This document is an excerpt from the EUR-Lex website
Document 32024R3084
Commission Implementing Regulation (EU) 2024/3084 of 4 December 2024 on the functioning of the information system pursuant to Regulation (EU) 2023/1115 of the European Parliament and of the Council on the making available on the Union market and the export from the Union of certain commodities and products associated with deforestation and forest degradation
Règlement d’exécution (UE) 2024/3084 de la Commission du 4 décembre 2024 relatif au fonctionnement du système d’information prévu par le règlement (UE) 2023/1115 du Parlement européen et du Conseil relatif à la mise à disposition sur le marché de l’Union et à l’exportation à partir de l’Union de certains produits de base et produits associés à la déforestation et à la dégradation des forêts
Règlement d’exécution (UE) 2024/3084 de la Commission du 4 décembre 2024 relatif au fonctionnement du système d’information prévu par le règlement (UE) 2023/1115 du Parlement européen et du Conseil relatif à la mise à disposition sur le marché de l’Union et à l’exportation à partir de l’Union de certains produits de base et produits associés à la déforestation et à la dégradation des forêts
C/2024/8691
JO L, 2024/3084, 6.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/3084/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Journal officiel |
FR Série L |
|
2024/3084 |
6.12.2024 |
RÈGLEMENT D’EXÉCUTION (UE) 2024/3084 DE LA COMMISSION
du 4 décembre 2024
relatif au fonctionnement du système d’information prévu par le règlement (UE) 2023/1115 du Parlement européen et du Conseil relatif à la mise à disposition sur le marché de l’Union et à l’exportation à partir de l’Union de certains produits de base et produits associés à la déforestation et à la dégradation des forêts
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2023/1115 du Parlement européen et du Conseil du 31 mai 2023 relatif à la mise à disposition sur le marché de l’Union et à l’exportation à partir de l’Union de certains produits de base et produits associés à la déforestation et à la dégradation des forêts, et abrogeant le règlement (UE) no 995/2010 (1), et notamment son article 33,
considérant ce qui suit:
|
(1) |
Le règlement (UE) 2023/1115 établit des règles visant à réduire au minimum la part de l’Union dans la déforestation et la dégradation des forêts. À cet effet, il impose des obligations de diligence raisonnée aux opérateurs et aux commerçants qui mettent sur le marché de l’Union, mettent à disposition sur le marché de l’Union ou exportent à partir de celui-ci certains produits de base et certains produits. Toute référence faite aux opérateurs dans le présent règlement devrait également s’entendre comme faite aux commerçants qui ne sont pas des PME qui mettent des produits en cause à disposition sur le marché si les dispositions du présent règlement leur sont généralement applicables conformément aux obligations qui leur incombent en vertu du règlement (UE) 2023/1115, et en particulier de son article 5, paragraphe 1. |
|
(2) |
Les opérateurs assument formellement la responsabilité de la conformité des produits en cause qu’ils entendent mettre sur le marché ou exporter en mettant des déclarations de diligence raisonnée à disposition («déclarations de diligence raisonnée»). |
|
(3) |
Il est nécessaire de mettre au point un système d’information et d’en fournir l’accès aux opérateurs et aux commerçants et, le cas échéant, à leurs mandataires, aux autorités compétentes et aux autorités douanières, aux fins de la mise en œuvre de leurs obligations respectives énoncées dans le règlement (UE) 2023/1115. Le système d’information devrait faciliter les transferts d’informations entre les autorités compétentes et les autorités douanières des États membres. |
|
(4) |
Le système d’information devrait être une application logicielle basée sur la plateforme Traces établie par le règlement (UE) 2017/625 du Parlement européen et du Conseil (2) et cette application devrait être développée et gérée par la Commission. |
|
(5) |
Il est donc nécessaire de définir les modalités pratiques et opérationnelles du fonctionnement du système d’information en vue de faciliter une mise en œuvre et un contrôle de l’application efficaces et harmonisées du règlement (UE) 2023/1115. |
|
(6) |
Afin de surmonter les barrières linguistiques, il convient de mettre le système d’information à disposition dans toutes les langues officielles de l’Union. À cette fin, la Commission devrait traduire l’interface utilisateur du système d’information dans toutes les langues officielles de l’Union. |
|
(7) |
Afin de s’acquitter de leurs obligations et de leurs tâches prévues par le règlement (UE) 2023/1115, les opérateurs, les commerçants, les autorités compétentes, les autorités douanières et la Commission peuvent avoir besoin d’échanger des informations susceptibles d’inclure des données à caractère personnel. Tout échange d’informations de ce type devrait être conforme aux règles relatives à la protection des données à caractère personnel énoncées dans les règlements (UE) 2016/679 (3) et (UE) 2018/1725 (4) du Parlement européen et du Conseil. En conséquence, l’échange de données à caractère personnel nécessaire pour remplir les obligations et exécuter les tâches prévues par le règlement (UE) 2023/1115 relève du traitement licite des données au titre de l’article 5, paragraphe 1, point a), du règlement (UE) 2018/1725 et de l’article 6, paragraphe 1, point e), du règlement (UE) 2016/679. |
