séjour ou un visa ou de prolonger la durée d’un séjour autorisé ou de proroger un visa, l’autorité compétente qui a pris cette décision ajoute les données ci-après à la dernière fiche pertinente d’entrée/de sortie:

2.  Lorsque la durée du séjour autorisé a été prolongée conformément à l’article 20, paragraphe 2, de la convention d’application de l’accord de Schengen, l’autorité compétente qui a prolongé le séjour autorisé ajoute les données relatives à la période de prolongation du séjour autorisé à la dernière fiche pertinente d’entrée/de sortie et, le cas échéant, la mention selon laquelle le séjour autorisé a été prolongé conformément à l’article 20, paragraphe 2, point b), de ladite convention.

3.  Lorsqu’il a été décidé d’annuler, de retirer ou de proroger un visa, l’autorité chargée des visas qui a pris la décision extrait immédiatement du VIS les données prévues au paragraphe 1 du présent article et les importe directement dans l’EES conformément aux articles 13 et 14 du règlement (CE) no 767/2008.

4.  La fiche d’entrée/de sortie indique le ou les motifs de retrait ou d’annulation du court séjour, à savoir:

5.  La fiche d’entrée/de sortie indique les motifs de prolongation de la durée du séjour autorisé.

6.  Lorsqu’une personne a quitté le territoire des États membres, ou en a été éloignée, en application d’une décision visée au paragraphe 4 du présent article, l’autorité compétente introduit les données, conformément à l’article 14, paragraphe 2, dans la fiche d’entrée/de sortie relative à l’entrée correspondante.

Article 20

Données à ajouter en cas de renversement de la présomption concernant le non-respect par un ressortissant de pays tiers des conditions de durée du séjour autorisé

Sans préjudice de l’article 22, lorsque aucun dossier individuel n’a été créé dans l’EES pour un ressortissant de pays tiers présent sur le territoire d’un État membre, ou en l’absence de dernière fiche pertinente d’entrée/de sortie pour un tel ressortissant de pays tiers, les autorités compétentes peuvent présumer que le ressortissant de pays tiers ne remplit pas ou ne remplit plus les conditions relatives à la durée du séjour autorisé sur le territoire des États membres.

Dans le cas visé au premier alinéa du présent article, l’article 12 du règlement (UE) 2016/399 s’applique et, si cette présomption est renversée conformément à l’article 12, paragraphe 3, dudit règlement, les autorités compétentes:

Article 21

Procédures de secours en cas d’impossibilité technique d’introduire les données ou en cas de dysfonctionnement de l’EES

▼M2

1.  Lorsqu'il est techniquement impossible d'introduire les données dans le système central de l'EES ou dans le CIR ou en cas de dysfonctionnement dudit système ou du CIR, les données visées aux articles 16 à 20 sont temporairement stockées dans l'IUN. Lorsque cela n'est pas possible, les données sont stockées localement, à titre temporaire, sous une forme électronique. Dans les deux cas, les données sont introduites dans le système central de l'EES ou dans le CIR dès qu'il a été remédié à l'impossibilité technique ou au dysfonctionnement. Les États membres prennent les mesures appropriées et mettent en place l'infrastructure, l'équipement et les ressources nécessaires pour garantir qu'un tel stockage local temporaire peut être réalisé à tout moment et pour chacun de leurs points de passage frontaliers.

2.  Sans préjudice de l'obligation d'effectuer les vérifications aux frontières prévues au règlement (UE) 2016/399, l'autorité frontalière, dans le cas exceptionnel où il est techniquement impossible d'introduire les données soit à la fois dans le système central de l'EES et dans le CIR, soit dans l'IUN, et où il est techniquement impossible de stocker les données localement, à titre temporaire, sous une forme électronique, stocke manuellement les données visées aux articles 16 à 20 du présent règlement, à l'exception des données biométriques, et appose un cachet d'entrée ou de sortie sur le document de voyage du ressortissant de pays tiers. Ces données sont introduites dans le système central de l'EES et dans le CIR dès que cela est techniquement possible.

▼B

Les États membres informent la Commission de l’apposition de cachets sur des documents de voyage dans les cas exceptionnels visés au premier alinéa du présent paragraphe. La Commission adopte des actes d’exécution concernant les règles détaillées relatives aux informations à communiquer à la Commission. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

3.  L’EES indique que les données visées aux articles 16 à 20 ont été introduites à la suite d’une procédure de secours et que le dossier individuel créé en vertu du paragraphe 2 du présent article ne contient pas de données biométriques. Les données biométriques sont introduites dans l’EES au point de passage frontalier suivant.

Article 22

Période et mesures transitoires

1.  Pendant une période de 180 jours suivant la mise en service de l’EES, afin de vérifier, à l’entrée et à la sortie, que les ressortissants de pays tiers admis pour un court séjour n’ont pas dépassé la durée maximale du séjour autorisé et, s’il y a lieu, de vérifier, à l’entrée, que les ressortissants de pays tiers n’ont pas dépassé le nombre d’entrées autorisées par le visa de court séjour délivré pour une ou deux entrées, les autorités frontalières compétentes tiennent compte des séjours effectués sur le territoire des États membres au cours des 180 jours précédant l’entrée ou la sortie de la personne, en vérifiant les cachets apposés sur les documents de voyage en plus des données d’entrée/de sortie enregistrées dans l’EES.

2.  Lorsqu’un ressortissant de pays tiers est entré sur le territoire des États membres avant la mise en service de l’EES et qu’il le quitte après la mise en service de l’EES, un dossier individuel est créé à la sortie et la date d’entrée indiquée sur le cachet apposé sur le passeport est inscrite sur la fiche d’entrée/de sortie conformément à l’article 16, paragraphe 2. Cette règle ne se limite pas aux 180 jours suivant la mise en service de l’EES comme prévu au paragraphe 1 du présent article. En cas de différence entre le cachet d’entrée et les données de l’EES, le cachet prévaut.

Article 23

Utilisation des données à des fins de vérification aux frontières auxquelles l’EES est mis en œuvre

1.  Les autorités frontalières ont accès à l’EES pour vérifier l’identité et l’enregistrement antérieur du ressortissant de pays tiers, pour mettre à jour les données de l’EES si nécessaire ainsi que pour consulter les données dans la mesure nécessaire à la réalisation des vérifications aux frontières.

2.  Lors de l’exécution des tâches visées au paragraphe 1 du présent article, les autorités frontalières sont autorisées à effectuer des recherches à l’aide des données visées à l’article 16, paragraphe 1, points a), b) et c), et à l’article 17, paragraphe 1, point a).

En outre, pour la consultation du VIS à des fins de vérification conformément à l’article 18 du règlement (CE) no 767/2008, dans le cas des ressortissants de pays tiers soumis à l’obligation de visa, les autorités frontalières lancent une recherche dans le VIS directement à partir de l’EES en utilisant les mêmes données alphanumériques ou, s’il y a lieu, ►C1  consultent le VIS conformément à l’article 18, paragraphe 3, du règlement (CE) no 767/2008. ◄

Si la recherche effectuée dans l’EES à l’aide des données mentionnées au premier alinéa du présent paragraphe montre que l’EES contient des données concernant le ressortissant de pays tiers, les autorités frontalières comparent l’image faciale du ressortissant de pays tiers prise en direct avec celle visée à l’article 16, paragraphe 1, point d), et à l’article 17, paragraphe 1, point b), du présent règlement, ou procèdent, s’il s’agit de ressortissants de pays tiers exemptés de l’obligation de visa, à la vérification des empreintes digitales par consultation de l’EES et, s’il s’agit de ressortissants de pays tiers soumis à l’obligation de visa, à la vérification des empreintes digitales directement par consultation du VIS, conformément à l’article 18 du règlement (CE) no 767/2008. Pour la vérification des empreintes digitales des titulaires d’un visa par consultation du VIS, les autorités frontalières peuvent lancer la recherche dans le VIS directement à partir de l’EES, comme le prévoit l’article 18, paragraphe 6, dudit règlement.

En cas d’échec de la vérification de l’image faciale, la vérification est effectuée à l’aide des empreintes digitales, et inversement.

▼M2

2 bis.  Aux fins des vérifications à effectuer conformément au paragraphe 1 du présent article, l'autorité frontalière lance une requête en utilisant l'ESP pour comparer les données concernant le ressortissant de pays tiers avec les données pertinentes dans l'EES et dans le VIS.

▼B

3.  Si la recherche effectuée à l’aide des données visées au paragraphe 2 montre que l’EES contient des données concernant le ressortissant de pays tiers, l’autorité frontalière est autorisée à consulter les données du dossier individuel dudit ressortissant de pays tiers ainsi que la ou les fiches d’entrée/de sortie ou de refus d’entrée qui y sont rattachées.

▼M2

4.  Si la recherche effectuée à l'aide des données alphanumériques visées au paragraphe 2 du présent article montre que l'EES ne contient pas de données concernant le ressortissant de pays tiers, lorsqu'une vérification portant sur celui-ci, conformément au paragraphe 2 du présent article, ne donne pas de résultat ou en cas de doute quant à l'identité du ressortissant de pays tiers, les autorités frontalières ont accès aux données aux fins d'identification conformément à l'article 27 afin de créer ou de mettre à jour un dossier individuel conformément à l'article 14.

▼B

Outre l’identification visée au premier alinéa du présent paragraphe, les dispositions suivantes s’appliquent:

5.  Dans le cas des ressortissants de pays tiers dont les données sont déjà enregistrées dans l’EES mais dont le dossier individuel a été créé dans l’EES par un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES, et dont les données ont été introduites dans l’EES sur la base d’un visa de court séjour national, les autorités frontalières consultent le VIS conformément au paragraphe 4, deuxième alinéa, point a), lorsque, pour la première fois après la création du dossier individuel, le ressortissant de pays tiers a l’intention de franchir la frontière d’un État membre qui applique l’acquis de Schengen dans son intégralité et met en œuvre l’EES.

CHAPITRE III

UTILISATION DE L’EES PAR D’AUTRES AUTORITÉS

Article 24

Utilisation de l’EES aux fins de l’examen des demandes de visa et des décisions y afférentes

1.  Les autorités chargées des visas consultent l’EES aux fins de l’examen des demandes de visa et de l’adoption des décisions relatives à ces demandes, y compris les décisions d’annulation ou de retrait d’un visa délivré ou de prolongation de la durée de validité d’un tel visa, conformément au règlement (CE) no 810/2009.

En outre, les autorités chargées des visas d’un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES consultent l’EES lorsqu’elles examinent des demandes de visa de court séjour national et adoptent des décisions relatives à ces demandes, y compris des décisions d’annulation ou de retrait d’un visa de court séjour national délivré ou de prolongation de la durée de validité d’un tel visa.

2.  Les autorités chargées des visas sont autorisées à effectuer des recherches dans l’EES directement à partir du VIS à l’aide d’une ou plusieurs des données suivantes:

3.  Si la recherche effectuée à l’aide des données visées au paragraphe 2 montre que l’EES contient des données concernant le ressortissant de pays tiers, les autorités chargées des visas sont autorisées à consulter les données du dossier individuel dudit ressortissant de pays tiers ainsi que les fiches d’entrée/de sortie et de refus d’entrée rattachées à ce dossier individuel. Les autorités chargées des visas sont autorisées à consulter la calculatrice automatique afin de vérifier la durée maximale restante d’un séjour autorisé. Les autorités chargées des visas sont également autorisées à consulter l’EES et la calculatrice automatique lors de l’examen de nouvelles demandes de visas et des décisions y afférentes, afin d’établir automatiquement la durée maximale du séjour autorisé.

4.  Les autorités chargées des visas d’un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES sont autorisées à effectuer des recherches dans l’EES à l’aide d’une ou plusieurs des données mentionnées au paragraphe 2. Si la recherche montre que l’EES contient des données concernant le ressortissant de pays tiers, elles sont autorisées à consulter les données du dossier individuel dudit ressortissant de pays tiers ainsi que les fiches d’entrée/de sortie et de refus d’entrée rattachées à ce dossier individuel. Les autorités chargées des visas d’un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES sont autorisées à consulter la calculatrice automatique afin d’établir la durée maximale restante d’un séjour autorisé. Les autorités chargées des visas sont également autorisées à consulter l’EES et la calculatrice automatique lors de l’examen de nouvelles demandes de visa et de décisions y afférentes, afin d’établir la durée maximale du séjour autorisé.

Article 25

Utilisation de l’EES aux fins de l’examen des demandes d’accès aux programmes nationaux d’allègement des formalités

1.  Les autorités compétentes visées à l’article 8 quinquies du règlement (UE) 2016/399 consultent l’EES aux fins de l’examen des demandes d’accès aux programmes nationaux d’allègement des formalités visés audit article et l’adoption des décisions relatives à ces demandes, y compris les décisions de refus, de retrait, ou de prolongation de la durée de validité de l’accès aux programmes nationaux d’allègement des formalités, conformément audit article.

