EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02019R0816-20190611
Regulation (EU) 2019/816 of the European Parliament and of the Council of 17 April 2019 establishing a centralised system for the identification of Member States holding conviction information on third-country nationals and stateless persons (ECRIS-TCN) to supplement the European Criminal Records Information System and amending Regulation (EU) 2018/1726
Consolidated text: Règlement (UE) 2019/816 du Parlement européen et du Conseil du 17 avril 2019 portant création d'un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d'information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726
Règlement (UE) 2019/816 du Parlement européen et du Conseil du 17 avril 2019 portant création d'un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d'information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726
02019R0816 — FR — 11.06.2019 — 001.001
Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document
|
RÈGLEMENT (UE) 2019/816 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 17 avril 2019 (JO L 135 du 22.5.2019, p. 1) |
Modifié par:
|
|
|
Journal officiel |
||
|
n° |
page |
date |
||
|
RÈGLEMENT (UE) 2019/818 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 20 mai 2019 |
L 135 |
85 |
22.5.2019 |
|
RÈGLEMENT (UE) 2019/816 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 17 avril 2019
portant création d'un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d'information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726
CHAPITRE I
Dispositions générales
Article premier
Objet
Le présent règlement établit:
a) un système permettant d'identifier les États membres détenant des informations sur les condamnations antérieures prononcées à l'encontre de ressortissants de pays tiers (ci-après dénommé «ECRIS-TCN»);
b) les conditions dans lesquelles l'ECRIS-TCN est utilisé par les autorités centrales pour obtenir des informations sur ces condamnations antérieures au moyen du système européen d'information sur les casiers judiciaires (ECRIS) créé par la décision 2009/316/JAI, ainsi que les conditions dans lesquelles Eurojust, Europol et le Parquet européen utilisent l'ECRIS-TCN;
c) les conditions dans lesquelles l'ECRIS-TCN contribue à faciliter l'identification correcte des personnes enregistrées dans l'ECRIS-TCN et aide à cette identification aux conditions et pour les finalités prévues à l'article 20 du règlement (UE) 2019/818 du Parlement européen et du Conseil ( 1 ), en stockant des données d'identité, des données de documents de voyage et des données biométriques dans le CIR.
Article 2
Champ d'application
Le présent règlement s'applique au traitement des données d'identité des ressortissants de pays tiers qui ont fait l'objet de condamnations dans les États membres aux fins d'identifier les États membres dans lesquels ces condamnations ont été prononcées. À l'exception de l'article 5, paragraphe 1, point b) ii), les dispositions du présent règlement qui s'appliquent aux ressortissants de pays tiers s'appliquent aussi aux citoyens de l'Union qui ont également la nationalité d'un pays tiers et qui ont fait l'objet de condamnations dans les États membres. Le présent règlement facilite également l'identification correcte des personnes et aide à cette identification, conformément au présent règlement et au règlement (UE) 2019/818.