|
(8) |
Le système d’information devrait être utilisé pour aider les opérateurs, les commerçants et les autorités compétentes à présenter les informations nécessaires sur les produits en cause mis sur le marché, mis à disposition ou exportés, ainsi qu’à accéder à ces informations. Les données à caractère personnel susceptibles d’être échangées par l’intermédiaire du système d’information ne devraient être traitées qu’aux fins de l’exécution des obligations et tâches prévues par le règlement (UE) 2023/1115. Lorsque des données à caractère personnel sont traitées dans le cadre du fonctionnement du système d’information aux fins de l’exécution des obligations et tâches prévues par le règlement (UE) 2023/1115, les opérateurs et les commerçants et, le cas échéant, leurs mandataires, les autorités compétentes et les autorités douanières devraient être responsables du traitement au sens du règlement (UE) 2016/679, et la Commission devrait être responsable du traitement au sens du règlement (UE) 2018/1725 pour les activités de traitement qu’ils effectuent. Les autorités compétentes et les autorités douanières devraient être responsables conjoints du traitement au sens du règlement (UE) 2016/679 pour les activités de traitement lorsqu’elles accomplissent des tâches en coopération les unes avec les autres conformément à l’article 21 du règlement (UE) 2023/1115. |
|
(9) |
Le traitement, la transmission, la conservation et tout autre traitement de données à caractère personnel de personnes physiques devraient avoir lieu dans le système d’information, aux fins de l’exécution des obligations et tâches prévues par le règlement (UE) 2023/1115. |
|
(10) |
Il convient que le système d’information traite les données à caractère personnel dans la mesure strictement nécessaire à l’exécution des obligations prévues par le règlement (UE) 2023/1115. Le système d’information ne devrait traiter que les catégories de données à caractère personnel énumérées à l’article 12, paragraphe 2, du présent règlement d’exécution. |
|
(11) |
Le système d’information ne devrait pas conserver les données à caractère personnel communiquées par les utilisateurs du système d’information sous une forme permettant l’identification des personnes concernées plus longtemps que ce qui est strictement nécessaire au regard des finalités pour lesquelles les données à caractère personnel sont traitées. Ce délai devrait être de dix ans à compter de la date à laquelle la déclaration de diligence raisonnée est présentée par l’intermédiaire du système d’information, compte tenu des procédés de fabrication sur une longue période, afin de permettre aux opérateurs et aux commerçants et, le cas échéant, à leurs mandataires, de faire référence aux déclarations de diligence raisonnable existantes en vertu de l’article 33, paragraphe 2, point c), du règlement (UE) 2023/1115 et de s’acquitter de leurs obligations de vérifier que les produits en cause contenus dans les produits en cause ou fabriqués à partir de ceux-ci ont été exercés conformément à l’article 4, paragraphe 9, du règlement (UE) 2023/1115. Un stockage et un traitement plus longs des données à caractère personnel devraient être possibles lorsqu’ils sont nécessaires pour s’acquitter des responsabilités et obligations individuelles des acteurs du système d’information énoncées dans le règlement (UE) 2023/1115. |
|
(12) |
Il convient que la Commission donne accès au grand public aux ensembles de données du système d’information dans un format ouvert totalement anonymisé et lisible par machine, conformément à la politique de l’Union en matière de données ouvertes, à établir sous la forme d’ensembles de données correctement agrégés et anonymisés, qui devraient être accessibles sur le site web de la Commission. |
|
(13) |
Conformément aux principes de protection dès la conception et par défaut, le système d’information devrait être développé et conçu dans le respect des exigences de la législation en matière de protection des données, notamment en raison des restrictions imposées à l’accès aux données à caractère personnel échangées dans ledit système. Par conséquent, le système d’information devrait offrir un niveau de protection et de sécurité nettement supérieur à celui des autres méthodes d’échange d’informations, comme le téléphone, le courrier ordinaire ou le courrier électronique. |
|
(14) |
La Commission devrait fournir et gérer les logiciels et l’infrastructure informatique du système d’information, en assurer la fiabilité, la sécurité, la disponibilité, la maintenance et le fonctionnement, et participer à la formation et à l’assistance technique des acteurs et des utilisateurs du système d’information. Le système d’information devrait permettre un échange efficace de données avec les systèmes et sources de données pertinents des services de la Commission. |
|
(15) |
Les États membres devraient être en mesure d’adapter leurs fonctions et responsabilités liées au système d’information afin de refléter leurs structures administratives internes, et de mettre en œuvre dans le système d’information un type spécifique de travail ou d’y décider de l’ordre des étapes d’un processus de travail donné tout en respectant les obligations leur incombant en vertu du chapitre 3 du règlement (UE) 2023/1115. |
|
(16) |
