This document is an excerpt from the EUR-Lex website
Document 32019D0971
Commission Delegated Decision (EU) 2019/971 of 26 February 2019 on the definition of the requirements of the secure account service pursuant to Article 6(4) of Regulation (EU) 2018/1240 of the European Parliament and of the Council, enabling applicants to provide any additional information or documentation required (Text with EEA relevance.)
Décision déléguée (UE) 2019/971 de la Commission du 26 février 2019 définissant les exigences du service de comptes sécurisés permettant aux demandeurs de fournir les documents ou informations supplémentaires requis, conformément à l'article 6, paragraphe 4, du règlement (UE) 2018/1240 du Parlement européen et du Conseil (Texte présentant de l'intérêt pour l'EEE.)
Décision déléguée (UE) 2019/971 de la Commission du 26 février 2019 définissant les exigences du service de comptes sécurisés permettant aux demandeurs de fournir les documents ou informations supplémentaires requis, conformément à l'article 6, paragraphe 4, du règlement (UE) 2018/1240 du Parlement européen et du Conseil (Texte présentant de l'intérêt pour l'EEE.)
C/2019/1695
JO L 156 du 13.6.2019, p. 20–24
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
13.6.2019 |
FR |
Journal officiel de l'Union européenne |
L 156/20 |
DÉCISION DÉLÉGUÉE (UE) 2019/971 DE LA COMMISSION
du 26 février 2019
définissant les exigences du service de comptes sécurisés permettant aux demandeurs de fournir les documents ou informations supplémentaires requis, conformément à l'article 6, paragraphe 4, du règlement (UE) 2018/1240 du Parlement européen et du Conseil
(Texte présentant de l'intérêt pour l'EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne,
vu le règlement (UE) 2018/1240 du Parlement européen et du Conseil du 12 septembre 2018 portant création d'un système européen d'information et d'autorisation concernant les voyages (ETIAS) et modifiant les règlements (UE) no 1077/2011, (UE) no 515/2014, (UE) 2016/399, (UE) 2016/1624 et (UE) 2017/2226 (1), et notamment son article 6, paragraphe 4,
considérant ce qui suit:
|
(1) |
Le règlement (UE) 2018/1240 a créé, pour les ressortissants de pays tiers exemptés de l'obligation d'être en possession d'un visa lors du franchissement des frontières extérieures, un système européen d'information et d'autorisation concernant les voyages (ETIAS). Il a fixé les conditions et les procédures relatives à la délivrance ou au refus d'une autorisation de voyage. |
|
(2) |
Les unités nationales ETIAS qui procèdent manuellement au traitement des demandes ETIAS peuvent exiger des demandeurs qu'ils fournissent des documents ou informations supplémentaires. La présente décision devrait fixer les conditions et modalités selon lesquelles les demandeurs peuvent communiquer ces documents ou informations supplémentaires au moyen d'un outil spécifique. |
|
(3) |
Le service de comptes sécurisés devrait être accessible via le site internet public prévu à cet effet ou via l'application pour appareils mobiles, ainsi que par un lien sécurisé. |
|
(4) |
Le service de comptes sécurisés devrait permettre de confirmer l'identité du demandeur et garantir un accès sécurisé à l'outil. Il y a donc lieu de prévoir les exigences en matière d'authentification, y compris la fourniture d'un code unique au demandeur. |
|
(5) |
Il est également nécessaire de déterminer la procédure de transmission des informations ou documents supplémentaires, ainsi que les informations qui peuvent être extraites du service de comptes sécurisés. |
|
(6) |
Les demandeurs devraient pouvoir transmettre les informations ou documents supplémentaires à tout moment, dans le délai imparti conformément à l'article 27, paragraphe 2, ou à l'article 44, paragraphe 3, du règlement (UE) 2018/1240, à compter de la réception de la demande à cet effet. Les demandeurs devraient avoir la possibilité de sauvegarder les données introduites et de reprendre la transmission d'informations et de documents pendant ce délai. Passé ce délai, les demandeurs ne devraient plus avoir accès au service de comptes sécurisés. |
|
(7) |
Les canaux de communication du service de comptes sécurisés avec le système central ETIAS devraient être déterminés. En outre, le format des messages, les normes et les protocoles ainsi que les exigences de sécurité devraient être établis. |