Article 3
Définitions
Aux fins du présent règlement, on entend par:
|
1) |
«condamnation» : toute décision définitive d'une juridiction pénale rendue à l'encontre d'une personne physique en raison d'une infraction pénale, pour autant que cette décision soit inscrite dans le casier judiciaire de l'État membre de condamnation; |
|
2) |
«procédure pénale» : la phase préalable au procès pénal, le procès pénal et la phase d'exécution de la condamnation; |
|
3) |
«casier judiciaire» : le registre national ou les registres nationaux regroupant les condamnations conformément au droit national; |
|
4) |
«État membre de condamnation» : l'État membre dans lequel une condamnation est prononcée; |
|
5) |
«autorité centrale» : une autorité désignée conformément à l'article 3, paragraphe 1, de la décision-cadre 2009/315/JAI; |
|
6) |
«autorités compétentes» : les autorités centrales et Eurojust, Europol et le Parquet européen, qui sont compétents pour accéder à l'ECRIS-TCN ou l'interroger en vertu du présent règlement; |
|
7) |
«ressortissant d'un pays tiers» : une personne qui n'est pas citoyen de l'Union au sens de l'article 20, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, ou qui est une personne apatride ou dont la nationalité n'est pas connue; |
▼M1 —————
|
9) |
«logiciel d'interface» : le logiciel hébergé par les autorités compétentes qui leur permet d'accéder au système central au moyen de l'infrastructure de communication visée à l'article 4, paragraphe 1, point d); |
|
10) |
«données d'identification» : les données alphanumériques, les données dactyloscopiques et les images faciales qui sont utilisées pour établir un lien entre ces données et une personne physique; |
|
11) |
«données alphanumériques» : les données représentées par des lettres, des chiffres, des caractères spéciaux, des espaces et des signes de ponctuation; |
|
12) |
«données dactyloscopiques» : les données relatives aux impressions simultanées et roulées des empreintes digitales de chaque doigt d'une personne; |
|
13) |
«image faciale» : une image numérique du visage d'une personne; |
|
14) |
«réponse positive» : une ou des concordances constatées en comparant les données d'identification enregistrées dans le système central et les données d'identification utilisées pour effectuer une recherche; |
|
15) |
«point d'accès central national» : le point national de connexion à l'infrastructure de communication visée à l'article 4, paragraphe 1, point d); |
|
16) |
«application de référence de l'ECRIS» : le logiciel développé par la Commission et mis à la disposition des États membres pour les échanges d'informations sur les casiers judiciaires au moyen de l'ECRIS; |
|
17) |
«autorité de contrôle nationale» : une autorité publique indépendante instituée par un État membre en vertu des règles de l'Union en matière de protection des données; |
|
18) |
«autorités de contrôles» : le Contrôleur européen de la protection des données et les autorités de contrôle nationales; |
|
19) |
«CIR» : le répertoire commun de données d'identité établi par l'article 17, paragraphe 1, du règlement (UE) 2019/818; |
|
20) |
«données de l'ECRIS-TCN» : toutes les données stockées dans le système central et dans le CIR conformément à l'article 5; |
|
21) |
«ESP» : le portail européen de recherche créé par l'article 6, paragraphe 1, du règlement (UE) 2019/818. |
Article 4
Architecture technique de l'ECRIS-TCN
1. L'ECRIS-TCN se compose des éléments suivants:
a) un système central;
a bis) le CIR;
b) un point d'accès central national dans chaque État membre;
c) un logiciel d'interface permettant aux autorités compétentes de se connecter au système central, par l'intermédiaire des points d'accès centraux nationaux et de l'infrastructure de communication visée au point d);
d) une infrastructure de communication entre le système central et les points d'accès centraux nationaux;
e) une infrastructure de communication entre le système central et les infrastructures centrales de l'ESP et du CIR.
2. Le système central est hébergé par l'eu-LISA sur ses sites techniques.
3. Le logiciel d'interface est compatible avec l'application de référence de l'ECRIS. Les États membres utilisent l'application de référence de l'ECRIS ou, dans la situation et dans les conditions décrites aux paragraphes 4 à 8, le logiciel d'application national de l'ECRIS, pour interroger l'ECRIS-TCN et pour envoyer ensuite des demandes d'informations sur les casiers judiciaires.
4. Il incombe aux États membres qui utilisent leur logiciel d'application national de l'ECRIS de s'assurer que celui-ci permet à leurs autorités gérant les casiers judiciaires d'utiliser l'ECRIS-TCN, exception faite du logiciel d'interface, conformément au présent règlement. À cette fin, ils s'assurent, avant la date de mise en service de l'ECRIS-TCN conformément à l'article 35, paragraphe 4, que leur logiciel d'application national de l'ECRIS fonctionne conformément aux protocoles et aux spécifications techniques établis dans les actes d'exécution visés à l'article 10, ainsi qu'à toute autre exigence technique fondée sur ces actes d'exécution établie par l'eu-LISA en vertu du présent règlement.