Afin de faciliter la mise en œuvre effective du règlement (UE) 2023/1115, les autorités compétentes devraient être en mesure d’effectuer des actions au sein du système d’information en vue de garantir le respect dudit règlement, y compris le profilage des risques dans le cadre du plan de contrôle visé à l’article 16, paragraphe 5, du règlement (UE) 2023/1115, l’enregistrement du résultat des contrôles effectués sur les opérateurs et les commerçants, la suspension de la délivrance des numéros de référence attribués aux déclarations de diligence raisonnée et, en cas de non-respect non rectifiable, le rejet des déclarations de diligence raisonnée concernées. Conformément à l’article 16, paragraphe 1, du règlement (UE) 2023/1115, qui prévoit que les autorités compétentes effectuent des contrôles sur leur territoire, celles-ci devraient pouvoir donner suite aux déclarations de diligence raisonnée pour lesquelles des informations sont fournies dans le système d’information par les utilisateurs de ce dernier concernant l’État membre dans lequel un produit entre, duquel un produit sort ou sur le territoire duquel un produit est mis à disposition sur le marché de l’Union. En l’absence de telles informations, les autorités compétentes devraient pouvoir agir sur la base des déclarations de diligence raisonnée des utilisateurs du système d’information établis dans leur État membre ou associés à celui-ci. |
|
(17) |
Les informations reçues par l’autorité compétente, l’autorité douanière, la Commission ou toute autre autorité ayant obtenu l’accès aux informations par l’intermédiaire du système d’information d’une autre autorité compétente, d’une autre autorité douanière, de la Commission ou d’une autre autorité du même type ne devraient pas être privées de leur valeur en tant qu’éléments de preuve dans le cadre de procédures pénales, civiles ou administratives conformément au droit de l’Union et au droit national applicables au seul motif qu’elles proviennent d’un autre État membre ou qu’elles ont été reçues par voie électronique. Il convient que ces informations soient traitées par les utilisateurs du système d’information concernés de la même manière que les documents similaires émanant de leur État membre. |
|
(18) |
Il devrait être possible de traiter le nom et les coordonnées des utilisateurs du système d’information lorsque cela est nécessaire aux fins des objectifs et des obligations prévus par le règlement (UE) 2023/1115 et le présent règlement, y compris pour ce qui est du contrôle de l’utilisation du système d’information par les administrateurs du système d’information et les utilisateurs du système d’information, des initiatives de communication, de formation et de sensibilisation, et de la collecte d’informations dans le cadre du champ d’application du règlement (UE) 2023/1115, ou de l’assistance mutuelle en vertu dudit règlement. |
|
(19) |
Afin d’assurer un suivi efficace du fonctionnement du système d’information et l’établissement de rapports à ce sujet, les autorités compétentes, les autorités douanières ou les autres autorités auxquelles l’accès au système d’information a été accordé devraient mettre les informations pertinentes à la disposition de la Commission lorsque ces informations sont nécessaires à la Commission pour s’acquitter de ses obligations en vertu du règlement (UE) 2023/1115 et du présent règlement. |
|
(20) |
Il convient que les personnes concernées soient informées du traitement de leurs données à caractère personnel dans le système d’information ainsi que des droits dont elles disposent conformément au règlement (UE) 2016/679 et au règlement (UE) 2018/1725, en particulier le droit d’accéder aux données les concernant, ainsi que le droit de faire rectifier les données inexactes et de faire effacer les données traitées illégalement. |
|
(21) |
Chaque utilisateur du système d’information, en tant que responsable du traitement pour ce qui est des activités de traitement des données qu’il effectue dans le cadre du champ d’application du règlement (UE) 2023/1115, devrait veiller à ce que les personnes concernées puissent exercer leurs droits conformément au règlement (UE) 2016/679 et au règlement (UE) 2018/1725. Il convient, notamment, de mettre en place une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. |
|
(22) |
La mise en œuvre du présent règlement et les performances du système d’information devraient faire l’objet d’un suivi dans le rapport sur le fonctionnement du système d’information, établi sur la base des données statistiques du système d’information et de toute autre donnée pertinente. La Commission devrait soumettre ce rapport au Parlement européen, au Conseil et au Contrôleur européen de la protection des données Ce rapport devrait également aborder les aspects liés à la protection des données à caractère personnel dans le système d’information, y compris la sécurité des données. |
|
(23) |
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 5 novembre 2024. |
|
(24) |
Les mesures prévues par le présent règlement sont conformes à l’avis du comité du règlement de l’Union européenne relatif aux produits associés à la déforestation, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
CHAPITRE I
DISPOSITIONS GÉNÉRALES
Article premier
Objet
Le présent règlement établit les règles de fonctionnement du système d’information, y compris les règles relatives à la protection des données à caractère personnel et à l’échange de données avec d’autres systèmes informatiques.