|
(8) |
Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark n'a pas participé à l'adoption du règlement (UE) 2017/2226 et n'est donc pas lié par celui-ci ni soumis à son application. Toutefois, le règlement (UE) 2018/1240 développant l'acquis de Schengen, le Danemark, conformément à l'article 4 dudit protocole, a notifié le 21 décembre 2018 sa décision de transposer ledit règlement dans son droit national. |
|
(9) |
La présente décision constitue un développement des dispositions de l'acquis de Schengen auxquelles le Royaume-Uni ne participe pas, conformément à la décision 2000/365/CE du Conseil (2); le Royaume-Uni ne participe donc pas à l'adoption de la présente décision et n'est pas lié par celle-ci ni soumis à son application. |
|
(10) |
La présente décision constitue un développement des dispositions de l'acquis de Schengen auxquelles l'Irlande ne participe pas, conformément à la décision 2002/192/CE du Conseil (3); l'Irlande ne participe donc pas à l'adoption de la présente décision et n'est pas liée par celle-ci ni soumise à son application. |
|
(11) |
En ce qui concerne l'Islande et la Norvège, la présente décision constitue un développement des dispositions de l'acquis de Schengen au sens de l'accord conclu par le Conseil de l'Union européenne, la République d'Islande et le Royaume de Norvège sur l'association de ces deux États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (4), qui relèvent du domaine visé à l'article 1er, point A, de la décision 1999/437/CE du Conseil (5). |
|
(12) |
En ce qui concerne la Suisse, la présente décision constitue un développement des dispositions de l'acquis de Schengen au sens de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (6), qui relèvent du domaine visé à l'article 1er, point A, de la décision 1999/437/CE, lue en liaison avec l'article 3 de la décision 2008/146/CE du Conseil (7). |
|
(13) |
En ce qui concerne le Liechtenstein, la présente décision constitue un développement des dispositions de l'acquis de Schengen au sens du protocole entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (8), qui relèvent du domaine visé à l'article 1er, point A, de la décision 1999/437/CE, lue en liaison avec l'article 3 de la décision 2011/350/UE du Conseil (9). |
|
(14) |
Le contrôleur européen de la protection des données a été consulté le 28 janvier 2019 et a rendu son avis le 8 février 2019, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Accès au service de comptes sécurisés
1. Le service de comptes sécurisés est accessible via:
|
a) |
le site internet public prévu à cet effet visé à l'article 16 du règlement (UE) 2018/1240; |
|
b) |
l'application pour appareils mobiles visée à l'article 16 du règlement (UE) 2018/1240; |
|
c) |
un lien fourni au moyen de la messagerie électronique ETIAS visée à l'article 6, paragraphe 2, point f), du règlement (UE) 2018/1240. |
2. Le service de comptes sécurisés est accessible jusqu'à:
|
a) |
la transmission définitive des informations ou documents supplémentaires confirmée par le demandeur ETIAS; ou |
|
b) |
l'expiration du délai accordé à l'article 27, paragraphe 2, du règlement (UE) 2018/1240; ou |
|
c) |
l'expiration de la durée fixée par l'unité nationale ETIAS en vertu de l'article 44 du règlement (UE) 2018/1240. |
Article 2
Authentification à deux facteurs requise pour avoir accès au service de comptes sécurisés
1. La connexion au service de comptes sécurisés est subordonnée à une authentification à deux facteurs.
2. La première authentification consiste à saisir les données suivantes:
|
a) |
le numéro de la demande; |
|
b) |
le numéro du document de voyage. |
3. Si le demandeur ne fournit pas le numéro de sa demande, la première authentification consiste à saisir les données suivantes:
|
a) |
le numéro du document de voyage; |
|
b) |
le pays de délivrance du document de voyage, à sélectionner dans une liste préétablie; |
|
c) |
la date de délivrance et la date d'expiration de la validité du document de voyage; et |
|
d) |
les prénoms de ses deux parents. |
4. Le numéro de la demande est identique à celui fourni au demandeur par la messagerie électronique ETIAS lors du dépôt de sa demande. Les autres données mentionnées au paragraphe 2 ou 3, communiquées par le demandeur, sont également identiques à celles qu'il a indiquées lors du dépôt de sa demande.