5. Tant qu'ils n'utilisent pas l'application de référence de l'ECRIS, les États membres qui utilisent leur logiciel d'application national de l'ECRIS assurent également la mise en œuvre des adaptations techniques ultérieures de leur logiciel d'application national de l'ECRIS requises par les modifications apportées aux spécifications techniques établies par la voie des actes d'exécution visés à l'article 10, ou à toute autre exigence technique fondée sur ces actes d'exécution établie par l'eu-LISA en vertu du présent règlement, sans retard injustifié.
6. Les États membres qui utilisent leur logiciel d'application national de l'ECRIS supportent tous les coûts afférents à la mise en œuvre, à la maintenance et au développement de ce logiciel ainsi qu'à son interconnexion avec l'ECRIS-TCN, exception faite du logiciel d'interface.
7. Si un État membre qui utilise son logiciel d'application national de l'ECRIS n'est pas en mesure de satisfaire aux obligations énoncées au présent article, il est tenu d'utiliser l'application de référence de l'ECRIS, y compris le logiciel d'interface intégré, pour pouvoir utiliser l'ECRIS-TCN.
8. Aux fins de l'évaluation que doit réaliser la Commission en application de l'article 36, paragraphe 10, point b), les États membres concernés communiquent à la Commission toutes les informations nécessaires.
CHAPITRE II
Inscription et utilisation des données par les autorités centrales
Article 5
Inscription des données dans l'ECRIS-TCN
1. Pour chaque ressortissant d'un pays tiers condamné, l'autorité centrale de l'État membre de condamnation crée un fichier de données dans l'ECRIS-TCN. Ce fichier de données contient:
a) en ce qui concerne les données alphanumériques:
i) informations à inclure sauf si, dans des cas particuliers, l'autorité centrale n'en a pas connaissance (informations obligatoires):
— le nom (nom de famille);
— les prénoms;
— la date de naissance;
— le lieu de naissance (ville et pays);
— la ou les nationalités;
— le genre;
— les noms précédents, le cas échéant;
— le code de l'État membre de condamnation;
ii) informations à inclure lorsqu'elles ont été inscrites dans le casier judiciaire (informations facultatives):
— les noms des parents;
iii) informations à inclure si l'autorité centrale en dispose (informations complémentaires):
— le numéro d'identité, ou le type et le numéro des documents d'identité de la personne concernée, ainsi que le nom de l'autorité les ayant délivrés;
— les pseudonymes ou noms d'emprunt;
b) en ce qui concerne les données dactyloscopiques:
i) les données dactyloscopiques qui ont été recueillies conformément au droit national à l'occasion de procédures pénales;
ii) au minimum, les données dactyloscopiques recueillies sur la base de l'un des critères suivants:
— lorsque le ressortissant d'un pays tiers a été condamné à une peine privative de liberté d'au moins six mois;
— ou
— lorsque le ressortissant d'un pays tiers a été condamné pour avoir commis une infraction pénale punissable, en vertu du droit de l'État membre, d'une peine privative de liberté d'une durée maximale d'au moins douze mois.
1 bis. Le CIR contient les données visées au paragraphe 1, point b), et les données suivantes du paragraphe 1, point a): le nom (nom de famille), les prénoms, la date de naissance, le lieu de naissance (ville et pays), la ou les nationalités, le genre, les noms précédents, le cas échéant, lorsqu'ils sont disponibles, les pseudonymes ou noms d'emprunt, lorsqu'ils sont disponibles, le type et numéro des documents de voyage de la personne, ainsi que le nom de l'autorité de délivrance de ces documents. Le CIR peut également contenir les données visées au paragraphe 3. Le reste des données de l'ECRIS-TCN sont stockées dans le système central.
2. Les données dactyloscopiques visées au paragraphe 1, point b), du présent article, répondent aux spécifications techniques concernant la qualité, la résolution et le traitement des données dactyloscopiques prévues dans l'acte d'exécution visé à l'article 10, paragraphe 1, point b). Le numéro de référence des données dactyloscopiques de la personne condamnée comprend le code de l'État membre de condamnation.