Article 2
Déploiement et utilisation du système d’information
1. La Commission:
|
a) |
développe le système d’information en tant que module indépendant de la plateforme Traces; |
|
b) |
assure le fonctionnement et la maintenance du système d’information, fournit une assistance et procède aux mises à jour ou développements requis. |
2. Le système d’information est utilisé par les opérateurs et les commerçants et, le cas échéant, par leurs mandataires, aux fins de la présentation et de la gestion des déclarations de diligence raisonnée et de la vérification de la validité des numéros de référence, ainsi que par les autorités compétentes, les autorités douanières et la Commission en vue d’accéder aux déclarations de diligence raisonnée et d’agir à leur égard, y compris en ce qui concerne l’échange d’informations contenant des données à caractère personnel entre les autorités compétentes, les autorités douanières et la Commission en lien avec la mise en œuvre et le contrôle de l’application du règlement (UE) 2023/1115. Tout échange d’informations de ce type est conforme aux règles relatives à la protection des données à caractère personnel énoncées dans le règlement (UE) 2016/679 et le règlement (UE) 2018/1725.
3. Les déclarations de diligence raisonnée sont attribuées dans le système d’information aux autorités compétentes dans l’ordre suivant:
|
a) |
si l’utilisateur du système d’information fournit des informations indiquant l’État membre dans lequel le produit en cause entre sur le marché de l’Union ou à partir duquel il le quitte, ou, à défaut, lorsque le produit en cause est mis sur le marché ou mis à disposition sur le marché, les déclarations de diligence raisonnée sont attribuées aux autorités compétentes de cet État membre; |
|
b) |
en l’absence des informations requises au point a), les déclarations de diligence raisonnée sont attribuées aux autorités compétentes de l’État membre dans lequel l’utilisateur du système d’information est établi. Si l’utilisateur du système d’information est établi en dehors de l’Union, les déclarations de diligence raisonnée sont attribuées aux autorités compétentes de l’État membre auquel l’utilisateur du système d’information est associé en fonction de son identifiant fourni lors de l’enregistrement dans le système d’information. |
Article 3
Définitions
Aux fins du présent règlement, outre les définitions figurant à l’article 2 du règlement (UE) 2023/1115, à l’article 4 du règlement (UE) 2016/679 et à l’article 3 du règlement (UE) 2018/1725, on entend par:
|
a) |
«système d’information»: le système d’information mis en place par la Commission et dont la Commission assure la maintenance conformément à l’article 33 du règlement (UE) 2023/1115; |
|
b) |
«acteur du système d’information»: les autorités compétentes et les autorités douanières visées par le règlement (UE) 2023/1115, ainsi que la Commission, en ce qu’elles accomplissent les tâches qui leur sont confiées conformément au règlement (UE) 2023/1115; |
|
c) |
«utilisateur du système d’information»: les opérateurs et les commerçants, ainsi que leurs mandataires, le cas échéant, visés par le règlement (UE) 2023/1115, qui sont identifiés par un enregistrement individuel dans EU Login, le service d’authentification des utilisateurs de la Commission européenne; |
|
d) |
«déclaration de diligence raisonnée»: la déclaration de diligence raisonnée présentée par l’utilisateur du système d’information conformément au règlement (UE) 2023/1115; |
|
e) |
«numéro de référence»: le numéro de référence attribué par le système d’information à la déclaration de diligence raisonnée présentée par l’utilisateur du système d’information conformément au règlement (UE) 2023/1115; |
|
f) |
«numéro de vérification»: un numéro de sécurité attribué par le système d’information à la déclaration de diligence raisonnée présentée par l’utilisateur du système d’information afin d’assurer une sécurité supplémentaire des données contenues dans la déclaration de diligence raisonnée; |
|
g) |
«profilage des risques»: l’identification des risques de non-conformité d’un produit en cause relevant du champ d’application du règlement (UE) 2023/1115 au sein du système d’information, sur la base de critères de risque, aux fins de l’attribution à chaque déclaration de diligence raisonnée présentée dans le système d’information, y compris après une éventuelle modification de celle-ci, d’un statut de risque. |
CHAPITRE II
FONCTIONNEMENT DU SYSTÈME D’INFORMATION
Article 4
Présentation des déclarations de diligence raisonnée
1. Sauf lorsque la déclaration de diligence raisonnée est mise à disposition par l’intermédiaire de l’interface électronique visée à l’article 28, paragraphe 2, du règlement (UE) 2023/1115, les utilisateurs du système d’information présentent et gèrent les déclarations de diligence raisonnée des produits en cause dans le système d’information.