2.  Les autorités compétentes sont autorisées à effectuer des recherches à l’aide d’un ou plusieurs des éléments suivants:

3.  Si la recherche effectuée à l’aide des données visées au paragraphe 2 montre que l’EES contient des données concernant le ressortissant de pays tiers, l’autorité compétente est autorisée à consulter les données du dossier individuel dudit ressortissant de pays tiers ainsi que les fiches d’entrée/de sortie et les fiches de refus d’entrée rattachées à ce dossier individuel.

Article 26

Accès aux données à des fins de vérification sur le territoire des États membres

1.  Afin de vérifier l’identité du ressortissant de pays tiers, ou de contrôler ou vérifier si les conditions d’entrée ou de séjour sur le territoire des États membres sont remplies, ou les deux, les autorités chargées de l’immigration des États membres sont autorisées à effectuer des recherches à l’aide des données visées à l’article 16, paragraphe 1, points a), b) et c), et à l’article 17, paragraphe 1, point a).

Si la recherche montre que l’EES contient des données concernant le ressortissant de pays tiers, les autorités chargées de l’immigration peuvent:

2.  Si la recherche effectuée à l’aide des données visées au paragraphe 1 montre que l’EES contient des données concernant le ressortissant de pays tiers, les autorités chargées de l’immigration sont autorisées à consulter la calculatrice automatique, les données du dossier individuel dudit ressortissant de pays tiers, ainsi que la ou les fiches d’entrée/de sortie et toute fiche de refus d’entrée rattachées à ce dossier individuel.

3.  Si la recherche effectuée à l’aide des données visées au paragraphe 1 du présent article montre que l’EES ne contient pas de données concernant le ressortissant de pays tiers, lorsqu’une vérification portant sur celui-ci ne donne pas de résultat ou en cas de doute quant à l’identité du ressortissant de pays tiers, les autorités chargées de l’immigration ont accès aux données aux fins d’identification conformément à l’article 27.

Article 27

Accès aux données aux fins d’identification

1.  Les autorités frontalières ou les autorités chargées de l’immigration sont autorisées à effectuer des recherches à l’aide des données dactyloscopiques ou des données dactyloscopiques en combinaison avec l’image faciale, aux seules fins d’identifier tout ressortissant de pays tiers susceptible d’avoir été enregistré précédemment dans l’EES sous une identité différente ou qui ne remplit pas ou ne remplit plus les conditions d’entrée ou de séjour sur le territoire des États membres.

Si la recherche effectuée à l’aide des données dactyloscopiques ou des données dactyloscopiques en combinaison avec l’image faciale montre que l’EES ne contient pas de données concernant le ressortissant de pays tiers, un accès aux données du VIS aux fins d’identification est assuré conformément à l’article 20 du règlement (CE) no 767/2008. Aux frontières auxquelles l’EES est mis en œuvre, avant toute identification par consultation du VIS, les autorités compétentes accèdent d’abord au VIS conformément à l’article 18 ou à l’article 19 bis du règlement (CE) no 767/2008.

Lorsque les empreintes digitales dudit ressortissant de pays tiers ne peuvent pas être utilisées, ou en cas d’échec de la recherche à l’aide des données dactyloscopiques ou des données dactyloscopiques en combinaison avec l’image faciale, la recherche est effectuée à l’aide de l’ensemble ou d’une partie des données visées à l’article 16, paragraphe 1, points a), b) et c), et à l’article 17, paragraphe 1, point a).

2.  Si la recherche effectuée à l’aide des données mentionnées au paragraphe 1 montre que l’EES contient des données concernant le ressortissant de pays tiers, l’autorité compétente est autorisée à consulter les données du dossier individuel ainsi que les fiches d’entrée/de sortie et les fiches de refus d’entrée qui y sont rattachées.

Article 28

Conservation des données extraites de l’EES

Les données extraites de l’EES en application du présent chapitre ne peuvent être conservées dans des fichiers nationaux que lorsque cela est nécessaire dans un cas particulier, conformément à la finalité pour laquelle elles ont été extraites et conformément aux dispositions pertinentes du droit de l’Union, notamment en matière de protection des données, et pour une durée n’excédant pas ce qui est strictement nécessaire dans le cas concerné.

CHAPITRE IV

PROCÉDURE ET CONDITIONS D’ACCÈS À L’EES À DES FINS RÉPRESSIVES

Article 29

Autorités désignées des États membres

1.  Les États membres désignent les autorités habilitées à consulter les données de l’EES aux fins de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves, ainsi qu’aux fins des enquêtes en la matière.

2.  Chaque État membre tient une liste de ses autorités désignées. Chaque État membre notifie ses autorités désignées à l’eu-LISA et à la Commission. Il peut à tout moment modifier ou remplacer sa notification.

3.  Chaque État membre désigne un point d’accès central qui a accès à l’EES. Le point d’accès central vérifie que les conditions d’accès à l’EES établies à l’article 32 sont remplies.

L’autorité désignée et le point d’accès central peuvent faire partie de la même organisation si le droit national le permet, mais le point d’accès central agit en toute indépendance des autorités désignées quand il accomplit ses missions au titre du présent règlement. Le point d’accès central est distinct des autorités désignées et ne reçoit d’elles aucune instruction concernant le résultat de ses vérifications, qu’il effectue de manière indépendante.

Les États membres peuvent désigner plusieurs points d’accès centraux afin de tenir compte de leurs structures organisationnelles et administratives dans l’accomplissement de leurs obligations constitutionnelles ou légales.

4.  Les États membres notifient leurs points d’accès centraux à l’eu-LISA et à la Commission et peuvent à tout moment modifier ou remplacer leurs notifications.

5.  Au niveau national, chaque État membre tient une liste des unités opérationnelles qui, au sein des autorités désignées, sont autorisées à demander l’accès aux données de l’EES par l’intermédiaire des points d’accès centraux.

6.  Seul le personnel dûment habilité des points d’accès centraux est autorisé à accéder à l’EES conformément aux articles 31 et 32.

Article 30

Europol

1.  Europol désigne une de ses unités opérationnelles comme «autorité désignée d’Europol» et autorise celle-ci à demander l’accès à l’EES, par l’intermédiaire du point d’accès central d’Europol visé au paragraphe 2, afin de soutenir et de renforcer l’action des États membres en ce qui concerne la prévention et la détection des infractions terroristes ou d’autres infractions pénales graves, ainsi que les enquêtes en la matière.

2.  Europol désigne en tant que point d’accès central d’Europol une unité spécialisée composée d’agents d’Europol dûment habilités. Le point d’accès central d’Europol vérifie que les conditions d’accès à l’EES établies à l’article 33 sont remplies.

Le point d’accès central d’Europol agit en toute indépendance quand il accomplit ses missions au titre du présent règlement et ne reçoit de l’autorité désignée d’Europol aucune instruction concernant le résultat de ses vérifications.

Article 31

Procédure d’accès à l’EES à des fins répressives

1.  Une unité opérationnelle telle qu’elle est visée à l’article 29, paragraphe 5, présente à un point d’accès central tel qu’il est visé à l’article 29, paragraphe 3, sous forme électronique ou écrite, une demande motivée d’accès aux données de l’EES. Lorsqu’il reçoit une demande d’accès, ce point d’accès central vérifie si les conditions d’accès visées à l’article 32 sont remplies. Si les conditions d’accès sont remplies, ce point d’accès central traite la demande. Les données de l’EES auxquelles l’accès est demandé sont communiquées à une unité opérationnelle telle qu’elle est visée à l’article 29, paragraphe 5, selon des modalités qui ne compromettent pas la sécurité des données.

2.  En cas d’urgence nécessitant de prévenir un danger imminent pour la vie d’une personne lié à une infraction terroriste ou à une autre infraction pénale grave, un point d’accès central tel qu’il est visé à l’article 29, paragraphe 3, traite la demande immédiatement et ne vérifie qu’a posteriori si toutes les conditions visées à l’article 32 sont remplies, y compris pour déterminer s’il s’agissait effectivement d’un cas d’urgence. Cette vérification a posteriori est effectuée sans retard indu et, en tout état de cause, au plus tard sept jours ouvrables après le traitement de la demande.

3.  S’il est établi, lors d’une vérification effectuée a posteriori, que l’accès aux données de l’EES n’était pas justifié, toutes les autorités qui ont eu accès à ces données effacent les informations consultées depuis l’EES et informent de cet effacement le point d’accès central concerné de l’État membre dans lequel la demande a été formulée.

Article 32

Conditions d’accès des autorités désignées aux données de l’EES

1.  Les autorités désignées peuvent accéder à l’EES en consultation lorsque toutes les conditions suivantes sont remplies:

▼M2

1 bis.  Dans les cas où les autorités désignées ont interrogé le CIR conformément à l'article 22 du règlement (UE) 2019/817, elles peuvent accéder en consultation à l'EES, lorsque les conditions établies au présent article sont remplies et lorsque la réponse reçue conformément à l'article 22, paragraphe 2, du règlement (UE) 2019/817 révèle que des données sont stockées dans l'EES.

▼B

2.  L’accès à l’EES en tant qu’outil destiné à identifier une personne inconnue soupçonnée d’avoir commis une infraction terroriste ou une autre infraction pénale grave, un auteur inconnu ou une personne inconnue présumée victime d’une telle infraction est autorisé lorsque, outre les conditions énumérées au paragraphe 1, les conditions suivantes sont remplies:

Toutefois, les conditions supplémentaires prévues au premier alinéa, points a) et b), ne s’appliquent pas lorsqu’il existe des motifs raisonnables permettant de croire qu’une comparaison avec les systèmes des autres États membres ne permettrait pas de vérifier l’identité de la personne concernée, ou en cas d’urgence nécessitant de prévenir un danger imminent pour la vie d’une personne lié à une infraction terroriste ou à une autre infraction pénale grave. Ces motifs raisonnables sont mentionnés dans la demande électronique ou écrite adressée par l’unité opérationnelle de l’autorité désignée au point d’accès central.

Une demande de consultation du VIS au sujet de la même personne concernée peut être présentée parallèlement à une demande de consultation de l’EES, conformément aux conditions prévues dans la décision 2008/633/JAI du Conseil ( 11 ).

3.  L’accès à l’EES en tant qu’outil permettant de consulter l’historique des déplacements ou les périodes de séjour sur le territoire des États membres d’une personne connue soupçonnée d’avoir commis une infraction terroriste ou une autre infraction pénale grave, d’un auteur connu ou d’une personne connue présumée victime d’une telle infraction est autorisé lorsque les conditions énumérées au paragraphe 1 sont remplies.

4.  La consultation de l’EES à des fins d’identification conformément au paragraphe 2 est limitée aux recherches dans le dossier individuel à l’aide d’une ou plusieurs des données de l’EES suivantes:

La consultation de l’EES, en cas de réponse positive, permet d’accéder à toute autre donnée extraite du dossier individuel énumérée à l’article 16, paragraphes 1 et 6, à l’article 17, paragraphe 1, et à l’article 18, paragraphe 1.

5.  La consultation de l’EES concernant l’historique des déplacements du ressortissant de pays tiers concerné est limitée aux recherches à l’aide d’une ou de plusieurs des données de l’EES ci-après, dans le dossier individuel, dans les fiches d’entrée/de sortie ou dans les fiches de refus d’entrée:

La consultation de l’EES permet, en cas de réponse positive, d’accéder aux données énumérées au premier alinéa, ainsi qu’à toute autre donnée extraite du dossier individuel, des fiches d’entrée/de sortie et des fiches de refus d’entrée, y compris les données liées au retrait ou à la prorogation d’une autorisation de court séjour conformément à l’article 19.

Article 33

Procédure et conditions d’accès d’Europol aux données de l’EES

1.  Europol est autorisée à consulter l’EES lorsque toutes les conditions suivantes sont remplies:

▼M2

1 bis.  Dans les cas où Europol a interrogé le CIR conformément à l'article 22 du règlement (UE) 2019/817, elle peut accéder en consultation à l'EES, lorsque les conditions établies au présent article sont remplies et lorsque la réponse reçue conformément à l'article 22,paragraphe 2, du règlement (UE) 2019/817 révèle que des données sont stockées dans l'EES.

▼B

2.  L’accès à l’EES en tant qu’outil destiné à identifier une personne inconnue soupçonnée d’avoir commis une infraction terroriste ou une autre infraction pénale grave, un auteur inconnu ou une personne inconnue présumée victime d’une telle infraction est autorisé lorsque les conditions énumérées au paragraphe 1 sont remplies et que la consultation en priorité des données stockées dans les bases de données qui sont techniquement et légalement accessibles par Europol n’a pas permis d’identifier la personne en question.

Une demande de consultation du VIS au sujet de la même personne concernée peut être présentée parallèlement à une demande de consultation de l’EES, conformément aux conditions prévues dans la décision 2008/633/JAI.

3.  Les conditions prévues à l’article 32, paragraphes 3, 4 et 5, s’appliquent en conséquence.

4.  L’autorité désignée d’Europol peut présenter au point d’accès central d’Europol visé à l’article 30, paragraphe 2, une demande électronique motivée de consultation de toutes les données de l’EES ou d’un ensemble spécifique de données de l’EES. Lorsqu’il reçoit une demande d’accès, le point d’accès central d’Europol vérifie si les conditions d’accès mentionnées aux paragraphes 1 et 2 du présent article sont remplies. Si toutes les conditions d’accès sont remplies, le personnel dûment autorisé du point d’accès central d’Europol traite la demande. Les données de l’EES auxquelles l’accès est demandé sont communiquées à l’autorité désignée d’Europol selon des modalités qui ne compromettent pas la sécurité des données.