5. La deuxième authentification consiste en un code unique à introduire dans le service de comptes sécurisés pour confirmer l'authentification.
6. Dès la transmission des informations mentionnées au paragraphe 2 ou 3, le code unique visé au paragraphe 4 est automatiquement généré et envoyé au demandeur au moyen de la messagerie électronique visée à l'article 6, paragraphe 2, point f), du règlement (UE) 2018/1240.
7. Le code unique est envoyé à la même adresse électronique que celle communiquée dans la demande introduite.
8. Le code unique expire après une brève période. L'envoi d'un nouveau code unique invalide les codes uniques envoyés précédemment au même demandeur.
9. Le code unique n'est utilisable qu'une seule fois.
Article 3
Transmission des informations ou documents supplémentaires au service de comptes sécurisés
1. Aux fins de l'article 27 du règlement (UE) 2018/1240, les demandeurs ETIAS transmettent des informations ou documents supplémentaires, dans l'un des formats suivants:
|
a) |
Portable Document Format (PDF); |
|
b) |
Joint Photographic Experts Group (JPEG); ou |
|
c) |
Portable Network Graphics (PNG). |
2. Le service de comptes sécurisés accepte le téléchargement de 20 fichiers au total et une taille cumulée de données transmises de 50 Mo au maximum.
3. Les demandeurs ETIAS ont la possibilité de sauvegarder les données introduites et de reprendre la transmission d'informations ou de documents supplémentaires au moyen du service de comptes sécurisés pendant le délai visé à l'article 27, paragraphe 2, du règlement (UE) 2018/1240 ou le délai accordé par l'unité nationale ETIAS lorsque les dispositions de l'article 44 dudit règlement s'appliquent. Le service de comptes sécurisés permet aux demandeurs d'indiquer clairement si la transmission est définitive ou non. Il permet aux demandeurs de vérifier que les documents sont téléchargés correctement avant de confirmer la transmission.
4. Les demandeurs sont autorisés à supprimer les documents téléchargés, avant la transmission définitive dans le délai imparti visé à l'article 27, paragraphe 2, du règlement (UE) 2018/1240 ou le délai accordé par l'unité nationale ETIAS lorsque les dispositions de l'article 44 dudit règlement s'appliquent.
5. Les demandeurs sont invités à confirmer leur transmission en cochant la case appropriée dans le service de comptes sécurisés.
Article 4
Données extraites du service de comptes sécurisés
1. Dès la transmission définitive des informations et/ou des documents supplémentaires:
|
a) |
une version, en lecture seule, des informations et/ou documents supplémentaires transmis est disponible, accompagnée de la mention «transmis»; |
|
b) |
le demandeur reçoit, par la messagerie électronique ETIAS, un courriel qui confirme la transmission des informations et/ou des documents supplémentaires, comprenant les noms et formats des documents téléchargés, l'horodatage de la transmission définitive et une valeur alphanumérique d'une longueur fixe qui identifie de façon unique les données (valeur de hachage) pour les fichiers transmis. |
2. Après la transmission des informations et/ou des documents supplémentaires, le demandeur n'a plus accès au service de comptes sécurisés.
3. Le service de comptes sécurisés comprend une solution technique intégrée permettant de garantir que tout document conservé dans le dossier de demande est identique à celui téléchargé par le demandeur dans le service de comptes sécurisés.
Article 5
Communication du service de comptes sécurisés avec le système central ETIAS
1. À la suite d'une demande d'informations ou documents supplémentaires émanant d'une unité nationale ETIAS, conformément aux articles 27 ou 44 du règlement (UE) 2018/1240, le système central ETIAS informe immédiatement le service de comptes sécurisés de ladite demande via le service internet sécurisé mentionné à l'article 6, paragraphe 2, point l), dudit règlement.
2. Dès la transmission des informations ou documents supplémentaires par le demandeur, le service de comptes sécurisés:
|
a) |
calcule les valeurs de hachage des fichiers transmis; et |
|
b) |
transmet les informations ou documents supplémentaires au système central ETIAS par l'intermédiaire du service internet sécurisé. |
3. Le service internet sécurisé procède aux vérifications nécessaires pour garantir la sécurité et la sûreté des documents avant leur transmission au système central ETIAS.