2. Lorsqu’un produit en cause contient du bois ou a été fabriqué avec du bois, les utilisateurs du système d’information indiquent dans la déclaration de diligence raisonnée les noms communs et les noms scientifiques complets des essences de bois que les produits en cause contiennent ou avec lesquels ils ont été fabriqués.
Article 5
Modification et retrait des déclarations de diligence raisonnée
1. Le système d’information permet à ses utilisateurs de modifier ou de retirer les déclarations de diligence raisonnée dans les 72 heures suivant la mise à disposition dans le système d’information du numéro de référence de la déclaration de diligence raisonnée.
2. Les déclarations de diligence raisonnée ne peuvent pas être modifiées ou retirées durant la période fixée au paragraphe 1 après que la déclaration de diligence raisonnée a été utilisée comme référence dans une déclaration de diligence raisonnée présentée par le même utilisateur ou par un autre utilisateur du système d’information.
3. La déclaration de diligence raisonnée n’est ni modifiée ni retirée par un utilisateur du système d’information après que:
|
a) |
l’utilisateur du système d’information a été informé de l’intention d’effectuer un contrôle concernant la déclaration de diligence raisonnée ou le produit en cause associé à la déclaration de diligence raisonnée, pendant la durée du contrôle; |
|
b) |
le produit en cause a été mis sur le marché de l’Union ou mis à disposition sur le marché de l’Union conformément au règlement (UE) 2023/1115; |
|
c) |
le numéro de référence de la déclaration de diligence raisonnée a été fourni aux autorités douanières ou mis à la disposition de celles-ci avant la mise en libre pratique ou l’exportation d’un produit en cause entrant sur le marché ou quittant le marché dans le cadre des procédures établies au chapitre 4 du règlement (UE) 2023/1115. |
4. Sans préjudice des paragraphes 2 et 3, sur demande individuelle et motivée d’un utilisateur du système d’information, les autorités compétentes peuvent prolonger le délai visé au paragraphe 1, uniquement après que celui-ci a expiré. Cette prolongation n’excède pas huit jours civils. La demande est fondée sur des raisons indépendantes de la volonté de l’utilisateur du système d’information, qui, dans sa demande motivée, indique que le paragraphe 3 du présent article n’est pas applicable. Cette prolongation est également possible avec effet rétroactif après l’expiration du délai visé au paragraphe 1.
5. Une déclaration de diligence raisonnée modifiée fait l’objet d’un profilage des risques conformément à l’article 6. Le profilage des risques s’applique à l’ensemble de la déclaration de diligence raisonnée modifiée.
Article 6
Profilage des risques
1. Le système d’information permet aux autorités compétentes de recenser, au sein du système d’information, les situations dans lesquelles des produits en cause présentent un risque si élevé de non-conformité qu’une action immédiate est nécessaire avant que ces produits soient mis sur le marché, mis à disposition sur le marché ou exportés, conformément à l’article 17 du règlement (UE) 2023/1115, et de s’informer afin de déterminer les contrôles à effectuer et d’accomplir les tâches qui leur sont confiées au titre du chapitre 3 du règlement (UE) 2023/1115.
2. Aux fins du paragraphe 1, le système d’information permet aux autorités compétentes d’établir des profils de risque dans le système d’information afin de faciliter une prise de décision éclairée pour sélectionner les opérateurs, les commerçants ou les produits en cause associés aux déclarations de diligence raisonnée sur lesquels effectuer des contrôles. Ces profils de risque sont fondés, entre autres, sur les critères de risque énoncés dans leur plan annuel de contrôle, conformément à l’article 16, paragraphe 5, du règlement (UE) 2023/1115, lequel plan est établi conformément à une approche fondée sur les risques, conformément au paragraphe 3 du même article.
3. Lorsqu’elle est présentée dans le système d’information, chaque déclaration de diligence raisonnée fait l’objet d’un profilage des risques électronique automatisé. Le système d’information attribue un statut de risque à chaque déclaration de diligence raisonnée.
4. À tout moment après la présentation d’une déclaration de diligence raisonnée, les autorités compétentes peuvent examiner une déclaration de diligence raisonnée afin de déterminer si un produit en cause est conforme à l’article 3 du règlement (UE) 2023/1115. Dans ce cas, elles peuvent attribuer un nouveau statut de risque à la déclaration de diligence raisonnée à l’issue de l’examen. Si l’autorité compétente attribue un nouveau statut de risque à une déclaration de diligence raisonnée, ce nouveau statut prévaut sur un statut de risque attribué en vertu du paragraphe 3 du présent article.
Article 7
Attribution et mise à disposition des numéros de référence
1. Le système d’information attribue dans les meilleurs délais un numéro de référence et un numéro de vérification à la déclaration de diligence raisonnée présentée par l’utilisateur du système d’information à l’issue du profilage des risques visé à l’article 6.
