Article premier

Les spécifications techniques et les procédures nécessaires au système d’interconnexion des registres visé aux articles 30 et 31 de la directive (UE) 2015/849 sont définies en annexe.

Article 2

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

ANNEXE

définissant les spécifications techniques et les procédures visées à l’article 1er

1.   Objet

Le système d’interconnexion des registres de bénéficiaires effectifs, ou Beneficial Ownership Registers Interconnection System (ci-après «BORIS») est créé en tant que système décentralisé connectant entre eux les registres centraux nationaux de bénéficiaires effectifs et le portail européen e-Justice (1), via la plate-forme centrale européenne (2). BORIS est un service de recherche central mettant à disposition toutes les informations relatives aux bénéficiaires effectifs conformément aux dispositions de la directive (UE) 2015/849 (3).

2.   Définitions

a)	«registre» désigne les registres centraux nationaux contenant les informations sur les bénéficiaires effectifs visées aux articles 30 et 31 de la directive (UE) 2015/849;

b)	«utilisateur qualifié» désigne les utilisateurs de BORIS visés à l’article 30, paragraphe 5, points a) et b), et à l’article 31, paragraphe 4, points a) et b), de la directive (UE) 2015/849;

c)	«informations obligatoires minimales» désigne l’ensemble commun d’informations de même structure et de même type devant figurer dans tous les registres des États membres;

d)	«informations supplémentaires» désigne l’ensemble d’informations prédéfini en commun que les États membres peuvent décider de partager — en plus des «informations obligatoires minimales» — en partie ou en totalité par l’intermédiaire de BORIS;

e)	«numéro d’enregistrement national» désigne le numéro d’identification individuel attribué dans le registre des bénéficiaires effectifs, en vertu du droit national, à une société ou autre entité juridique ou à une fiducie/un trust ou une construction similaire.

3.   Lien entre le numéro d’enregistrement national, l’identifiant unique européen et le numéro d’immatriculation de la société

3.1.

Le registre des bénéficiaires effectifs partage avec la plate-forme centrale européenne le numéro d’enregistrement national et, pour les sociétés, l’identifiant unique européen («EUID») qui leur est attribué dans le système d’interconnexion des registres du commerce («BRIS») (4), ainsi que leur numéro d’immatriculation, s’il est différent du numéro d’enregistrement national. Le numéro d’immatriculation est utilisé pour attribuer un EUID aux sociétés qui n’en ont pas dans le système BRIS. Pour les autres entités juridiques, fiducies/trusts ou autres constructions similaires, l’EUID est attribué sur la base du numéro d’enregistrement national.

3.2.

Les utilisateurs de BORIS doivent pouvoir rechercher des sociétés, d’autres entités juridiques, des fiducies/trusts ou des constructions similaires à l’aide du numéro d’enregistrement national et, s’il est différent, du numéro d’immatriculation.

3.3.

Les États membres peuvent choisir de ne pas fournir de numéro d’enregistrement national en ce qui concerne les fiducies/trusts ou constructions juridiques similaires. En ce qui concerne les fiducies/trusts et les constructions juridiques similaires créés en vertu du droit de l’État membre et inscrits au registre des bénéficiaires effectifs, cette dérogation ne s’applique que pendant cinq ans à compter de la date à laquelle le système BORIS devient opérationnel.

4.   Modalités de communication

Aux fins de l’interconnexion des registres, BORIS utilise des méthodes de communication électronique fondées sur des services, tels que des services web.

La communication entre le portail et la plate-forme, et entre un registre et la plate-forme, est une communication en mode «un-à-un».

5.   Protocoles de communication

Les communications entre le portail, la plate-forme et les registres se font au moyen de protocoles internet sûrs, comme HTTPS.

La transmission de données et de métadonnées se fait au moyen de protocoles de communication standard, comme SOAP (Single Object Access Protocol).

6.   Normes de sécurité

En ce qui concerne la communication et la diffusion des informations au moyen du système BORIS, les mesures techniques permettant d’assurer le respect des normes minimales de sécurité informatique sont notamment les suivantes:

a)	mesures visant à garantir la confidentialité des informations, notamment par le recours à des canaux sécurisés (comme HTTPS);

b)	mesures visant à garantir l’intégrité des données lors de leur échange;

c)	mesures visant à garantir la non-répudiation de l’origine de l’émetteur des informations au sein de BORIS et la non-répudiation de la réception des informations;

d)	mesures visant à garantir la journalisation des événements liés à la sécurité conformément aux recommandations internationales reconnues en matière de normes de sécurité informatique;

e)	mesures visant à garantir l’authentification et l’autorisation de tout utilisateur qualifié et mesures visant à vérifier l’identité des systèmes connectés au portail, à la plate-forme ou aux registres au sein de BORIS;

f)	au besoin, mesures visant à protéger contre les recherches automatisées et la copie de registres, par exemple en limitant le nombre de résultats renvoyés par chaque registre ou en utilisant une fonction CAPTCHA (5).