3. Le fichier de données peut également contenir des images faciales du ressortissant d'un pays tiers condamné, si le droit de l'État membre de condamnation autorise la collecte et la conservation des images faciales des personnes condamnées.
4. L'État membre de condamnation crée le fichier de données automatiquement, si possible, et sans retard injustifié après l'inscription de la condamnation dans le casier judiciaire.
5. Les États membres de condamnation créent également des fichiers de données concernant les condamnations prononcées avant la date de début de l'inscription des données conformément à l'article 35, paragraphe 1 dans la mesure où les données concernant les personnes condamnées sont conservées dans leurs bases de données nationales. Dans ces cas, les données dactyloscopiques sont incluses uniquement si elles ont été recueillies à l'occasion d'une procédure pénale conformément au droit national, et lorsqu'elles peuvent être clairement mises en concordance avec d'autres données d'identification dans les casiers judiciaires.
6. Pour se conformer aux obligations énoncées au paragraphe 1, points b) i) et b) ii), et au paragraphe 5, les États membres peuvent utiliser les données dactyloscopiques recueillies à des fins autres qu'une procédure pénale, lorsque cette utilisation est autorisée par le droit national.
Article 6
Images faciales
1. Jusqu'à l'entrée en vigueur de l'acte délégué prévu au paragraphe 2, les images faciales ne peuvent être utilisées que pour confirmer l'identité d'un ressortissant d'un pays tiers identifié à la suite d'une consultation alphanumérique ou d'une recherche sur la base des données dactyloscopiques.
2. La Commission est habilitée à adopter des actes délégués conformément à l'article 37 en vue de compléter le présent règlement en ce qui concerne l'utilisation d'images faciales aux fins de l'identification de ressortissants de pays tiers pour identifier les États membres détenant des informations sur les condamnations antérieures prononcées à l'encontre de ces personnes, lorsque cela devient techniquement possible. Avant d'exercer cette habilitation, la Commission évalue, en se fondant sur des critères de nécessité et de proportionnalité ainsi que sur les évolutions techniques dans le domaine des logiciels de reconnaissance faciale, si la technique requise est disponible et prête à être employée.
Article 7
Utilisation de l'ECRIS-TCN pour identifier les États membres détenant des informations sur le casier judiciaire
1. Les autorités centrales utilisent l'ECRIS-TCN pour identifier les États membres qui détiennent des informations sur le casier judiciaire d'un ressortissant d'un pays tiers, afin d'obtenir des informations sur les condamnations antérieures au moyen de l'ECRIS, lorsque les informations sur le casier judiciaire sont demandées dans l'État membre concerné aux fins d'une procédure pénale à l'encontre de cette personne, ou à l'une des fins ci-après, si le droit national le prévoit et conformément à celui-ci:
— vérification par une personne de son propre casier judiciaire, à sa demande;
— habilitation de sécurité;
— obtention d'une licence ou d'un permis;
— enquêtes menées dans le cadre d'un recrutement professionnel;
— enquêtes menées dans le cadre d'un recrutement en vue d'activités bénévoles impliquant des contacts directs et réguliers avec des enfants ou des personnes vulnérables;
— procédures de visas, d'acquisition de la citoyenneté et de migration, y compris les procédures d'asile; et
— vérifications en rapport avec des marchés publics et des concours publics.
Toutefois, dans des cas particuliers, autres que ceux où un ressortissant d'un pays tiers présente à l'autorité centrale une demande d'informations sur son propre casier judiciaire, ou lorsque la demande est présentée pour obtenir des informations sur un casier judiciaire en vertu de l'article 10, paragraphe 2, de la directive 2011/93/UE, l'autorité demandant des informations sur le casier judiciaire peut décider qu'il n'est pas approprié d'utiliser l'ECRIS-TCN.