2. Le numéro de référence et le numéro de vérification sont mis à la disposition de l’utilisateur du système d’information à l’issue du profilage des risques visé à l’article 6.
3. Le système d’information permet aux autorités compétentes de reporter la mise à disposition du numéro de référence afin d’établir que les produits en cause sont conformes à l’article 3 du règlement (UE) 2023/1115 et, en particulier, de vérifier que la situation détectée visée à l’article 6, paragraphe 1, du présent règlement n’est pas applicable à ce produit en cause. Ce report est aussi court que possible et n’excède pas la période fixée à l’article 17, paragraphe 3, du règlement (UE) 2023/1115. Il peut être prolongé à la discrétion de l’autorité compétente.
Article 8
Rejet des déclarations de diligence raisonnée
1. Afin d’éviter qu’un produit en cause non conforme au règlement (UE) 2023/1115 ne soit mis sur le marché, mis à disposition sur le marché ou exporté, conformément à l’article 17 du même règlement, les autorités compétentes peuvent rejeter une déclaration de diligence raisonnée, à moins que le numéro de référence de cette déclaration n’ait déjà été mis à la disposition de l’utilisateur du système d’information.
2. Le produit en cause déclaré dans une déclaration de diligence raisonnée rejetée est réputé ne pas faire l’objet d’une déclaration de diligence raisonnée comme requis par l’article 3, point c), du règlement (UE) 2023/1115.
3. Le rejet est pris en compte dans le système d’information par l’attribution d’un statut spécifique à la déclaration de diligence raisonnée concernée.
CHAPITRE III
FONCTIONS ET RESPONSABILITÉS RELATIVES AU SYSTÈME D’INFORMATION
Article 9
Fonctions et responsabilités de la Commission
Outre les tâches énumérées à l’article 2, paragraphe 1, la Commission est chargée d’exécuter les tâches suivantes relatives au système d’information:
|
a) |
fournir des connaissances, des formations et un soutien, y compris une assistance technique, aux utilisateurs et aux acteurs du système d’information en ce qui concerne l’utilisation de ce système; |
|
b) |
octroyer l’accès au système d’information aux acteurs désignés par chaque État membre; |
|
c) |
octroyer l’accès au système d’information à ses utilisateurs, sous la supervision des autorités compétentes; |
|
d) |
effectuer des opérations de traitement de données à caractère personnel dans le système d’information, lorsque le présent règlement l’exige, ou aux fins de la mise en œuvre et du contrôle de l’application au titre du règlement (UE) 2023/1115; |
|
e) |
fournir des services web permettant aux utilisateurs du système d’information de présenter et de gérer de manière automatisée les déclarations de diligence raisonnée dans le système d’information; |
|
f) |
fournir des services web permettant aux autorités compétentes des États membres d’exécuter de manière automatisée, dans le système d’information, des tâches concernant les déclarations de diligence raisonnée présentées; |
|
g) |
fournir l’interface électronique prévue à l’article 28 du règlement (UE) 2023/1115; |
|
h) |
suspendre et révoquer l’accès d’un utilisateur du système d’information, à la demande des autorités compétentes de l’État membre dans lequel il est établi ou, si l’utilisateur est établi en dehors de l’Union, des autorités compétentes de l’État membre auquel il est associé, en fonction de l’identifiant fourni lors de son enregistrement dans le système d’information. |
Article 10
Droits d’accès des utilisateurs du système d’information
1. Seuls les utilisateurs du système d’information enregistrés ont accès au système d’information.
2. L’authentification dans le système d’information se fait par l’intermédiaire d’EU Login, le service d’authentification de la Commission européenne.
3. Les utilisateurs du système d’information ont accès aux informations contenues dans le système d’information qu’ils ont transmises ou auxquelles un autre utilisateur du système d’information leur a donné accès au moyen des numéros de référence et des numéros de vérification des déclarations de diligence raisonnée associées.
Article 11
Droits d’accès des acteurs du système d’information
1. La Commission a accès à l’ensemble des données, informations et documents du système d’information aux fins de la production de rapports et du développement, du fonctionnement et de la maintenance du système.
2. La Commission octroie des droits d’accès aux acteurs du système d’information et les révoque, le cas échéant, à la suite des modifications concernant les autorités compétentes visées à l’article 14, paragraphe 2, du règlement (UE) 2023/1115.
3. L’authentification dans le système d’information se fait par l’intermédiaire d’EU Login, le service d’authentification de la Commission européenne.
4. Les acteurs du système d’information mettent en place des moyens appropriés pour garantir que les utilisateurs individuels représentant les acteurs du système d’information dans ce système ne sont autorisés à accéder aux données à caractère personnel traitées dans le système d’information que lorsque cela est strictement nécessaire à la mise en œuvre et au contrôle de l’application au titre du règlement (UE) 2023/1115.