7.   Données à échanger dans le cadre de BORIS

7.1.

On appelle «dossier BO» l’ensemble des informations qui, dans les registres nationaux, concernent une société ou autre forme d’entité juridique, ou une fiducie/un trust ou un type de construction juridique similaire. Le «dossier BO» contient des données sur le profil de l’entité ou de la construction concernée, sur la personne du ou des bénéficiaires effectifs de cette entité ou construction, et sur le ou les intérêts effectifs qu’ils détiennent.

7.2.

Pour une société ou autre entité juridique, ou pour une fiducie/un trust ou une construction similaire, les données sur le profil incluent le nom, la forme juridique et le cas échéant, l’adresse d’enregistrement et le numéro d’enregistrement national.

7.3.

Chaque État membre a la possibilité d’ajouter des informations supplémentaires aux informations obligatoires minimales. En ce qui concerne le bénéficiaire effectif et les intérêts effectifs qu’il détient, les informations obligatoires minimales sont les données visées à l’article 30, paragraphe 5, deuxième alinéa, et à l’article 31, paragraphe 4, deuxième alinéa, de la directive (UE) 2015/849. En ce qui concerne l’identité du bénéficiaire effectif, les informations supplémentaires comprennent au moins la date de naissance ou les coordonnées, comme prévu à l’article 30, paragraphe 5, dernière phrase, et à l’article 31, paragraphe 4, troisième alinéa. Les données du dossier BO sont modélisées selon les spécifications de l’interface mise en place.

7.4.

L’échange d’informations comprend aussi l’envoi des messages nécessaires au fonctionnement du système, par exemple à l’établissement d’accusés de réception, de journaux et de rapports.

8.   Structure du format de message standard

L’échange d’informations entre les registres, la plate-forme et le portail repose sur des méthodes standard de structuration des données et s’effectue dans un format de message standard comme XML (6).

9.   Données nécessaires à la plate-forme

9.1.

Conformément aux exigences en matière d’interopérabilité, les services offerts par chaque registre doivent être unifiés et présenter la même interface, afin de permettre à l’application d’appel, par exemple la plate-forme, d’interagir avec un seul type d’interface exposant un ensemble commun de données. Les États membres alignent leur structure de données interne, à l’aide de tableaux de correspondance ou d’une mise en œuvre technique similaire, afin de se conformer aux exigences des spécifications d’interface fournies par la Commission.

9.2.

Pour que la plate-forme puisse remplir ses fonctions, il lui est fourni le type de données suivant: a) données permettant l’identification des systèmes qui sont connectés à la plate-forme; il peut s’agir d’URL ou de tout autre numéro ou code identifiant de façon unique chaque système au sein de BORIS; b) toute autre donnée opérationnelle nécessaire pour que la plate-forme assure le bon fonctionnement et l’efficacité du service de recherche ainsi que l’interopérabilité des registres avec la plate-forme; il peut s’agir de listes de codes, de données de référence, de glossaires et des traductions correspondantes de ces métadonnées, ainsi que de données relatives à la journalisation et aux rapports.

9.3.

Les données et les métadonnées gérées par la plate-forme sont traitées et stockées conformément aux normes de sécurité définies à la section 5.

10.   Modes de fonctionnement du système et services informatiques fournis par la plate-forme

10.1.

En ce qui concerne la diffusion et l’échange d’informations, le mode de fonctionnement technique du système est le suivant:

10.2.

Pour la transmission de messages dans la version linguistique pertinente, le Portail européen e-Justice fournit des artefacts de données de référence, tels que des listes de codes, des collections de termes contrôlées et des glossaires. Le cas échéant, ils sont traduits dans les langues officielles de l’Union. Il est fait usage, si possible, de normes reconnues et de messages standardisés.

10.3.

La Commission communique aux États membres plus de détails sur le mode de fonctionnement technique et la mise en œuvre des services informatiques fournis par la plate-forme.

11.   Critères de recherche

11.1.

Pour lancer une recherche, il faut sélectionner au moins un pays.

11.2.