2. Tout État membre qui décide, si le droit national le prévoit et conformément à celui-ci, d'utiliser l'ECRIS-TCN à des fins autres que celles prévues au paragraphe 1 pour obtenir des informations sur les condamnations antérieures au moyen de l'ECRIS notifie à la Commission, au plus tard à la date de mise en service visée à l'article 35, paragraphe 4, ou à tout moment par la suite, ces autres fins et toutes les modifications qui y sont apportées. La Commission publie ces notifications au Journal officiel de l'Union européenne dans les trente jours suivant leur réception.
3. Eurojust, Europol et le Parquet européen peuvent interroger l'ECRIS-TCN pour identifier les États membres détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers conformément aux articles 14 à 18. Toutefois, ils ne sont pas habilités à inscrire, rectifier ou effacer des données dans l'ECRIS-TCN.
4. Aux fins visées aux paragraphes 1, 2 et 3, les autorités compétentes peuvent également interroger l'ECRIS-TCN pour vérifier si, en ce qui concerne un citoyen de l'Union, un État membre quelconque détient des informations sur le casier judiciaire de cette personne en tant que ressortissant d'un pays tiers.
5. Lorsqu'elles interrogent l'ECRIS-TCN, les autorités compétentes peuvent utiliser une partie ou la totalité des données visées à l'article 5, paragraphe 1. L'ensemble minimal de données requises pour interroger le système est précisé dans un acte d'exécution adopté conformément à l'article 10, paragraphe 1, point g).
6. Les autorités compétentes peuvent également interroger l'ECRIS-TCN en utilisant des images faciales, pour autant que cette fonctionnalité ait été mise en œuvre conformément à l'article 6, paragraphe 2.
7. En cas de réponse positive, le système central indique automatiquement à l'autorité compétente les États membres détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné, ainsi que les numéros de référence associés et toute donnée d'identification correspondante. Ces données d'identification ne sont utilisées qu'aux fins de la vérification de l'identité du ressortissant d'un pays tiers concerné. Les résultats d'une recherche dans le système central ne peuvent être utilisés que pour introduire une demande conformément à l'article 6 de la décision-cadre 2009/315/JAI ou une demande visée à l'article 17, paragraphe 3, du présent règlement.
8. En l'absence de réponse positive, le système central en informe automatiquement l'autorité compétente.
CHAPITRE III
Conservation et modification des données
Article 8
Durée de conservation des données stockées
1. Chaque fichier de données est conservé dans le système central et dans le CIR tant que les données relatives aux condamnations de la personne concernée sont conservées dans le casier judiciaire.
2. À l'expiration de la durée de conservation visée au paragraphe 1, l'autorité centrale de l'État membre de condamnation procède à l'effacement du fichier de données, y compris les données concernant les empreintes digitales ou les images faciales, du système central et du CIR. L'effacement se fait automatiquement, si possible, et en tout état de cause au plus tard un mois après l'expiration de la durée de conservation.
Article 9
Modification et effacement de données.
1. Les États membres peuvent modifier ou effacer les données qu'ils ont inscrites ►M1 dans le système central et dans le CIR ◄ .
2. Toute modification des informations figurant dans le casier judiciaire qui ont conduit à la création d'un fichier de données conformément à l'article 5 comprend une modification identique, par l'État membre de condamnation, des informations conservées dans le fichier de données en question ►M1 dans le système central et dans le CIR ◄ , sans retard injustifié.
3. Si un État membre de condamnation a des raisons de penser que les données qu'il a enregistrées ►M1 dans le système central et dans le CIR ◄ sont inexactes ou que des données ont été traitées ►M1 dans le système central et dans le CIR ◄ en violation du présent règlement, il:
a) lance immédiatement une procédure de vérification des données concernées ou de la licéité de leur traitement, selon le cas;
b) si nécessaire, les rectifie ou les efface ►M1 du système central et du CIR ◄ sans retard injustifié.