5. Les acteurs du système d’information ont accès à toutes les informations pertinentes contenues dans le système d’information qui sont nécessaires aux fins de l’exécution des obligations et tâches qui leur incombent en vertu du règlement (UE) 2023/1115.
CHAPITRE IV
TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET SÉCURITÉ
Article 12
Traitement des données à caractère personnel dans le système d’information
1. La transmission, la conservation et tout autre traitement de données à caractère personnel dans le système d’information ne peuvent avoir lieu que dans la mesure où cela est nécessaire et proportionné, et uniquement aux fins suivantes:
|
a) |
la facilitation des communications entre les acteurs du système d’information dans le cadre de la mise en œuvre et du contrôle de l’application au titre du règlement (UE) 2023/1115; |
|
b) |
le traitement de dossiers par les acteurs du système d’information dans l’exercice de leurs propres activités de mise en œuvre et de contrôle de l’application au titre du règlement (UE) 2023/1115; |
|
c) |
la conversion commerciale et technique des données énumérées dans le présent règlement, lorsque cela est nécessaire pour permettre l’échange et l’utilisation d’informations visés aux points a) et b). |
2. Le traitement de données à caractère personnel dans le système d’information ne peut avoir lieu que pour les catégories suivantes de données à caractère personnel:
|
a) |
données d’identification: nom et prénom, identifiant unique comprenant le numéro d’enregistrement et d’identification des opérateurs économiques («EORI»), conformément à l’article 9 du règlement (UE) no 952/2013 du Parlement européen et du Conseil (5), le cas échéant; |
|
b) |
coordonnées professionnelles: adresse électronique et postale, pays de résidence ou pays du siège statutaire, numéro de téléphone et numéro de télécopieur, le cas échéant; |
|
c) |
rôle de l’utilisateur du système d’information; |
|
d) |
données relatives à la géolocalisation conformément à l’article 2, paragraphe 28, du règlement (UE) 2023/1115, lorsque des personnes physiques peuvent être identifiées; |
|
e) |
authentification de l’utilisateur et données d’accès au système d’information: adresse IP et nom d’utilisateur. |
3. Le système d’information conserve les catégories de données à caractère personnel énumérées au paragraphe 2 qui sont traitées aux fins de la mise en œuvre et du contrôle de l’application au titre du règlement (UE) 2023/1115.
4. La conservation des données visée au paragraphe 2 s’effectue au moyen d’infrastructures informatiques situées dans l’Espace économique européen.
5. Le système d’information conserve les données à caractère personnel contenues dans les déclarations de diligence raisonnée pour une période maximale de dix ans à compter de la date à laquelle une déclaration de diligence raisonnée est présentée dans le système d’information. La période de conservation peut être prolongée par la Commission à la demande individuelle des utilisateurs ou des acteurs du système d’information lorsque cela est nécessaire pour qu’ils s’acquittent des responsabilités et obligations qui leur incombent en vertu du règlement (UE) 2023/1115.
6. Sans préjudice des activités de traitement des données visées à l’article 14, chaque acteur du système d’information est un responsable du traitement distinct au sens des règlements (UE) 2016/679 et (UE) 2018/1725 en ce qui concerne les activités de traitement des données qu’il effectue.
7. Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant chacun dans le cadre de leurs compétences respectives, assurent une surveillance coordonnée du système d’information et de son utilisation par les acteurs et les utilisateurs du système d’information conformément à l’article 62 du règlement (UE) 2018/1725.
Article 13
Traitement des données à caractère personnel par la Commission
1. La Commission est un responsable du traitement au sens de l’article 3, point 8), du règlement (UE) 2018/1725 en ce qui concerne le traitement de données à caractère personnel des utilisateurs du système d’information, y compris lors de l’enregistrement d’utilisateurs du système d’information dans ce dernier.
2. Lorsque la Commission traite des données à caractère personnel dans le cadre du fonctionnement du système d’information pour le compte d’autres acteurs du système d’information aux fins de l’échange d’informations au titre de l’article 27 du règlement (UE) 2023/1115, elle est considérée comme un sous-traitant au sens de l’article 3, point 12), du règlement (UE) 2018/1725.
3. La Commission est un sous-traitant au sens de l’article 3, point 12), du règlement (UE) 2018/1725 pour le traitement des données à caractère personnel effectué pour les enquêtes conjointes conduites conformément à l’article 21 du règlement (UE) 2023/1115 dans le cadre de la mise en œuvre et du contrôle de l’application au titre du règlement (UE) 2023/1115.