5.  Europol ne traite que les informations obtenues à la suite de la consultation des données de l’EES, sous réserve de l’autorisation de l’État membre d’origine. Cette autorisation est obtenue par l’intermédiaire de l’unité nationale Europol de cet État membre.

CHAPITRE V

CONSERVATION ET MODIFICATION DES DONNÉES

Article 34

Durée de conservation des données

1.  Chaque fiche d’entrée/de sortie ou de refus d’entrée rattachée à un dossier individuel est conservée ►M2  dans le CIR et dans le système central de l'EES ◄ pendant trois ans suivant la date de la fiche de sortie ou de refus d’entrée, selon le cas.

2.  Chaque dossier individuel ainsi que la ou les fiches d’entrée/de sortie ou de refus d’entrée qui y sont rattachées sont conservés ►M2  dans le CIR et dans le système central de l'EES ◄ pendant trois ans et un jour suivant la date de la dernière fiche de sortie ou de refus d’entrée, si aucune fiche d’entrée n’est enregistrée dans les trois ans à compter de la date de la dernière fiche de sortie ou de refus d’entrée.

3.  Si aucune fiche de sortie n’est enregistrée après la date d’expiration de la durée du séjour autorisé, les données sont conservées pendant une durée de cinq ans suivant la date d’expiration de la durée du séjour autorisé. L’EES prévient automatiquement les États membres, trois mois à l’avance, de l’effacement programmé des données relatives aux personnes ayant dépassé la durée du séjour autorisé, afin de leur permettre de prendre les mesures appropriées.

4.  Par dérogation au paragraphe 1, chaque fiche d’entrée/de sortie enregistrée pour des ressortissants de pays tiers ayant le statut visé à l’article 2, paragraphe 1, point b), est conservée dans l’EES pendant une durée maximale d’un an après la sortie de ces ressortissants de pays tiers. En l’absence de fiche de sortie, les données sont conservées pendant une période de cinq ans à compter de la date de la dernière fiche d’entrée.

5.  À l’expiration de la durée de conservation visée aux paragraphes 1 à 4, les données en question sont automatiquement effacées ►M2  du système central de l'EES et du CIR ◄ .

Article 35

Modification et effacement anticipé des données

1.  L’État membre responsable a le droit de modifier les données qu’il a introduites dans l’EES, en les rectifiant, en les complétant ou en les effaçant.

2.  Si l’État membre responsable dispose d’éléments de preuve permettant de penser que des données enregistrées dans l’EES sont matériellement erronées ou incomplètes, ou que les données ont été traitées dans l’EES en violation du présent règlement, il vérifie les données concernées et, si nécessaire et sans tarder, les rectifie ou les complète dans l’EES, ou les efface de l’EES ainsi que, le cas échéant, de la liste des personnes identifiées visée à l’article 12, paragraphe 3. Les données peuvent également être vérifiées et rectifiées, complétées ou effacées à la demande de la personne concernée, conformément à l’article 52.

3.  Par dérogation aux paragraphes 1 et 2 du présent article, lorsqu’un État membre autre que l’État membre responsable dispose d’éléments de preuve permettant de penser que des données enregistrées dans l’EES sont matériellement erronées ou incomplètes, ou que les données ont été traitées dans l’EES en violation du présent règlement, il vérifie les données concernées, pour autant qu’il soit possible de le faire sans consulter l’État membre responsable et, si nécessaire et sans tarder, les rectifie ou les complète dans l’EES, ou les efface de l’EES ainsi que, le cas échéant, de la liste des personnes identifiées visée à l’article 12, paragraphe 3. Lorsqu’il s’avère impossible de vérifier les données sans consulter l’État membre responsable, il prend contact avec les autorités de l’État membre responsable dans un délai de sept jours à l’issue duquel l’État membre responsable vérifie l’exactitude des données et la licéité de leur traitement dans un délai d’un mois. Les données peuvent également être vérifiées et rectifiées, complétées ou effacées à la demande du ressortissant de pays tiers concerné, conformément à l’article 52.

4.  Lorsqu’un État membre dispose d’éléments de preuve permettant de penser que des données relatives aux visas enregistrées dans l’EES sont matériellement erronées ou incomplètes, ou que ces données ont été traitées dans l’EES en violation du présent règlement, il vérifie dans un premier temps l’exactitude de ces données en consultant le VIS et, si nécessaire, rectifie ou complète ces données dans l’EES, ou les efface de l’EES. Lorsque les données enregistrées dans le VIS sont identiques à celles enregistrées dans l’EES, il en informe immédiatement l’État membre responsable de leur introduction dans le VIS via l’infrastructure du VIS, conformément à l’article 24, paragraphe 2, du règlement (CE) no 767/2008. L’État membre responsable de l’introduction des données dans le VIS vérifie ces données et, si nécessaire, les rectifie ou les complète dans le VIS, ou les efface du VIS, immédiatement. Il informe l’État membre concerné, qui, si nécessaire et sans tarder, rectifie ou complète ces données dans l’EES, ou les efface de l’EES ainsi que, le cas échéant, de la liste des personnes identifiées visée à l’article 12, paragraphe 3.

5.  Les données relatives aux personnes identifiées visées à l’article 12 sont effacées sans tarder de la liste visée audit article et sont rectifiées ou complétées dans l’EES lorsque le ressortissant de pays tiers concerné apporte la preuve, conformément au droit national de l’État membre responsable ou de l’État membre auquel la demande a été présentée, que des événements graves et imprévisibles l’ont contraint à dépasser la durée du séjour autorisé, qu’il a obtenu un droit de séjour régulier ou qu’il y a eu une erreur. Sans préjudice de tout recours administratif ou extrajudiciaire à sa disposition, ce ressortissant de pays tiers dispose d’un droit de recours juridictionnel effectif pour garantir que les données sont rectifiées, complétées ou effacées.

6.  Lorsqu’un ressortissant de pays tiers a acquis la nationalité d’un État membre ou est entré dans le champ d’application de l’article 2, paragraphe 3, avant l’expiration de la durée applicable visée à l’article 34, son dossier individuel et les fiches d’entrée/de sortie qui sont rattachées à ce dossier individuel conformément aux articles 16 et 17, ainsi que les fiches de refus d’entrée rattachées à ce dossier individuel conformément à l’article 18, sont, sans tarder et, en tout état de cause, au plus tard cinq jours ouvrables à compter de la date à laquelle le ressortissant de pays tiers a acquis la nationalité d’un État membre ou est entré dans le champ d’application de l’article 2, paragraphe 3, avant l’expiration de la durée visée à l’article 34, effacés de l’EES, ainsi que, le cas échéant, de la liste des personnes identifiées visée à l’article 12, paragraphe 3, par:

Lorsqu’un ressortissant de pays tiers a acquis la nationalité de l’Andorre, de Monaco ou de Saint-Marin, ►C1  ou qu’il est en possession d’un passeport délivré par l’État de la Cité du Vatican ou le Saint-Siège, il informe ◄ de ce changement les autorités compétentes de l’État membre dans lequel il entre ensuite. Cet État membre efface sans tarder les données relatives à cette personne de l’EES. Le ressortissant de pays tiers en question dispose d’un droit de recours juridictionnel effectif pour garantir que les données sont effacées.

▼M2

7.  Le système central de l'EES et le CIR informent immédiatement tous les États membres de l'effacement des données de l'EES ou du CIR et, le cas échéant, les suppriment de la liste des personnes identifiées visée à l'article 12, paragraphe 3.

▼B

8.  Lorsqu’un État membre autre que l’État membre responsable a rectifié, complété ou effacé des données conformément au présent règlement, cet État membre devient l’État membre responsable de la rectification, des ajouts ou de l’effacement des données. L’EES enregistre toutes les rectifications, tous les ajouts et tous les effacements de données.

CHAPITRE VI

DÉVELOPPEMENT, FONCTIONNEMENT ET RESPONSABILITÉS

Article 36

Adoption d’actes d’exécution par la Commission avant le développement

La Commission adopte les actes d’exécution nécessaires au développement et à la mise en œuvre technique ►M2  du système central de l'EES et du CIR ◄ , des IUN, de l’infrastructure de communication, du service internet visé à l’article 13 et du répertoire des données visé à l’article 63, paragraphe 2, en particulier des mesures concernant:

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

En ce qui concerne l’adoption des actes d’exécution prévus au premier alinéa, point i), du présent article, le comité institué par l’article 68 du présent règlement consulte le comité VIS établi par l’article 49 du règlement (CE) no 767/2008.

Article 37

Développement et gestion opérationnelle

▼M2

1.  L'eu-LISA est responsable du développement du système central de l'EES et du CIR, des IUN, de l'infrastructure de communication et du canal de communication sécurisé entre le système central de l'EES et le système central du VIS. L'eu-LISA est également responsable du développement du service internet visé à l'article 13 conformément aux règles détaillées visées à l'article 13, paragraphe 7, et aux spécifications et conditions adoptées en vertu de l'article 36, premier alinéa, point h) et du développement du répertoire des données visé à l'article 63, paragraphe 2.

▼B

L’eu-LISA définit la conception de l’architecture matérielle de l’EES, y compris son infrastructure de communication, ainsi que les spécifications techniques et leur évolution en ce qui concerne le système central de l’EES, les IUN, l’infrastructure de communication, le canal de communication sécurisé entre le système central de l’EES et le système central du VIS, le service internet visé à l’article 13 du présent règlement et le répertoire des données visé à l’article 63, paragraphe 2, du présent règlement. Ces spécifications techniques sont adoptées par le conseil d’administration de l’eu-LISA après avis favorable de la Commission. L’eu-LISA met également en œuvre tout aménagement du VIS éventuellement nécessaire à la suite de l’établissement de l’interopérabilité avec l’EES et de la mise en œuvre des modifications du règlement (CE) no 767/2008 mentionnées à l’article 61 du présent règlement.

L’eu-LISA développe et met en œuvre le système central de l’EES, les IUN, l’infrastructure de communication, le canal de communication sécurisé entre le système central de l’EES et le système central du VIS, ainsi que le service internet visé à l’article 13 et le répertoire des données visé à l’article 63, paragraphe 2, dès que possible après l’adoption par la Commission des mesures prévues à l’article 36.

Le développement consiste en l’élaboration et la mise en œuvre des spécifications techniques, la réalisation d’essais et la coordination générale du projet.

Lors du développement et de la mise en œuvre du système central de l’EES, des IUN, de l’infrastructure de communication, du canal de communication sécurisé entre le système central de l’EES et le système central du VIS, du site internet visé à l’article 13 et du ficher de données visé à l’article 63, paragraphe 2, les tâches de l’eu-LISA sont également les suivantes:

2.  Pendant la phase de conception et de développement, un conseil de gestion du programme, composé d’un maximum de dix membres, est créé. Il est constitué de sept membres nommés par le conseil d’administration de l’eu-LISA parmi ses membres ou membres suppléants, du président du groupe consultatif de l’EES visé à l’article 69, d’un membre représentant l’eu-LISA désigné par son directeur exécutif et d’un membre désigné par la Commission. Les membres nommés par le conseil d’administration de l’eu-LISA sont choisis uniquement parmi les États membres qui sont pleinement liés, en vertu du droit de l’Union, par les instruments législatifs régissant le développement, la création, le fonctionnement et l’utilisation de tous les systèmes d’information à grande échelle gérés par l’eu-LISA et qui respectent les conditions énoncées à l’article 66, paragraphe 2.

Le conseil de gestion du programme se réunit régulièrement et au moins trois fois par trimestre. Il veille à la bonne gestion de la phase de conception et de développement de l’EES ainsi qu’à la cohérence entre les projets de l’EES aux niveaux central et national.

Le conseil de gestion du programme présente chaque mois au conseil d’administration de l’eu-LISA des rapports écrits sur l’état d’avancement du projet. Le conseil de gestion du programme n’a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter les membres du conseil d’administration de l’eu-LISA.

Le conseil d’administration de l’eu-LISA définit le règlement intérieur du conseil de gestion du programme, qui comprend notamment des règles sur:

La présidence du conseil de gestion du programme est exercée par un État membre qui est pleinement lié, en vertu du droit de l’Union, par les instruments législatifs régissant le développement, la création, le fonctionnement et l’utilisation de tous les systèmes d’information à grande échelle gérés par l’eu-LISA.

Tous les frais de voyage et de séjour exposés par les membres du conseil de gestion du programme sont pris en charge par l’eu-LISA et l’article 10 du règlement intérieur de l’eu LISA s’applique mutatis mutandis. Le secrétariat du conseil de gestion du programme est assuré par l’eu-LISA.