4. Si un État membre autre que l'État membre de condamnation qui a inscrit les données a des raisons de penser que les données enregistrées ►M1 dans le système central et dans le CIR ◄ sont inexactes ou que des données ont été traitées ►M1 dans le système central et dans le CIR ◄ en violation du présent règlement, il prend contact, sans retard injustifié, avec l'autorité centrale de l'État membre de condamnation.
L'État membre de condamnation:
a) lance immédiatement une procédure de vérification de l'exactitude des données concernées ou de la licéité de leur traitement, selon le cas;
b) si nécessaire, les rectifie ou les efface ►M1 du système central et du CIR ◄ sans retard injustifié;
c) informe l'autre État membre que les données ont été rectifiées ou effacées, ou lui expose les raisons pour lesquelles les données n'ont pas été rectifiées ou effacées, sans retard injustifié.
CHAPITRE IV
Développement, fonctionnement et responsabilités
Article 10
Adoption d'actes d'exécution par la Commission
1. La Commission adopte les actes d'exécution nécessaires au développement technique et à la mise en œuvre de l'ECRIS-TCN, dès que possible et en particulier les actes concernant:
a) les spécifications techniques pour le traitement des données alphanumériques;
b) les spécifications techniques pour la qualité, la résolution et le traitement des données dactyloscopiques;
c) les spécifications techniques du logiciel d'interface;
d) les spécifications techniques pour la qualité, la résolution et le traitement des images faciales aux fins de l'article 6 et aux conditions qui y sont énoncées;
e) la qualité des données, y compris un dispositif et des procédures de contrôle de la qualité des données;
f) l'inscription des données conformément à l'article 5;
g) la consultation et l'interrogation de l'ECRIS-TCN conformément à l'article 7;
h) la modification et l'effacement des données conformément aux articles 8 et 9;
i) la tenue des registres et l'accès à ceux-ci conformément à l'article 31;
▼M1 —————
k) la mise à disposition de statistiques conformément à l'article 32;
l) les exigences en matière de performance et de disponibilité de l'ECRIS-TCN, y compris les spécifications et exigences minimales de performance en matière biométrique de l'ECRIS-TCN, en particulier pour ce qui est du taux de fausses identifications positives et du taux de fausses identifications négatives.
2. Les actes d'exécution visés au paragraphe 1 sont adoptés en conformité avec la procédure d'examen visée à l'article 38, paragraphe 2.
Article 11
Développement et gestion opérationnelle de l'ECRIS-TCN
1. L'eu-LISA est responsable du développement de l'ECRIS-TCN conformément au principe de protection des données dès la conception et par défaut. En outre, l'eu-LISA est responsable de la gestion opérationnelle de l'ECRIS-TCN. Le développement consiste en l'élaboration et la mise en œuvre des spécifications techniques, en la réalisation d'essais et en la coordination générale du projet.
2. L'eu-LISA est également responsable de la poursuite du développement et de la maintenance de l'application de référence de l'ECRIS.
3. L'eu-LISA définit la conception de l'architecture matérielle de l'ECRIS-TCN, notamment ses spécifications techniques et l'évolution en ce qui concerne le système central, le point d'accès central national, et le logiciel d'interface. Cette conception est adoptée par son conseil d'administration, sous réserve de l'avis favorable de la Commission.
4. L'eu-LISA développe et met en place l'ECRIS-TCN dès que possible après l'entrée en vigueur du présent règlement et après l'adoption par la Commission des actes d'exécution prévus à l'article 10.
5. Avant la phase de conception et de développement de l'ECRIS-TCN, le conseil d'administration de l'eu-LISA établit un conseil de gestion du programme, composé de dix membres.