Le portail propose les critères de recherche harmonisés suivants: a) pour les sociétés ou autres entités juridiques, et pour les fiducies/trusts ou constructions similaires: i) nom de l’entité ou de la construction juridique; ii) numéro d’enregistrement national. Il est possible de choisir entre les critères de recherche indiqués aux points i) et ii); b) pour les bénéficiaires effectifs: i) prénom et nom du bénéficiaire effectif; ii) date de naissance du bénéficiaire effectif. Les critères de recherche indiqués aux points i) et ii) doivent être utilisés conjointement.

11.3.

D’autres critères de recherche peuvent être proposés sur le portail.

12.   Modalités de paiement et inscription en ligne

12.1.

En ce qui concerne les données particulières pour lesquelles les États membres perçoivent des redevances et qui sont mises à disposition sur le portail par l’intermédiaire de BORIS, le système doit permettre aux utilisateurs de payer en ligne en recourant à des moyens communément utilisés, tels que les cartes de crédit ou de débit.

12.2.

Des mesures doivent être prévues dans le cadre de BORIS pour garantir la possibilité d’une inscription en ligne conformément à l’article 30, paragraphe 5 bis, et à l’article 31, paragraphe 4 bis, de la directive (UE) 2015/849.

13.   Disponibilité des services

13.1.

Le service fonctionne 24 h/24, 7 jours/7, et BORIS doit maintenir un taux de disponibilité du système d’au moins 98 % hors maintenance programmée.

13.2.

Les États membres notifient à la Commission les opérations de maintenance dans les délais suivants: a) 5 jours ouvrables à l’avance en cas d’opérations de maintenance pouvant entraîner jusqu’à 4 heures d’indisponibilité; b) 10 jours ouvrables à l’avance en cas d’opérations de maintenance pouvant entraîner jusqu’à 12 heures d’indisponibilité; c) 30 jours ouvrables à l’avance en cas d’opérations de maintenance de l’infrastructure en salle informatique pouvant entraîner jusqu’à 6 jours d’indisponibilité par an. Dans la mesure du possible, les opérations de maintenance sont programmées en dehors des heures de travail (19 h 00 – 8 h 00 HEC).

13.3.

Si un État membre a fixé des créneaux hebdomadaires de maintenance, il notifie à la Commission le jour de la semaine et les heures prévus pour ces créneaux. Sans préjudice des obligations visées au deuxième alinéa, points a) à c), ci-dessus, si les systèmes d’un État membre deviennent indisponibles dans l’un de ces créneaux fixes, l’État membre n’est pas tenu de le notifier à la Commission.

13.4.

En cas de défaillance technique imprévue rendant leurs systèmes indisponibles pendant plus d’une demi-heure, des États membres informent sans tarder la Commission, pendant les heures de travail (9 h 00 – 16 h 00 HEC), de cette indisponibilité et du délai prévisible de rétablissement du service, s’il est connu.

13.5.

En cas de défaillance imprévue de la plate-forme centrale ou du portail, la Commission informe sans tarder les États membres, pendant les heures de travail (9 h 00 – 16 h 00 HEC), de cette indisponibilité et du délai prévisible de rétablissement du service, s’il est connu.

14.   Règles de transcription et de translittération

Chaque État membre procède à la transcription ou à la translittération des demandes de recherche qui lui sont adressées et des résultats renvoyés, conformément à ses normes nationales.

---

(1)  Ci-après: le «portail».

(2)  La plate-forme centrale européenne (ci-après: la «plate-forme») a été instituée par l’article 22, paragraphe 1, de la directive (UE) 2017/1132 du Parlement européen et du Conseil du 14 juin 2017 relative à certains aspects du droit des sociétés (JO L 169 du 30.6.2017, p. 46).

(3)  Sans préjudice des fonctionnalités supplémentaires qu’il pourrait acquérir à l’avenir.

(4)  Article 16, paragraphe 1, de la directive (UE) 2017/1132 du Parlement européen et du Conseil du 14 juin 2017 relative à certains aspects du droit des sociétés et article 8 de l’annexe du règlement d’exécution (UE) 2015/884 de la Commission du 8 juin 2015 établissant les spécifications techniques et les procédures nécessaires au système d’interconnexion des registres mis en place par la directive 2009/101/CE du Parlement européen et du Conseil.

(5)  «Completely Automated Public Turing test to tell Computers and Humans Apart» (test public de Turing entièrement automatisé permettant de distinguer les humains des ordinateurs).

(6)  XML (Extensible Markup Language).