Pendant la phase de conception et de développement, le groupe consultatif de l’EES visé à l’article 69 est composé des gestionnaires de projets de l’EES au niveau national et est présidé par l’eu-LISA. Il se réunit régulièrement et au moins trois fois par trimestre jusqu’à la mise en service de l’EES. Après chaque réunion, il rend compte au conseil de gestion du programme. Il fournit l’expertise technique nécessaire à l’appui des tâches du conseil de gestion du programme et suit l’état de préparation des États membres.

▼M2

3.  L'eu-LISA est responsable de la gestion opérationnelle du système central de l'EES et du CIR, des IUN et du canal de communication sécurisé entre le système central de l'EES et le système central du VIS. Elle veille, en coopération avec les États membres, à ce que la meilleure technologie disponible, sous réserve d'une analyse coûts/avantages, soit utilisée en permanence pour le système central de l'EES et le CIR, les IUN, l'infrastructure de communication, le canal de communication sécurisé entre le système central de l'EES et le système central du VIS, le service internet visé à l'article 13 et le répertoire des données visé à l'article 63, paragraphe 2. L'eu-LISA est également responsable de la gestion opérationnelle de l'infrastructure de communication entre le système central de l'EES et les IUN, du service internet visé à l'article 13 et du répertoire des données visé à l'article 63, paragraphe 2.

▼B

La gestion opérationnelle de l’EES comprend toutes les tâches nécessaires au fonctionnement de l’EES 24 heures sur 24, 7 jours sur 7, conformément au présent règlement, en particulier les travaux de maintenance et les perfectionnements techniques indispensables pour que l’EES fonctionne à un niveau satisfaisant de qualité opérationnelle, notamment quant au temps de réponse pour l’interrogation du système central de l’EES par les autorités frontalières, conformément aux spécifications techniques.

4.  Sans préjudice de l’article 17 du statut des fonctionnaires de l’Union européenne et du régime applicable aux autres agents de l’Union, prévus par le règlement (CEE, Euratom, CECA) no 259/68 du Conseil ( 12 ), l’eu-LISA veille à ce que les membres de son personnel qui sont appelés à travailler avec des données de l’EES ou avec des données stockées dans l’EES appliquent des règles appropriées en matière de secret professionnel ou d’autres obligations de confidentialité équivalentes. Cette obligation continue de s’appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leurs activités.

Article 38

Responsabilités incombant aux États membres et à Europol

1.  Chaque État membre est responsable:

2.  Chaque État membre désigne une autorité nationale qui donne l’accès à l’EES aux autorités compétentes visées à l’article 9, paragraphe 2. Chaque État membre connecte cette autorité nationale à l’IUN. Chaque État membre connecte à l’IUN ses points d’accès centraux respectifs visés à l’article 29.

3.  Chaque État membre applique des procédures automatisées pour le traitement des données de l’EES.

4.  Les États membres veillent à ce que la performance technique de l’infrastructure de contrôle aux frontières, sa disponibilité, la durée des vérifications aux frontières et la qualité des données soient étroitement surveillées afin de garantir le respect de l’ensemble des exigences en vue du bon fonctionnement de l’EES et de l’efficacité de la procédure de vérification aux frontières.

5.  Avant d’être autorisé à traiter des données stockées dans l’EES, le personnel des autorités ayant un droit d’accès à l’EES reçoit une formation appropriée concernant notamment les règles en matière de sécurité et de protection des données ainsi que les droits fondamentaux pertinents.

6.  Les États membres ne traitent pas les données figurant dans l’EES ou extraites de l’EES à des fins autres que celles prévues par le présent règlement.

7.  Europol assume les responsabilités prévues au paragraphe 1, point d), et aux paragraphes 3, 5 et 6. Il connecte le point d’accès central d’Europol à l’EES et est responsable de cette connexion.

Article 39

Responsabilité en matière de traitement des données

1.  En ce qui concerne le traitement de données à caractère personnel dans l’EES, chaque État membre désigne l’autorité qui doit être considérée comme le responsable du traitement au sens de l’article 4, point 7), du règlement (UE) 2016/679 et qui assume la responsabilité centrale du traitement des données par ledit État membre. Chaque État membre communique les coordonnées de cette autorité à la Commission.

Chaque État membre veille à la licéité du traitement des données collectées et enregistrées dans l’EES; il veille, en particulier, à ce que seul le personnel dûment autorisé ait accès aux données pour l’exécution de ses tâches. L’État membre responsable s’assure notamment que les données sont:

2.  L’eu-LISA veille à ce que l’EES soit géré conformément au présent règlement et aux actes d’exécution visés à l’article 36. En particulier, l’eu-LISA:

3.  L’eu-LISA informe le Parlement européen, le Conseil et la Commission, ainsi que le Contrôleur européen de la protection des données, des mesures qu’elle prend, en vertu du paragraphe 2, en vue de la mise en service de l’EES.

Article 40

Conservation des données dans les fichiers nationaux et les systèmes nationaux d’entrée/de sortie

1.  Un État membre peut conserver, dans son système national d’entrée/de sortie ou dans des fichiers nationaux équivalents, les données alphanumériques qu’il a introduites dans l’EES conformément aux finalités de l’EES et dans le respect absolu du droit de l’Union.

2.  Les données ne peuvent être conservées dans les systèmes nationaux d’entrée/de sortie ou dans des fichiers nationaux équivalents plus longtemps qu’elles ne le sont dans l’EES.

3.  Toute utilisation de données non conforme au paragraphe 1 est considérée comme une utilisation abusive en vertu du droit national de chaque État membre et du droit de l’Union.

4.  Le présent article ne saurait être interprété comme exigeant un quelconque aménagement technique de l’EES. Les États membres peuvent conserver des données conformément au présent article à leurs propres frais et risques et en utilisant leurs propres moyens techniques.

Article 41

Communication de données à des pays tiers, à des organisations internationales et à des entités privées

1.  Les données stockées dans l’EES ne peuvent être transférées à un pays tiers, une organisation internationale ou une entité privée quelconque, ni être mises à leur disposition.

2.  Par dérogation au paragraphe 1 du présent article, les données visées à l’article 16, paragraphe 1, et à l’article 17, paragraphe 1, points a), b) et c), du présent règlement peuvent être transférées à un pays tiers ou à une organisation internationale figurant à l’annexe I du présent règlement par les autorités frontalières ou les autorités chargées de l’immigration, dans des cas individuels, si cela est nécessaire pour prouver l’identité de ressortissants de pays tiers aux seules fins du retour, uniquement lorsque l’une des conditions ci-après est remplie:

3.  Les données visées à l’article 16, paragraphe 1, et à l’article 17, paragraphe 1, points a), b) et c), du présent règlement peuvent être transférées conformément au paragraphe 2 du présent article uniquement lorsque l’ensemble des conditions suivantes sont remplies:

4.  Les transferts de données à caractère personnel à des pays tiers ou à des organisations internationales effectués en vertu du paragraphe 2 ne portent pas atteinte aux droits des demandeurs et des bénéficiaires d’une protection internationale, notamment en ce qui concerne le non-refoulement.

5.  Les données à caractère personnel obtenues dans le système central de l’EES par un État membre ou par Europol à des fins répressives ne peuvent être transférées à un pays tiers, à une organisation internationale ou à une entité privée établie ou non dans l’Union, ni être mises à leur disposition. Cette interdiction s’applique aussi si ces données font l’objet d’un traitement ultérieur au niveau national ou entre États membres conformément à la directive (UE) 2016/680.

6.  Par dérogation au paragraphe 5 du présent article, les données visées à l’article 16, paragraphe 1, points a), b) et c), à l’article 16, paragraphe 2, points a) et b), à l’article 16, paragraphe 3, points a) et b), et à l’article 17, paragraphe 1, point a), peuvent être transférées par l’autorité désignée à un pays tiers dans des cas individuels, uniquement lorsque l’ensemble des conditions suivantes sont remplies:

Lorsqu’un transfert est effectué en vertu du premier alinéa du présent paragraphe, ce transfert est documenté et la documentation est, sur demande, mise à la disposition de l’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680, et comporte la date et l’heure du transfert, des informations sur l’autorité compétente destinataire, la justification du transfert et les données à caractère personnel transférées.

Article 42

Conditions relatives à la communication de données à un État membre qui ne met pas encore en œuvre l’EES et à un État membre auquel le présent règlement ne s’applique pas

1.  Les données visées à l’article 16, paragraphe 1, points a), b) et c), à l’article 16, paragraphe 2, points a) et b), à l’article 16, paragraphe 3, points a) et b), et à l’article 17, paragraphe 1, point a), peuvent, dans des cas individuels, être transférées par une autorité désignée à un État membre qui ne met pas encore en œuvre l’EES et à un État membre auquel le présent règlement ne s’applique pas, uniquement lorsque l’ensemble des conditions suivantes sont remplies:

Lorsqu’un transfert est effectué en vertu du premier alinéa du présent paragraphe, ce transfert est documenté et la documentation est, sur demande, mise à la disposition de l’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680, et comporte la date et l’heure du transfert, des informations sur l’autorité compétente destinataire, la justification du transfert et les données à caractère personnel transférées.

2.  Lorsque des données sont fournies en application du présent article, les mêmes conditions que celles prévues à l’article 43, paragraphe 1, à l’article 45, paragraphes 1 et 3, à l’article 48 et à l’article 58, paragraphe 4, s’appliquent mutatis mutandis.

Article 43

Sécurité des données

1.  L’État membre responsable assure la sécurité des données avant et pendant leur transmission à l’IUN. Chaque État membre assure la sécurité des données qu’il reçoit de l’EES.

2.  Chaque État membre adopte, en ce qui concerne son infrastructure frontalière nationale, les mesures nécessaires, y compris un plan de sécurité, un plan de continuité des activités et un plan de rétablissement après sinistre, afin:

3.  En ce qui concerne le fonctionnement de l’EES, l’eu-LISA prend les mesures nécessaires à la réalisation des objectifs énoncés au paragraphe 2, y compris l’adoption d’un plan de sécurité, d’un plan de continuité des activités et d’un plan de rétablissement après sinistre. L’eu-LISA assure aussi la fiabilité en veillant à ce que des mesures techniques nécessaires soient mises en place pour que les données à caractère personnel puissent être rétablies en cas de corruption due à un dysfonctionnement de l’EES.

4.  L’eu-LISA et les États membres coopèrent afin d’assurer une approche harmonisée en matière de sécurité des données, sur la base d’un processus de gestion des risques pour la sécurité englobant l’ensemble de l’EES.

Article 44

Incidents de sécurité

1.  Tout événement ayant ou pouvant avoir un impact sur la sécurité de l’EES et susceptible d’entraîner des dommages ou des pertes au niveau des données stockées dans l’EES est considéré comme un incident de sécurité, en particulier lorsque des données peuvent avoir été consultées sans autorisation ou que la disponibilité, l’intégrité et la confidentialité de données ont été ou peuvent avoir été compromises.

2.  Les incidents de sécurité sont gérés de telle sorte qu’une réponse rapide, efficace et idoine y soit apportée.

3.  Sans préjudice de la notification et de la communication d’une violation de données à caractère personnel conformément à l’article 33 du règlement (UE) 2016/679, à l’article 30 de la directive (UE) 2016/680, ou aux deux, les États membres notifient les incidents de sécurité à la Commission, à l’eu-LISA et au Contrôleur européen de la protection des données. En cas d’incident de sécurité concernant le système central de l’EES, l’eu-LISA en informe la Commission et le Contrôleur européen de la protection des données.

4.  Les informations relatives à un incident de sécurité ayant ou pouvant avoir un impact sur le fonctionnement de l’EES ou sur la disponibilité, l’intégrité et la confidentialité des données sont communiquées aux États membres et consignées conformément au plan de gestion des incidents qui doit être élaboré par l’eu-LISA.

5.  Les États membres concernés et l’eu-LISA coopèrent en cas d’incident de sécurité.

Article 45

Responsabilité

1.  Toute personne ou tout État membre ayant subi un dommage matériel ou immatériel du fait d’une opération de traitement illicite ou de toute action non conforme au présent règlement a le droit d’obtenir réparation de l’État membre responsable du dommage subi. Cet État membre est exonéré, partiellement ou totalement, de cette responsabilité s’il prouve que le fait générateur du dommage ne lui est nullement imputable.

2.  Si le non-respect, par un État membre, des obligations qui lui incombent au titre du présent règlement cause un dommage à l’EES, cet État membre en est tenu pour responsable, sauf si l’eu-LISA ou un autre État membre participant à l’EES n’a pas pris de mesures raisonnables pour prévenir le dommage ou en atténuer les effets.

3.  Les actions en réparation intentées à l’encontre d’un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par les dispositions du droit national de l’État membre défendeur.

Article 46

Tenue de registres par l’eu-LISA et les États membres

1.  L’eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le cadre de l’EES. Ces registres comprennent les éléments suivants:

▼M2

▼B

2.  En ce qui concerne les consultations énumérées à l’article 8, un registre de chaque opération de traitement de données effectuée dans l’EES et le VIS est conservé conformément au présent article et à l’article 34 du règlement (CE) no 767/2008. En particulier, l’eu-LISA veille à ce que le registre pertinent des opérations de traitement de données concernées soit conservé lorsque les autorités compétentes lancent une opération de traitement de données directement d’un système à l’autre.