4. Le système central ETIAS enregistre et conserve les informations et/ou documents supplémentaires dans le dossier de demande, conformément à l'article 27, paragraphe 9, et à l'article 44, paragraphe 3, du règlement (UE) 2018/1240.
Article 6
Format des messages, normes et protocoles
Le format des messages et les protocoles à mettre en œuvre figurent dans les spécifications techniques visées à l'article 73, paragraphe 3, du règlement (UE) 2018/1240.
Article 7
Considérations particulières de sécurité
1. Le service de comptes sécurisés est conçu et mis en œuvre de manière à ce qu'il soit préservé de tout accès illicite. À cette fin, le service de comptes sécurisés limite le nombre de tentatives d'accès avec le même document de voyage, numéro de demande ou code unique. Il comporte également des fonctions visant à le protéger contre d'éventuels accès non humains.
2. Le service de comptes sécurisés comprend des fonctions visant à interrompre la connexion après quelques minutes d'inactivité.
3. Les modalités supplémentaires concernant la confidentialité, l'intégrité et la disponibilité des données traitées font l'objet des spécifications techniques visées à l'article 73, paragraphe 3, du règlement (UE) 2018/1240.
Article 8
Registres
1. Le service de comptes sécurisés tient des registres d'activité, comprenant:
|
a) |
les données relatives à l'authentification, y compris la mention de la réussite ou de l'échec de l'authentification; |
|
b) |
la date et l'heure d'envoi du code unique; |
|
c) |
la date et l'heure de l'accès; |
|
d) |
le nombre de documents téléchargés; |
|
e) |
la vérification de la sécurité et de la sûreté des documents. |
2. En outre, pour chaque document, les données suivantes sont consignées dans des registres:
|
a) |
la date et l'heure du ou des document(s) téléchargé(s); |
|
b) |
le nom du ou des document(s); |
|
c) |
la taille du ou des document(s); |
|
d) |
les valeurs de hachage des documents téléchargés. |
3. Les registres d'activité et les registres concernant les documents, produits par le service de comptes sécurisés, sont copiés dans le système central. Ils sont stockés pendant un an au maximum après l'expiration du délai de conservation du dossier de demande, à moins qu'ils ne soient nécessaires aux fins de procédures de contrôle déjà entamées. Ils sont supprimés automatiquement ensuite.
Les registres ne peuvent être utilisés qu'aux fins indiquées à l'article 69, paragraphe 4, du règlement (UE) 2018/1240.
Article 9
La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Fait à Bruxelles, le 26 février 2019.
Par la Commission
Le président
Jean-Claude JUNCKER
(1) JO L 236 du 19.9.2018, p. 1.
(2) Décision 2000/365/CE du Conseil du 29 mai 2000 relative à la demande du Royaume-Uni de Grande-Bretagne et d'Irlande du Nord de participer à certaines dispositions de l'acquis de Schengen (JO L 131 du 1.6.2000, p. 43).
(3) Décision 2002/192/CE du Conseil du 28 février 2002 relative à la demande de l'Irlande de participer à certaines dispositions de l'acquis de Schengen (JO L 64 du 7.3.2002, p. 20).
(4) JO L 176 du 10.7.1999, p. 36.
(5) Décision 1999/437/CE du Conseil du 17 mai 1999 relative à certaines modalités d'application de l'accord conclu par le Conseil de l'Union européenne et la République d'Islande et le Royaume de Norvège sur l'association de ces deux États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (JO L 176 du 10.7.1999, p. 31).
(6) JO L 53 du 27.2.2008, p. 52.
(7) Décision 2008/146/CE du Conseil du 28 janvier 2008 relative à la conclusion, au nom de la Communauté européenne, de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (JO L 53 du 27.2.2008, p. 1).
(8) JO L 160 du 18.6.2011, p. 21.
(9) Décision 2011/350/UE du Conseil du 7 mars 2011 relative à la conclusion, au nom de l'Union européenne, du protocole entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen en ce qui concerne la suppression des contrôles aux frontières intérieures et la circulation des personnes (JO L 160 du 18.6.2011, p. 19).