Article 14
Responsabilité conjointe dans le système d’information
Lorsque les autorités compétentes et les autorités douanières telles quelles sont définies dans le règlement (UE) 2023/1115 procèdent à la mise en œuvre et au contrôle de l’application en coopération les unes avec les autres conformément à l’article 21 du règlement (UE) 2023/1115, les autorités compétentes et les autorités douanières concernées sont responsables conjointes du traitement, au sens de l’article 26, paragraphe 1, du règlement (UE) 2016/679, pour la transmission, la conservation et tout autre traitement de données à caractère personnel dans le système d’information dans le cadre de cette coopération particulière. Lorsque l’article 26, paragraphe 1, du règlement (UE) 2016/679 l’exige, les responsables du traitement déterminent leurs responsabilités respectives en matière de respect des obligations au titre du règlement (UE) 2016/679 au moyen d’un accord entre eux.
Article 15
Sécurité
1. La Commission met en place les mesures de pointe nécessaires pour garantir la sécurité des données à caractère personnel traitées dans le système d’information, y compris des mesures appropriées de contrôle de l’accès aux données et un plan de sécurité, qui est tenu à jour.
2. La Commission met en place les mesures de pointe nécessaires en cas d’incident de sécurité, prend des mesures correctives et veille à ce qu’il soit possible de vérifier quelles données à caractère personnel ont été traitées dans le système d’information, à quel moment, par qui et à quelles fins.
3. La Commission informe les autorités compétentes des mesures visées aux paragraphes 1 et 2 du présent article.
Article 16
Confidentialité
1. Les États membres et la Commission appliquent chacun leurs propres règles en matière de secret professionnel, ou autres obligations de confidentialité équivalentes en ce qui concerne le système d’information conformément à leur droit national ou au droit de l’Union.
2. Les acteurs du système d’information veillent chacun à ce que les personnes travaillant sous leur autorité respectent les demandes présentées par d’autres acteurs du système d’information visant à obtenir le traitement confidentiel d’informations échangées dans le système d’information.
CHAPITRE V
DISPOSITIONS FINALES
Article 17
Traduction
1. La Commission met le système d’information à disposition dans toutes les langues officielles de l’Union.
2. Un acteur du système d’information peut produire et utiliser, en lien avec l’exécution de toute tâche qui lui a été confiée conformément au règlement (UE) 2023/1115, tous documents, informations, constatations, déclarations ou copies certifiées conformes qu’il a reçus dans le système d’information, sur la même base que des informations similaires obtenues dans son propre pays, à des fins compatibles avec celles pour lesquelles les données ont été initialement collectées et conformément au droit de l’Union et au droit national applicables.
Article 18
Coûts
1. Les coûts engagés pour la mise en place, la maintenance et le fonctionnement du système d’information sont à la charge de la Commission.
2. Les coûts associés au système d’information au niveau national, y compris les ressources humaines nécessaires aux activités de formation, de promotion et d’assistance technique, ainsi qu’à l’utilisation du système d’information au niveau national et à toute adaptation à apporter aux réseaux et systèmes d’information nationaux, sont à la charge de l’État membre qui les engage.
Article 19
Entrée en vigueur
Le présent règlement entre en vigueur le troisième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 4 décembre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 150 du 9.6.2023, p. 206, ELI: http://data.europa.eu/eli/reg/2023/1115/oj.
(2) Règlement (UE) 2017/625 du Parlement européen et du Conseil du 15 mars 2017 concernant les contrôles officiels et les autres activités officielles servant à assurer le respect de la législation alimentaire et de la législation relative aux aliments pour animaux ainsi que des règles relatives à la santé et au bien-être des animaux, à la santé des végétaux et aux produits phytopharmaceutiques, modifiant les règlements du Parlement européen et du Conseil (CE) no 999/2001, (CE) no 396/2005, (CE) no 1069/2009, (CE) no 1107/2009, (UE) no 1151/2012, (UE) no 652/2014, (UE) 2016/429 et (UE) 2016/2031, les règlements du Conseil (CE) no 1/2005 et (CE) no 1099/2009 ainsi que les directives du Conseil 98/58/CE, 1999/74/CE, 2007/43/CE, 2008/119/CE et 2008/120/CE, et abrogeant les règlements du Parlement européen et du Conseil (CE) no 854/2004 et (CE) no 882/2004, les directives du Conseil 89/608/CEE, 89/662/CEE, 90/425/CEE, 91/496/CEE, 96/23/CE, 96/93/CE et 97/78/CE ainsi que la décision 92/438/CEE du Conseil (règlement sur les contrôles officiels) (JO L 95 du 7.4.2017, p. 1, ELI: http://data.europa.eu/eli/reg/2017/625/oj).
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(5) Règlement (UE) no 952/2013 du Parlement européen et du Conseil du 9 octobre 2013 établissant le code des douanes de l’Union (JO L 269 du 10.10.2013, p. 1, ELI: http://data.europa.eu/eli/reg/2013/952/oj).
ELI: http://data.europa.eu/eli/reg_impl/2024/3084/oj
ISSN 1977-0693 (electronic edition)