3.  Outre les paragraphes 1 et 2, chaque État membre tient un registre du personnel dûment autorisé à traiter les données de l’EES.

4.  Ces registres ne peuvent être utilisés que pour contrôler la protection des données, y compris la vérification de l’admissibilité d’une demande et de la licéité du traitement des données, et pour garantir la sécurité des données conformément à l’article 43. Ces registres sont protégés par des mesures appropriées empêchant tout accès non autorisé et sont effacés un an après l’expiration de la durée de conservation prévue à l’article 34, sauf s’ils sont nécessaires à des procédures de contrôle déjà engagées.

Article 47

Autocontrôle

Les États membres veillent à ce que chaque autorité habilitée à avoir accès aux données de l’EES prenne les mesures nécessaires pour se conformer au présent règlement et coopère, en tant que de besoin, avec les autorités de contrôle.

Article 48

Sanctions

Les États membres prennent les mesures nécessaires pour que toute utilisation de données introduites dans l’EES d’une manière non conforme au présent règlement soit passible de sanctions effectives, proportionnées et dissuasives conformément au droit national, à l’article 84 du règlement (UE) 2016/679 et à l’article 57 de la directive (UE) 2016/680.

Article 49

Protection des données

1.  Le règlement (CE) no 45/2001 s’applique au traitement de données à caractère personnel effectué par l’eu-LISA sur la base du présent règlement.

2.  Le règlement (UE) 2016/679 s’applique au traitement de données à caractère personnel effectué par les autorités nationales sur la base du présent règlement, à l’exception du traitement effectué aux fins visées à l’article 1er, paragraphe 2, du présent règlement.

3.  La directive (UE) 2016/680 s’applique au traitement de données à caractère personnel effectué par les autorités désignées des États membres, sur la base du présent règlement, aux fins visées à l’article 1er, paragraphe 2, du présent règlement.

4.  Le règlement (UE) 2016/794 s’applique au traitement de données à caractère personnel effectué par Europol sur la base du présent règlement.

CHAPITRE VII

DROITS ET CONTRÔLE EN MATIÈRE DE PROTECTION DES DONNÉES

Article 50

Droit à l’information

1.  Sans préjudice du droit à l’information établi à l’article 13 du règlement (UE) 2016/679, l’État membre responsable fournit les informations ci-après aux ressortissants de pays tiers dont les données doivent être enregistrées dans l’EES:

2.  Les informations mentionnées au paragraphe 1 du présent article sont fournies par écrit, par tout moyen approprié, sous une forme concise, transparente, compréhensible et aisément accessible, et sont mises à disposition, en des termes clairs et simples, dans une version linguistique que la personne concernée comprend ou dont on peut raisonnablement supposer qu’elle la comprend, afin de garantir que les ressortissants de pays tiers sont informés de leurs droits, au moment de la création du dossier individuel de la personne concernée conformément à l’article 16, 17 ou 18.

3.  La Commission met également en place un site internet sur lequel figurent les informations visées au paragraphe 1.

4.  La Commission adopte des actes d’exécution concernant l’élaboration des informations visées au paragraphe 1 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

5.  La Commission communique les informations visées au paragraphe 1 du présent article dans un document type. Le document type est élaboré de telle manière que les États membres peuvent y ajouter des informations spécifiques les concernant. Ces informations propres aux États membres portent au moins sur les droits de la personne concernée, sur la possibilité d’une assistance de la part des autorités de contrôle, ainsi que sur les coordonnées des services du responsable du traitement et du délégué à la protection des données et des autorités de contrôle. La Commission adopte des actes d’exécution concernant les spécifications et conditions relatives au site internet visé au paragraphe 3 du présent article. Ces actes d’exécution sont adoptés avant la mise en service de l’EES en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

Article 51

Campagne d’information

La Commission, en coopération avec les autorités de contrôle et le Contrôleur européen de la protection des données, accompagne la mise en service de l’EES d’une campagne d’information visant à faire connaître au public et, en particulier, aux ressortissants de pays tiers les objectifs de l’EES, les données stockées dans l’EES, les autorités disposant d’un droit d’accès et les droits des personnes concernées. Ces campagnes d’information sont menées régulièrement.

Article 52

Droit d’accès aux données à caractère personnel, droit de faire rectifier, compléter et effacer les données à caractère personnel, et droit à en faire limiter le traitement

1.  Les demandes de ressortissants de pays tiers relatives aux droits prévus aux articles 15 à 18 du règlement (UE) 2016/679 peuvent être adressées à l’autorité compétente de tout État membre.

L’État membre responsable ou l’État membre auquel la demande a été présentée répond à de telles demandes dans un délai de quarante-cinq jours à compter de la réception de la demande.

2.  Si une demande visant à faire rectifier, compléter, ou effacer des données à caractère personnel ou à en faire limiter le traitement est adressée à un État membre autre que l’État membre responsable, les autorités de l’État membre auquel la demande a été présentée vérifient l’exactitude des données et la licéité de leur traitement dans l’EES dans un délai de trente jours à compter de la réception de la demande lorsque cette vérification peut se faire sans consulter l’État membre responsable. Dans le cas contraire, l’État membre auquel la demande a été présentée prend contact, dans un délai de sept jours, avec les autorités de l’État membre responsable et ce dernier vérifie l’exactitude des données et la licéité de leur traitement dans un délai de trente jours à compter de cette prise de contact.

3.  S’il apparaît que les données enregistrées dans l’EES sont matériellement erronées ou incomplètes ou qu’elles y ont été enregistrées de façon illicite, l’État membre responsable ou, le cas échéant, l’État membre auquel la demande a été présentée rectifie, complète ou efface les données à caractère personnel ou en limite le traitement conformément à l’article 35. L’État membre responsable ou, le cas échéant, l’État membre auquel la demande a été présentée confirme par écrit et sans tarder à la personne concernée qu’il a pris des mesures pour rectifier, compléter ou effacer les données à caractère personnel concernant cette personne ou pour en limiter le traitement.

S’il apparaît que les données relatives aux visas enregistrées dans l’EES sont matériellement erronées ou incomplètes ou qu’elles y ont été enregistrées de façon illicite, l’État membre responsable ou, le cas échéant, l’État membre auquel la demande a été présentée vérifie dans un premier temps l’exactitude de ces données en consultant le VIS et, si nécessaire, les modifie dans l’EES. Si les données enregistrées dans le VIS sont identiques à celles de l’EES, l’État membre responsable ou, le cas échéant, l’État membre auquel la demande a été présentée prend contact, dans un délai de sept jours, avec les autorités de l’État membre qui est responsable de l’introduction de ces données dans le VIS. L’État membre responsable de l’introduction des données dans le VIS vérifie, dans un délai de trente jours à compter de cette prise de contact, l’exactitude des données relatives aux visas et la licéité de leur traitement dans l’EES et informe l’État membre responsable ou l’État membre auquel la demande a été présentée qui, si nécessaire et sans tarder, rectifie ou complète les données à caractère personnel de la personne concernée ou limite le traitement de ces données dans l’EES, ou efface ces données de l’EES ainsi que, le cas échéant, de la liste de personnes identifiées visée à l’article 12, paragraphe 3.

4.  Si l’État membre responsable ou, le cas échéant, l’État membre auquel la demande a été présentée n’est pas d’avis que les données enregistrées dans l’EES sont matériellement erronées ou incomplètes ou qu’elles y ont été enregistrées de façon illicite, il adopte une décision administrative indiquant par écrit et sans tarder au ressortissant de pays tiers concerné les raisons pour lesquelles il n’est pas disposé à rectifier, compléter ou effacer les données à caractère personnel le concernant ou à en limiter le traitement.

5.  L’État membre qui a adopté la décision administrative conformément au paragraphe 4 du présent article communique également au ressortissant de pays tiers concerné des précisions quant aux mesures qu’il peut prendre s’il n’accepte pas l’explication fournie. Cela comprend des informations sur les modalités de recours ou de plainte devant les autorités ou les juridictions compétentes de cet État membre, ainsi que sur toute aide dont la personne concernée peut disposer en vertu des lois, réglementations et procédures de cet État membre, y compris de la part de l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679.

6.  Toute demande présentée au titre des paragraphes 1 et 2 comporte les informations minimales nécessaires à l’identification du ressortissant de pays tiers concerné. Des empreintes digitales peuvent être requises à cet effet, uniquement dans des cas dûment justifiés et en cas de doute sérieux quant à l’identité du demandeur. Ces informations sont utilisées exclusivement pour permettre au ressortissant de pays tiers d’exercer les droits visés au paragraphe 1 et sont ensuite immédiatement effacées.

7.  Lorsqu’une personne a présenté une demande conformément au paragraphe 1 du présent article, l’autorité compétente de l’État membre responsable ou de l’État membre auquel la demande a été présentée consigne, dans un document écrit, la présentation de cette demande. Ce document contient des informations sur la manière dont ladite demande a été gérée et sur l’autorité qui l’a traitée. L’autorité compétente met ce document dans un délai de sept jours à la disposition de l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679.

Article 53

Coopération en vue de faire respecter les droits relatifs à la protection des données

1.  Les autorités compétentes des États membres coopèrent activement afin de faire respecter les droits prévus à l’article 52.

2.  Dans chaque État membre, l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 assiste et conseille, sur demande, la personne concernée dans l’exercice de son droit à faire rectifier, compléter ou effacer les données à caractère personnel la concernant ou à en faire limiter le traitement, conformément au règlement (UE) 2016/679.

Afin d’atteindre les objectifs visés au premier alinéa, l’autorité de contrôle de l’État membre responsable qui a transmis les données et l’autorité de contrôle de l’État membre auquel la demande a été présentée coopèrent entre elles.

Article 54

Voies de recours

1.  Sans préjudice des articles 77 et 79 du règlement (UE) 2016/679, dans chaque État membre, toute personne a le droit de former un recours ou de déposer une plainte devant les autorités ou les juridictions compétentes de l’État membre qui lui a refusé le droit d’accès aux données la concernant ou le droit de faire rectifier, compléter ou effacer ces données prévu à l’article 52 et à l’article 53, paragraphe 2, du présent règlement. Le droit de former un tel recours ou de déposer une telle plainte vaut également lorsque les demandes d’accès, ou les demandes visant à faire rectifier, compléter ou effacer des données n’ont pas reçu de réponse dans les délais prévus à l’article 52 ou n’ont jamais été traitées par le responsable du traitement.

2.  L’assistance de l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 demeure acquise pendant toute la durée de la procédure.

Article 55

Contrôle par l’autorité de contrôle

1.  Chaque État membre veille à ce que l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 contrôle en toute indépendance la licéité du traitement, effectué par l’État membre en question, des données à caractère personnel visées aux chapitres II, III, V et VI du présent règlement, y compris de leur transmission à partir de l’EES et vers celui-ci.

2.  L’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 veille à ce qu’un audit des opérations de traitement des données dans le cadre des infrastructures frontalières nationales, répondant aux normes internationales applicables en matière d’audit, soit réalisé tous les trois ans au minimum à compter de la mise en service de l’EES. Les résultats de l’audit peuvent être pris en compte dans les évaluations menées dans le cadre du mécanisme créé par le règlement (UE) no 1053/2013 du Conseil ( 13 ). L’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 publie chaque année le nombre de demandes visant à faire rectifier, compléter ou effacer des données, ou à en faire limiter le traitement, les mesures prises par la suite et le nombre de rectifications, d’ajouts, d’effacements auxquels il a été procédé et de limites apportées au traitement, en réponse aux demandes des personnes concernées.

3.  Les États membres veillent à ce que leur autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 dispose de ressources suffisantes pour s’acquitter des tâches qui lui sont confiées dans le cadre du présent règlement et puisse demander conseil à des personnes ayant des connaissances suffisantes en matière de données biométriques.

4.  Les États membres communiquent toutes les informations demandées par l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 et lui fournissent, en particulier, les informations relatives aux activités menées conformément à l’article 38, à l’article 39, paragraphe 1, et à l’article 43. Les États membres donnent à l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 accès à leurs registres visés à l’article 46 et lui permettent d’accéder, à tout moment, à l’ensemble de leurs locaux liés à l’EES.

Article 56

Contrôle par le Contrôleur européen de la protection des données

1.  Le Contrôleur européen de la protection des données est chargé de contrôler les activités de traitement des données à caractère personnel menées par l’eu-LISA concernant l’EES et de veiller à ce que ces activités soient effectuées conformément au règlement (CE) no 45/2001 et au présent règlement.

2.  Le Contrôleur européen de la protection des données veille à ce que soit réalisé, tous les trois ans au minimum, un audit des activités de traitement des données à caractère personnel menées par l’eu-LISA, répondant aux normes internationales applicables en matière d’audit. Un rapport d’audit est communiqué au Parlement européen, au Conseil, à la Commission, à l’eu-LISA et aux autorités de contrôle. L’eu-LISA a la possibilité de formuler des observations avant l’adoption du rapport.

3.  L’eu-LISA fournit au Contrôleur européen de la protection des données les renseignements qu’il demande et lui donne accès à tous les documents et à ses registres visés à l’article 46 et lui permet, à tout moment, d’accéder à l’ensemble de ses locaux.

Article 57

Coopération entre les autorités de contrôle et le Contrôleur européen de la protection des données

1.  Les autorités de contrôle et le Contrôleur européen de la protection des données, agissant chacun dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités respectives et assurent une surveillance coordonnée de l’EES et des infrastructures frontalières nationales.

2.  Les autorités de contrôle et le Contrôleur européen de la protection des données échangent les informations utiles, s’assistent mutuellement pour mener les audits et inspections, examinent les difficultés concernant l’interprétation ou l’application du présent règlement, analysent les problèmes pouvant se poser dans l’exercice du contrôle indépendant ou dans l’exercice des droits de la personne concernée, formulent des propositions harmonisées en vue de trouver des solutions communes aux éventuels problèmes et assurent la sensibilisation aux droits en matière de protection des données, selon les besoins.

3.  Aux fins du paragraphe 2, les autorités de contrôle et le Contrôleur européen de la protection des données se réunissent au moins deux fois par an dans le cadre du comité européen de la protection des données établi par le règlement (UE) 2016/679 (ci-après dénommé «comité européen de la protection des données»). Le coût de ces réunions et leur organisation sont pris en charge par ledit comité. Le règlement intérieur est adopté lors de la première réunion. D’autres méthodes de travail sont mises au point conjointement, selon les besoins.

4.  Un rapport d’activités conjoint est transmis tous les deux ans par le Comité européen de la protection des données au Parlement européen, au Conseil, à la Commission et à l’eu-LISA. Ce rapport comporte un chapitre sur chaque État membre, établi par les autorités de contrôle de l’État membre concerné.

Article 58

Protection des données à caractère personnel consultées conformément au chapitre IV

1.  Chaque État membre veille à ce que les dispositions législatives, réglementaires et administratives nationales qu’il a adoptées en application de la directive (UE) 2016/680 s’appliquent aussi à la consultation de l’EES par ses autorités nationales conformément à l’article 1er, paragraphe 2, du présent règlement, y compris pour ce qui est des droits des personnes dont les données sont ainsi consultées.

2.  L’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680 contrôle la licéité des consultations de données à caractère personnel effectuées par les États membres conformément au chapitre IV du présent règlement, y compris de leur transmission à partir de l’EES et vers celui-ci. L’article 55, paragraphes 3 et 4, du présent règlement s’applique en conséquence.

3.  Le traitement de données à caractère personnel par Europol en application du présent règlement est effectué conformément au règlement (UE) 2016/794 et est contrôlé par le Contrôleur européen de la protection des données.

4.  Les données à caractère personnel consultées dans l’EES conformément au chapitre IV ne sont traitées qu’à des fins de prévention et de détection du cas précis pour lequel les données ont été demandées par un État membre ou par Europol, ou aux fins des enquêtes sur ce cas.

5.  Le système central de l’EES, les autorités désignées, les points d’accès centraux, ainsi qu’Europol établissent des relevés des recherches effectuées afin de permettre à l’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680 et au Contrôleur européen de la protection des données de contrôler que le traitement des données respecte les règles de l’Union et les règles nationales en matière de protection des données. Si ce n’est à cette fin, les données à caractère personnel ainsi que les relevés des recherches sont effacés de tous les fichiers nationaux et de ceux d’Europol après trente jours, à moins que ces données et relevés ne soient nécessaires aux fins de l’enquête pénale précise en cours pour laquelle ils avaient été demandés par un État membre ou par Europol.

Article 59

Registre et documentation

1.  Chaque État membre et Europol veillent à ce que toutes les opérations de traitement de données résultant de demandes d’accès aux données de l’EES conformément au chapitre IV soient consignées dans un registre ou fassent l’objet d’une documentation, à des fins de vérification de la recevabilité de la demande, et de contrôle de la licéité du traitement des données et de l’intégrité et de la sécurité des données, ainsi qu’à des fins d’autocontrôle.

2.  Le registre ou la documentation mentionnent dans tous les cas:

3.  Les registres et la documentation ne sont utilisés que pour contrôler la licéité du traitement des données et pour garantir l’intégrité et la sécurité des données. Seuls les registres qui ne contiennent pas de données à caractère personnel peuvent être utilisés aux fins du suivi et de l’évaluation prévus à l’article 72 du présent règlement. L’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680, qui est chargée de vérifier la recevabilité de la demande et de contrôler la licéité du traitement des données ainsi que l’intégrité et la sécurité des données, se voit octroyer l’accès à ces registres à sa demande aux fins de l’accomplissement des tâches qui lui incombent.

CHAPITRE VIII

MODIFICATIONS D’AUTRES INSTRUMENTS DE L’UNION

Article 60

Modifications de la convention d’application de l’accord de Schengen

L’article 20 de la convention d’application de l’accord de Schengen est modifié comme suit:

«2.  Le paragraphe 1 ne fait pas obstacle au droit de chaque Partie Contractante de prolonger au-delà de 90 jours sur toute période de 180 jours le séjour d’un étranger sur son territoire:

«2 bis.  Le séjour d’un étranger sur le territoire d’une Partie Contractante peut être prolongé par application d’un accord bilatéral en vertu du paragraphe 2, point b), sur demande de l’étranger introduite auprès des autorités compétentes de cette Partie Contractante à l’entrée ou au cours du séjour de l’étranger au plus tard le dernier jour ouvrable de son séjour de 90 jours sur toute période de 180 jours.

Lorsque l’étranger n’a pas introduit de demande au cours de son séjour de 90 jours sur toute période de 180 jours, son séjour peut être prolongé en vertu d’un accord bilatéral conclu par une Partie Contractante et son séjour au-delà du séjour de 90 jours sur toute période de 180 jours précédant ladite prolongation peut être présumé licite par les autorités compétentes de cette Partie Contractante pour autant que l’étranger en question présente des éléments de preuve crédibles établissant qu’au cours de cette période, il n’a séjourné que sur le territoire de cette Partie Contractante.

2 ter.  Lorsque le séjour est prolongé en vertu du paragraphe 2 du présent article, les autorités compétentes de la Partie Contractante concernée introduisent les données relatives à la prolongation dans la dernière fiche pertinente d’entrée/de sortie rattachée au dossier individuel de l’étranger contenu dans le système d’entrée/de sortie créé par le règlement (UE) 2017/2226 du Parlement européen et du Conseil ( *1 ). Ces données sont introduites conformément à l’article 19 dudit règlement.

2 quater.  Lorsque le séjour est prolongé en vertu du paragraphe 2, l’étranger concerné n’est autorisé à séjourner que sur le territoire de cette Partie Contractante et à sortir aux frontières extérieures de cette Partie Contractante.

L’autorité compétente qui a prolongé le séjour informe l’étranger concerné de ce que la prolongation du séjour n’autorise l’étranger concerné à séjourner que sur le territoire de cette Partie Contractante et qu’il devra sortir aux frontières extérieures de cette Partie Contractante.

2 quinquies.  Au plus tard le 30 mars 2018, les Parties Contractantes notifient à la Commission le texte de leurs accords bilatéraux pertinents applicables visés au paragraphe 2, point b). Si une Partie Contractante cesse d’appliquer l’un de ces accords bilatéraux, elle le notifie à la Commission. La Commission publie au Journal officiel de l’Union européenne des informations relatives à ces accords bilatéraux, dont au minimum les États membres et pays tiers concernés et les droits que ces accords bilatéraux confèrent aux étrangers, ainsi que toute modification qui y serait apportée.

Article 61

Modifications du règlement (CE) no 767/2008

Le règlement (CE) no 767/2008 est modifié comme suit:

«3.  Lorsqu’une décision a été prise d’annuler ou de retirer un visa, l’autorité chargée des visas qui a pris cette décision extrait et exporte immédiatement, du VIS vers le système d’entrée/de sortie créé par le règlement (UE) 2017/2226 du Parlement européen et du Conseil ( *3 ), les données énumérées à l’article 19, paragraphe 1, dudit règlement.

«3.  L’autorité chargée des visas qui a décidé de prolonger la durée de validité, la durée de séjour prévue dans un visa délivré, ou les deux, extrait et exporte immédiatement, du VIS vers l’EES, les données énumérées à l’article 19, paragraphe 1, du règlement (UE) 2017/2226.».

«4.  Pour les besoins de consultation de l’EES aux fins de l’examen des demandes de visa et de l’adoption des décisions y afférentes conformément à l’article 24 du règlement (UE) 2017/2226, l’autorité compétente chargée des visas est autorisée à effectuer des recherches dans l’EES directement à partir du VIS à l’aide d’une ou de plusieurs des données mentionnées audit article.

5.  Lorsque la recherche à l’aide des données visées au paragraphe 2 du présent article montre que le VIS ne contient aucune donnée concernant le ressortissant de pays tiers ou en cas de doute quant à l’identité du ressortissant de pays tiers, l’autorité compétente chargée des visas a accès aux données aux fins d’identification conformément à l’article 20.»

«Article 17 bis

Interopérabilité avec l’EES

1.  Dès la mise en service de l’EES prévue à l’article 66, paragraphe 1, du règlement (UE) 2017/2226, l’interopérabilité entre l’EES et le VIS est établie afin d’améliorer l’efficacité et la rapidité des vérifications aux frontières. À cet effet, l’eu-LISA établit un canal de communication sécurisé entre le système central de l’EES et le système central du VIS. La consultation directe entre l’EES et le VIS n’est possible que si elle est prévue à la fois par le présent règlement et par le règlement (UE) 2017/2226. L’extraction des données relatives aux visas depuis le VIS, leur exportation dans l’EES et la mise à jour des données du VIS dans l’EES constituent un processus automatisé une fois que l’opération en question est lancée par l’autorité concernée.

2.  L’interopérabilité permet aux autorités chargées des visas utilisant le VIS de consulter l’EES à partir du VIS:

3.  L’interopérabilité permet aux autorités frontalières utilisant l’EES de consulter le VIS à partir de l’EES afin:

4.  En ce qui concerne l’utilisation du service internet de l’EES visé à l’article 13 du règlement (UE) 2017/2226, le VIS met à jour quotidiennement la base de données distincte en lecture seule visée à l’article 13, paragraphe 5, dudit règlement, au moyen d’une extraction à sens unique des sous-ensembles minimaux nécessaires de données du VIS.

5.  Conformément à l’article 36 du règlement (UE) 2017/2226, la Commission adopte les mesures nécessaires à l’établissement et à la conception de haut niveau de l’interopérabilité. Afin d’établir l’interopérabilité avec l’EES, l’instance gestionnaire élabore les développements et les adaptations requis du VIS central, de l’interface nationale de chaque État membre et de l’infrastructure de communication entre le VIS central et les interfaces nationales. Les États membres adaptent et développent les infrastructures nationales.

«Article 18

Accès aux données à des fins de vérification aux frontières auxquelles l’EES est mis en œuvre

1.  Aux seules fins de vérifier l’identité du titulaire de visa, l’authenticité, la validité temporelle et territoriale et le statut du visa ou si les conditions d’entrée sur le territoire des États membres énoncées à l’article 6 du règlement (UE) 2016/399 sont remplies, ou les deux, les autorités compétentes pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre ont accès au VIS pour effectuer des recherches à l’aide des données suivantes:

2.  Uniquement aux fins visées au paragraphe 1 du présent article, lorsqu’une recherche est lancée dans l’EES en vertu de l’article 23, paragraphe 2, du règlement (UE) 2017/2226, l’autorité frontalière compétente lance une recherche dans le VIS directement à partir de l’EES à l’aide des données visées au paragraphe 1, point a), du présent article.

3.  Par dérogation au paragraphe 2 du présent article, lorsqu’une recherche est lancée dans l’EES en vertu de l’article 23, paragraphe 2 ou 4, du règlement (UE) 2017/2226, l’autorité frontalière compétente peut effectuer une recherche dans le VIS sans faire appel à l’interopérabilité avec l’EES lorsque des circonstances particulières l’exigent, notamment lorsqu’il est plus approprié, en raison de la situation particulière d’un ressortissant de pays tiers, d’effectuer la recherche à l’aide des données visées au paragraphe 1, point b), du présent article ou lorsqu’il est techniquement impossible, à titre temporaire, de consulter les données de l’EES, ou encore en cas de dysfonctionnement de l’EES.

4.  Si la recherche effectuée à l’aide des données énumérées au paragraphe 1 montre que le VIS contient des données relatives à un ou plusieurs visas délivrés ou prorogés, en cours de validité temporelle et territoriale pour le franchissement des frontières, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre est autorisée à consulter les données ci-après contenues dans le dossier de demande concerné et dans le ou les dossiers de demande liés au sens de l’article 8, paragraphe 4, uniquement aux fins visées au paragraphe 1 du présent article:

En outre, en ce qui concerne les titulaires de visas pour lesquels il n’est juridiquement pas obligatoire ou factuellement pas possible de communiquer certaines données, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre reçoit une notification relative au champ ou aux champs d’information spécifiques concernés, qui doivent porter la mention «sans objet».

5.  Si la recherche effectuée à l’aide des données énumérées au paragraphe 1 du présent article montre que le VIS contient des données sur la personne mais qu’aucun visa valable n’est enregistré, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre est autorisée à consulter les données ci-après figurant dans le ou les dossiers de demande ainsi que dans le ou les dossiers de demande liés en vertu de l’article 8, paragraphe 4, uniquement aux fins visées au paragraphe 1 du présent article:

6.  Outre la consultation effectuée en vertu du paragraphe 1 du présent article, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre vérifie l’identité de la personne par consultation du VIS, si la recherche effectuée à l’aide des données énumérées au paragraphe 1 du présent article montre que le VIS contient des données sur cette personne et que l’une des conditions suivantes est remplie:

Les autorités compétentes pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre vérifient les empreintes digitales du titulaire du visa par rapport à celles qui sont enregistrées dans le VIS. En ce qui concerne les titulaires de visa dont les empreintes digitales ne peuvent être utilisées, la recherche visée au paragraphe 1 n’est effectuée qu’à l’aide des données alphanumériques prévues au paragraphe 1.

7.  Aux fins de la vérification des empreintes digitales par consultation du VIS prévue au paragraphe 6, l’autorité compétente peut lancer une recherche dans le VIS à partir de l’EES.

8.  En cas d’échec de la vérification concernant le titulaire du visa ou le visa, ou de doute quant à l’identité du titulaire du visa ou à l’authenticité du visa ou du document de voyage, le personnel dûment autorisé des autorités compétentes pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre a accès aux données conformément à l’article 20, paragraphes 1 et 2.»

«Article 18 bis

Extraction de données du VIS pour créer ou mettre à jour une fiche d’entrée/de sortie ou une fiche de refus d’entrée d’un titulaire de visa dans l’EES

Uniquement aux fins de la création ou de la mise à jour d’une fiche d’entrée/de sortie ou d’une fiche de refus d’entrée d’un titulaire de visa dans l’EES conformément à l’article 14, paragraphe 2, et aux articles 16 et 18 du règlement (UE) 2017/2226, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre est autorisée à extraire du VIS et à importer dans l’EES les données stockées dans le VIS et énumérées à l’article 16, paragraphe 2, points c) à f), dudit règlement.»

«Article 19 bis

Utilisation du VIS avant la création, dans l’EES, des dossiers individuels de ressortissants de pays tiers exemptés de l’obligation de visa

1.  Pour vérifier si une personne a été enregistrée précédemment dans le VIS, les autorités compétentes pour effectuer les vérifications aux points de passage aux frontières extérieures en vertu du règlement (UE) 2016/399 consultent le VIS avant la création, dans l’EES, du dossier individuel de ressortissants de pays tiers exemptés de l’obligation de visa comme prévu à l’article 17 du règlement (UE) 2017/2226.

2.  Aux fins du paragraphe 1 du présent article, lorsque l’article 23, paragraphe 4, du règlement (UE) 2017/2226 s’applique et que la recherche visée à l’article 27 dudit règlement montre que l’EES ne contient pas de données concernant un ressortissant de pays tiers, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre est autorisée à effectuer une recherche dans le VIS à l’aide des données suivantes: le nom (nom de famille); le ou les prénoms; la date de naissance; la ou les nationalités; le sexe; le type et le numéro du document de voyage; le code à trois lettres du pays de délivrance du document de voyage; et la date d’expiration de la validité du document de voyage.

3.  Uniquement aux fins visées au paragraphe 1 du présent article, lorsqu’une recherche est lancée dans l’EES en application de l’article 23, paragraphe 4, du règlement (UE) 2017/2226, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre peut lancer une recherche dans le VIS directement à partir de l’EES en utilisant les données alphanumériques prévues au paragraphe 2 du présent article.

4.  En outre, si la recherche à l’aide des données visées au paragraphe 2 montre que le VIS contient des données sur le ressortissant de pays tiers, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre vérifie les empreintes digitales du ressortissant de pays tiers par rapport à celles qui sont enregistrées dans le VIS. Cette autorité peut lancer la vérification à partir de l’EES. En ce qui concerne les ressortissants de pays tiers dont les empreintes digitales ne peuvent pas être utilisées, la recherche est effectuée seulement à l’aide des données alphanumériques prévues au paragraphe 2.

5.  Si la recherche effectuée à l’aide des données énumérées au paragraphe 2 du présent article et la vérification effectuée au titre du paragraphe 4 du présent article montrent que le VIS contient des données sur la personne, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre est autorisée à consulter les données ci-après contenues dans le ou les dossiers de demande concernés ainsi que dans le ou les dossiers de demande liés au sens de l’article 8, paragraphe 4, uniquement aux fins visées au paragraphe 1 du présent article:

6.  En cas d’échec de la vérification prévue au paragraphe 4 ou 5 du présent article, ou de doute quant à l’identité de la personne ou l’authenticité du document de voyage, le personnel dûment autorisé des autorités compétentes pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre a accès aux données conformément à l’article 20, paragraphes 1 et 2. L’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre peut lancer à partir de l’EES l’identification visée à l’article 20.»

«1.  Uniquement aux fins de l’identification de toute personne qui pourrait avoir été enregistrée précédemment dans le VIS ou qui ne remplirait pas ou ne remplirait plus les conditions d’entrée, de séjour ou de résidence sur le territoire des États membres, les autorités compétentes pour vérifier, aux frontières auxquelles l’EES est mis en œuvre ou sur le territoire des États membres, si les conditions d’entrée, de séjour ou de résidence sur le territoire des États membres sont remplies sont autorisées à effectuer des recherches dans le VIS à l’aide des empreintes digitales de cette personne.»

«3 bis.  À partir du 30 juin 2018, l’instance gestionnaire est responsable des tâches visées au paragraphe 3.»

«1.  Chaque État membre et l’instance gestionnaire établissent des relevés de toutes les opérations de traitement de données effectuées dans le VIS. Ces relevés indiquent:

En outre, chaque État membre établit des relevés du personnel dûment autorisé à saisir ou à extraire les données.»

«1 bis.  Pour les opérations énumérées à l’article 17 bis, un relevé de chaque opération de traitement de données effectuée dans le VIS et l’EES est établi conformément au présent article et à l’article 46 du règlement (UE) 2017/2226.»

Article 62

Modifications du règlement (UE) no 1077/2011

Le règlement (CE) no 1077/2011 est modifié comme suit:

«2.  L’agence est chargée de la gestion opérationnelle du système d’information Schengen de deuxième génération (SIS II), du système d’information sur les visas (VIS), d’Eurodac et du système d’entrée/de sortie créé par le règlement (UE) 2017/2226 du Parlement européen et du Conseil ( *5 ) (EES).

«Article 5 bis

Tâches liées à l’EES

En ce qui concerne l’EES, l’agence s’acquitte:

«5.  Les tâches liées à la gestion opérationnelle de l’infrastructure de communication peuvent être confiées à des entités ou organismes extérieurs de droit privé, conformément au règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil ( *6 ). Dans ce cas, le fournisseur de réseau est tenu de respecter les mesures de sécurité visées au paragraphe 4 du présent article et n’a aucunement accès aux données opérationnelles du SIS II, du VIS, d’Eurodac ou de l’EES, ni aux échanges SIRENE relatifs au SIS II.

6.  Sans préjudice des contrats existants concernant le réseau du SIS II, du VIS, d’Eurodac et de l’EES, la gestion des clés de chiffrement reste de la compétence de l’agence et ne peut être confiée à aucune entité extérieure de droit privé.

«1.  L’agence suit les progrès de la recherche présentant de l’intérêt pour la gestion opérationnelle du SIS II, du VIS, d’Eurodac, de l’EES et d’autres systèmes d’information à grande échelle.»

«4.  Europol et Eurojust peuvent assister aux réunions du conseil d’administration en tant qu’observateurs lorsqu’une question concernant le SIS II, liée à l’application de la décision 2007/533/JAI, figure à l’ordre du jour. Europol peut également assister aux réunions du conseil d’administration en tant qu’observateur lorsqu’une question concernant le VIS, liée à l’application de la décision 2008/633/JAI, lorsqu’une question concernant Eurodac, liée à l’application du règlement (UE) no 603/2013, ou lorsqu’une question concernant l’EES, liée à l’application du règlement (UE) 2017/2226, est à l’ordre du jour.»

«Europol et Eurojust peuvent chacun désigner un représentant au sein du groupe consultatif sur le SIS II. Europol peut également désigner un représentant au sein des groupes consultatifs sur le VIS, sur Eurodac et sur l’EES.»

CHAPITRE IX

DISPOSITIONS FINALES

Article 63

Utilisation des données aux fins de l’établissement de rapports et de statistiques

1.  Le personnel dûment autorisé des autorités compétentes des États membres, de la Commission et de l’eu-LISA est autorisé à consulter les données énumérées ci-après, uniquement aux fins de l’établissement de rapports et de statistiques, sans que l’identification individuelle ne soit permise et conformément aux garanties liées à la non-discrimination visées à l’article 10, paragraphe 2:

Le personnel dûment autorisé de l’Agence européenne de garde-frontières et de garde-côtes créée par le règlement (UE) 2016/1624 du Parlement européen et du Conseil ( 14 ) est autorisé à consulter les données visées au premier alinéa du présent paragraphe aux fins de l’analyse des risques et de l’évaluation de la vulnérabilité visées aux articles 11 et 13 dudit règlement.

▼M2

2.  Aux fins du paragraphe 1 du présent article, l'eu-LISA stocke les données visées audit paragraphe dans le répertoire central des rapports et statistiques visé à l'article 39 du règlement (UE) 2019/817.

▼B

3.  Les procédures mises en place par l’eu-LISA pour assurer le suivi du développement et du fonctionnement de l’EES, mentionnées à l’article 72, paragraphe 1, incluent la possibilité de produire régulièrement des statistiques aux fins de ce suivi.

4.  Chaque trimestre, l’eu-LISA publie des statistiques sur l’EES, en indiquant notamment le nombre, la nationalité, l’âge, le sexe, la durée de séjour et le point de passage frontalier d’entrée des personnes ayant dépassé la durée du séjour autorisé, des ressortissants de pays tiers auxquels l’entrée a été refusée, y compris les motifs du refus, et des ressortissants de pays tiers dont l’autorisation de séjour a été retirée ou prorogée, ainsi que le nombre de ressortissants de pays tiers exemptés de l’obligation de donner leurs empreintes digitales.

▼M2

Les statistiques journalières sont stockées dans le répertoire central des rapports et statistiques.

▼B

5.  À la fin de chaque année, des statistiques sont compilées dans un rapport annuel pour l’année écoulée. Les statistiques présentent une ventilation des données par État membre. Le rapport est publié et transmis au Parlement européen, au Conseil, à la Commission, à l’Agence européenne de garde-frontières et de garde-côtes, au Contrôleur européen de la protection des données et aux autorités de contrôle nationales.

6.  L’eu-LISA fournit à la Commission, à sa demande, des statistiques relatives à certains aspects spécifiques ayant trait à la mise en œuvre du présent règlement, ainsi que les statistiques visées au paragraphe 3.

Article 64

Coûts

1.  Les coûts afférents à la création et au fonctionnement du système central de l’EES, de l’infrastructure de communication, de l’IUN, du service internet et du répertoire des données visé à l’article 63, paragraphe 2, sont à la charge du budget général de l’Union.

2.  Les coûts afférents à l’intégration de l’infrastructure frontalière nationale existante et à sa connexion avec l’IUN, ainsi qu’à l’hébergement de l’IUN, sont à la charge du budget général de l’Union.

Les coûts suivants ne sont pas admissibles:

3.  Les coûts afférents aux points d’accès centraux visés aux articles 29 et 30 sont à la charge de chaque État membre et d’Europol, respectivement. Les coûts afférents à la connexion de ces points d’accès centraux à l’IUN et à l’EES sont à la charge de chaque État membre et d’Europol, respectivement.

4.  Chaque État membre et Europol mettent en place et gèrent, à leurs propres frais, l’infrastructure technique nécessaire à la mise en œuvre du chapitre IV, et prennent en charge les coûts résultant de l’accès à l’EES à cette fin.

▼M1

5.  Le financement à mobiliser dans l’enveloppe visée à l’article 5, paragraphe 5, point b), du règlement (UE) no 515/2014 pour couvrir les coûts visés aux paragraphes 1 à 4 du présent article est mis en œuvre en gestion indirecte en ce qui concerne les coûts encourus par l’eu-LISA et en gestion partagée en ce qui concerne les coûts encourus par les États membres.

▼B

Article 65

Notifications

1.  Les États membres notifient à la Commission le nom de l’autorité qui est considérée comme responsable du traitement, conformément à l’article 39.

2.  Les États membres notifient à la Commission et à l’eu-LISA le nom des autorités compétentes visées à l’article 9, paragraphe 2, qui bénéficient d’un accès pour introduire, rectifier, compléter, effacer, consulter des données ou effectuer des recherches dans celles-ci. Au plus tard trois mois après la mise en service de l’EES conformément à l’article 66, l’eu-LISA publie au Journal officiel de l’Union européenne une liste consolidée desdites autorités. Les États membres notifient aussi sans tarder toute modification y afférente. En cas de telles modifications, l’eu-LISA publie une fois par an une version consolidée mise à jour desdites informations.

3.  Les États membres notifient à la Commission et à l’eu-LISA leurs autorités désignées et leurs points d’accès centraux visés à l’article 29 et notifient sans tarder toute modification y afférente.

4.  Europol notifie à la Commission et à l’eu-LISA l’autorité qu’elle a désignée et son point d’accès central visés à l’article 30 et notifie sans tarder toute modification y afférente.

5.  L’eu-LISA informe la Commission des résultats concluants des essais visés à l’article 66, paragraphe 1, point b).

6.  La Commission publie les informations visées aux paragraphes 1, 3 et 4 au Journal officiel de l’Union européenne. En cas de modifications apportées à celles-ci, la Commission publie une fois par an une version consolidée mise à jour desdites informations. La Commission gère un site internet public mis à jour en permanence contenant les informations en question.

Article 66

Mise en service

1.  La Commission décide de la date à laquelle l’EES doit être mis en service, une fois les conditions suivantes remplies:

2.  L’EES est mis en œuvre par:

3.  Un État membre auquel le paragraphe 2 ne s’applique pas est connecté à l’EES dès que les conditions visées au paragraphe 1, points b), c) et d), et au paragraphe 2, point b), sont remplies. La Commission fixe la date de mise en service de l’EES dans ces États membres.

4.  La Commission informe le Parlement européen et le Conseil des résultats des essais effectués conformément au paragraphe 1, point b).

5.  La décision de la Commission visée aux paragraphes 1 et 3 est publiée au Journal officiel de l’Union européenne.

6.  Les États membres et Europol commencent à utiliser l’EES à partir de la date fixée par la Commission conformément au paragraphe 1 ou, le cas échéant, au paragraphe 3.

Article 67

Ceuta et Melilla

Le présent règlement n’affecte pas les règles particulières applicables aux villes de Ceuta et Melilla, définies dans la déclaration du Royaume d’Espagne relative aux villes de Ceuta et Melilla figurant dans l’acte final de l’accord d’adhésion du Royaume d’Espagne à la convention d’application de l’accord de Schengen du 14 juin 1985.

Article 68

Comité

1.  La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.  Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

Article 69

Groupe consultatif

L’eu-LISA crée un groupe consultatif chargé de lui apporter son expertise en rapport avec l’EES, notamment dans le contexte de l’élaboration de son programme de travail et de son rapport d’activité annuels. Durant la phase de conception et de développement de l’EES, l’article 37, paragraphe 2, s’applique.

Article 70

Formation

L’eu-LISA s’acquitte des tâches liées à la fourniture d’une formation relative à l’utilisation technique de l’EES conformément au règlement (UE) no 1077/2011.

Article 71

Manuel pratique

La Commission, en étroite coopération avec les États membres, l’eu-LISA et les autres agences concernées, met à disposition un manuel pratique sur la mise en œuvre et la gestion de l’EES. Le manuel pratique contient des orientations techniques et opérationnelles, des recommandations et des bonnes pratiques. La Commission adopte le manuel pratique sous la forme d’une recommandation.

Article 72

Suivi et évaluation

1.  L’eu-LISA veille à ce que des procédures soient mises en place pour suivre le développement de l’EES par rapport aux objectifs fixés en matière de planification et de coûts et suivre le fonctionnement de l’EES par rapport aux objectifs fixés en matière de résultats techniques, de coût-efficacité, de sécurité et de qualité du service.

2.  Au plus tard le 30 juin 2018, et tous les six mois par la suite pendant la phase de développement de l’EES, l’eu-LISA présente un rapport au Parlement européen et au Conseil sur l’état d’avancement du développement du système central de l’EES, des interfaces uniformes et de l’infrastructure de communication entre le système central de l’EES et les interfaces uniformes. Ce rapport contient des informations détaillées sur les coûts encourus et sur tout risque susceptible d’avoir une incidence sur les coûts globaux de l’EES qui sont à la charge du budget général de l’Union conformément à l’article 64, paragraphe 1, et à l’article 64, paragraphe 2, premier alinéa. Une fois l’EES développé, l’eu-LISA présente un rapport au Parlement européen et au Conseil, qui explique en détail la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et justifie les éventuels écarts.

3.  Aux fins de la maintenance technique, l’eu-LISA a accès aux informations nécessaires concernant les opérations de traitement de données effectuées dans l’EES.

4.  Deux ans après la mise en service de l’EES, puis tous les deux ans par la suite, l’eu-LISA présente au Parlement européen, au Conseil et à la Commission un rapport sur le fonctionnement technique de l’EES, y compris sur sa sécurité.

5.  Trois ans après la mise en service de l’EES, puis tous les quatre ans, la Commission réalise une évaluation globale de l’EES. Cette évaluation globale comprend:

Les évaluations comprennent les éventuelles recommandations nécessaires. La Commission transmet le rapport d’évaluation au Parlement européen, au Conseil, au Contrôleur européen de la protection des données et à l’Agence des droits fondamentaux de l’Union européenne créée par le règlement (CE) no 168/2007 du Conseil ( 15 ).

Ces évaluations comprennent également une évaluation du recours aux dispositions visées à l’article 60, en ce qui concerne à la fois la fréquence - nombre de ressortissants de pays tiers y ayant recours par État membre, nationalité de ces personnes et durée moyenne de leur séjour - et les effets concrets, et tient compte de toute évolution de la politique de l’Union en matière de visas. Le premier rapport d’évaluation peut prévoir des options en vue d’abandonner progressivement les dispositions visées à l’article 60 et de les remplacer par un instrument de l’Union. Il est assorti, au besoin, d’une proposition législative modifiant les dispositions visées à l’article 60.

6.  Les États membres et Europol fournissent à l’eu-LISA et à la Commission les informations nécessaires à l’établissement des rapports visés aux paragraphes 4 et 5, dans le respect des indicateurs quantitatifs prédéfinis par la Commission, l’eu-LISA ou les deux. Ces informations ne peuvent porter préjudice aux méthodes de travail ni comprendre des indications sur les sources, les membres du personnel ou les enquêtes des autorités désignées.

7.  L’eu-LISA fournit à la Commission les informations nécessaires pour élaborer les évaluations globales visées au paragraphe 5.

8.  Tout en respectant les dispositions du droit national relatives à la publication d’informations sensibles, chaque État membre et Europol établissent des rapports annuels sur l’efficacité de l’accès aux données de l’EES à des fins répressives, comportant des informations et des statistiques sur:

Une solution technique est mise à la disposition des États membres afin de faciliter la collecte des données énumérées au premier alinéa du présent paragraphe en vue de générer les statistiques visées au présent paragraphe. La Commission adopte des actes d’exécution concernant les spécifications de la solution technique. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

Les rapports annuels des États membres et d’Europol sont transmis à la Commission au plus tard le 30 juin de l’année suivante.

Article 73

Entrée en vigueur et applicabilité

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Il est applicable à partir de la date décidée par la Commission conformément à l’article 66, paragraphe 1, du présent règlement, à l’exception des dispositions suivantes, lesquelles s’appliquent à partir du 29 décembre 2017: les articles 5, 36, 37, 38, 43 et 51 du présent règlement; l’article 61, point 5), du présent règlement en ce qui concerne l’article 17 bis, paragraphe 5, du règlement (CE) no 767/2008; l’article 61, point 10), du présent règlement en ce qui concerne l’article 26, paragraphe 3 bis, du règlement (CE) no 767/2008; et les articles 62, 64, 65, 66, 68, 69 et 70 et l’article 72, paragraphe 2, du présent règlement.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.

---

ANNEXE I

LISTE DES ORGANISATIONS INTERNATIONALES VISÉES À L’ARTICLE 41, PARAGRAPHE 2

---

ANNEXE II

DISPOSITIONS SPÉCIFIQUES APPLICABLES AUX RESSORTISSANTS DE PAYS TIERS QUI FRANCHISSENT LA FRONTIÈRE SUR LA BASE D’UN FTD EN COURS DE VALIDITÉ

Aux fins du calcul de la durée maximale du transit, la date et l’heure d’entrée sont considérées comme le point de départ de cette durée. La date et l’heure d’expiration du transit autorisé est calculée automatiquement par l’EES, conformément à l’article 3, paragraphe 2, du règlement (CE) no 693/2003.

---

( 1 ) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).

( 2 ) Règlement (CE) no 1030/2002 du Conseil du 13 juin 2002 établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers (JO L 157 du 15.6.2002, p. 1).

( 3 ) Directive 2014/66/UE du Parlement européen et du Conseil du 15 mai 2014 établissant les conditions d’entrée et de séjour des ressortissants de pays tiers dans le cadre d’un transfert temporaire intragroupe (JO L 157 du 27.5.2014, p. 1).

( 4 ) Directive (UE) 2016/801 du Parlement européen et du Conseil du 11 mai 2016 relative aux conditions d’entrée et de séjour des ressortissants de pays tiers à des fins de recherche, d’études, de formation, de volontariat et de programmes d’échange d’élèves ou de projets éducatifs et de travail au pair (JO L 132 du 21.5.2016, p. 21).

( 5 ) Directive 2013/32/UE du Parlement européen et du Conseil du 26 juin 2013 relative à des procédures communes pour l’octroi et le retrait de la protection internationale (JO L 180 du 29.6.2013, p. 60).

( 6 ) Règlement (CE) no 377/2004 du Conseil du 19 février 2004 relatif à la création d’un réseau d’officiers de liaison «Immigration» (JO L 64 du 2.3.2004, p. 1).

( 7 ) Règlement (CE) no 810/2009 du Parlement européen et du Conseil du 13 juillet 2009 établissant un code communautaire des visas (code des visas) (JO L 243 du 15.9.2009, p. 1).

( 8 ) Décision 2008/602/CE de la Commission du 17 juin 2008 définissant l’architecture physique ainsi que les caractéristiques des interfaces nationales et de l’infrastructure de communication entre le système central d’information sur les visas et les interfaces nationales pour la phase de développement (JO L 194 du 23.7.2008, p. 3).

( 9 ) Règlement (CE) no 693/2003 du Conseil du 14 avril 2003 portant création d’un document facilitant le transit (FTD) et d’un document facilitant le transit ferroviaire (FRTF) et modifiant les instructions consulaires communes et le manuel commun (JO L 99 du 17.4.2003, p. 8).

( 10 ) Directive 2008/115/CE du Parlement européen et du Conseil du 16 décembre 2008 relative aux normes et procédures communes applicables dans les États membres au retour des ressortissants de pays tiers en séjour irrégulier (JO L 348 du 24.12.2008, p. 98).

( 11 ) Décision 2008/633/JAI du Conseil du 23 juin 2008 concernant l’accès en consultation au système d’information sur les visas (VIS) par les autorités désignées des États membres et par l’Office européen de police (Europol) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu’aux fins des enquêtes en la matière (JO L 218 du 13.8.2008, p. 129).

( 12 ) JO L 56 du 4.3.1968, p. 1.

( 13 ) Règlement (UE) no 1053/2013 du Conseil du 7 octobre 2013 portant création d’un mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen et abrogeant la décision du comité exécutif du 16 septembre 1998 concernant la création d’une commission permanente d’évaluation et d’application de Schengen (JO L 295 du 6.11.2013, p. 27).

( *1 ) Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) no 767/2008 et (UE) no 1077/2011 (JO L 327 du 9.12.2017, p. 20).»

( *2 ) Directive 2004/38/CE du Parlement européen et du Conseil du 29 avril 2004 relative au droit des citoyens de l’Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres, modifiant le règlement (CEE) no 1612/68 et abrogeant les directives 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE et 93/96/CEE (JO L 158 du 30.4.2004, p. 77).»

( *3 ) Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) no 767/2008 et (UE) no 1077/2011 (JO L 327, du 9.12.2017, p. 20).»

( *4 ) Règlement (UE) 2016/399 du Parlement européen et du Conseil du 9 mars 2016 concernant un code de l’Union relatif au régime de franchissement des frontières par les personnes (code frontières Schengen) (JO L 77 du 23.3.2016, p. 1).»

( *5 ) Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) no 767/2008 et (UE) no 1077/2011 (JO L 327 du 9.12.2017, p. 20).».

( *6 ) Règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif aux règles financières applicables au budget général de l’Union et abrogeant le règlement (CE, Euratom) no 1605/2002 du Conseil (JO L 298 du 26.10.2012, p. 1).»

( 14 ) Règlement (UE) 2016/1624 du Parlement européen et du Conseil du 14 septembre 2016 relatif au corps européen de garde-frontières et de garde-côtes, modifiant le règlement (UE) 2016/399 du Parlement européen et du Conseil et abrogeant le règlement (CE) no 863/2007 du Parlement européen et du Conseil, le règlement (CE) no 2007/2004 du Conseil et la décision 2005/267/CE du Conseil (JO L 251 du 16.9.2016, p. 1).

( 15 ) Règlement (CE) no 168/2007 du Conseil du 15 février 2007 portant création d’une Agence des droits fondamentaux de l’Union européenne (JO L 53 du 22.2.2007, p. 1).