Le conseil de gestion du programme est constitué de huit membres désignés par le conseil d'administration, du président du groupe consultatif visé à l'article 39 et d'un membre désigné par la Commission. Les membres désignés par le conseil d'administration sont issus exclusivement des États membres qui sont pleinement liés, en vertu du droit de l'Union, par les instruments législatifs régissant l'ECRIS et qui participeront à l'ECRIS-TCN. Le conseil d'administration veille à ce que les membres qu'il désigne au conseil de gestion du programme disposent de l'expérience et de l'expertise nécessaires en matière de développement et de gestion des systèmes informatiques utilisés par les autorités judiciaires et celles gérant les casiers judiciaires.
L'eu-LISA participe aux travaux du conseil de gestion du programme. À cette fin, des représentants de l'eu-LISA assistent aux réunions du conseil de gestion du programme afin de faire rapport sur les travaux relatifs à la conception et au développement de l'ECRIS-TCN ainsi que sur les autres travaux et activités connexes.
Le conseil de gestion du programme se réunit au moins une fois tous les trois mois, et plus souvent si nécessaire. Il veille à la bonne gestion de la phase de conception et de développement de l'ECRIS-TCN ainsi qu'à la cohérence entre les projets ECRIS-TCN aux niveaux central et national et avec le logiciel d'application national de l'ECRIS. Le conseil de gestion du programme présente régulièrement, et si possible chaque mois, au conseil d'administration de l'eu-LISA des rapports écrits sur l'état d'avancement du projet. Le conseil de gestion du programme n'a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter les membres du conseil d'administration.
6. Le conseil de gestion du programme établit son règlement intérieur, qui comprend notamment des règles sur:
a) la présidence;
b) les lieux de réunion;
c) la préparation des réunions;
d) l'admission d'experts aux réunions;
e) des plans de communication assurant l'information exhaustive des membres du conseil d'administration non participants.
7. La présidence du conseil de gestion du programme est exercée par un État membre qui est pleinement lié, en vertu du droit de l'Union, par les instruments législatifs régissant l'ECRIS et les instruments législatifs régissant le développement, la mise en place, le fonctionnement et l'utilisation de tous les systèmes informatiques à grande échelle gérés par l'eu-LISA.
8. Tous les frais de voyage et de séjour exposés par les membres du conseil de gestion du programme sont pris en charge par l'eu-LISA. L'article 10 du règlement intérieur de l'eu-LISA s'applique mutatis mutandis. Le secrétariat du conseil de gestion du programme est assuré par l'eu-LISA.
9. Pendant la phase de conception et de développement, le groupe consultatif visé à l'article 39 se compose des gestionnaires de projets nationaux de l'ECRIS-TCN et est présidé par l'eu-LISA. Au cours de cette phase, il se réunit régulièrement, et si possible au moins une fois par mois, jusqu'à la mise en service de l'ECRIS-TCN. Après chaque réunion, il fait rapport au conseil de gestion du programme. Il fournit l'expertise technique nécessaire à l'appui des tâches du conseil de gestion du programme et suit l'état de préparation des États membres.
10. Afin de garantir la confidentialité et l'intégrité des données conservées dans l'ECRIS-TCN à tout moment, l'eu-LISA prévoit, en coopération avec les États membres, les mesures techniques et organisationnelles appropriées, en tenant compte de l'état des connaissances, du coût de mise en œuvre et des risques posés par le traitement.
11. L'eu-LISA est responsable des tâches ci-après, liées à l'infrastructure de communication visée à l'article 4, paragraphe 1, point d):
a) la supervision;
b) la sécurité;
c) la coordination des relations entre les États membres et le fournisseur de l'infrastructure de communication.
12. La Commission est chargée de toutes les autres tâches liées à l'infrastructure de communication visées à l'article 4, paragraphe 1, point d), en particulier:
a) les tâches relatives à l'exécution du budget;
b) l'acquisition et le renouvellement;
c) les questions contractuelles.
13. L'eu-LISA élabore et gère un dispositif et des procédures de contrôle de la qualité des données conservées dans l'ECRIS-TCN et présente à intervalles réguliers des rapports aux États membres. Elle présente à la Commission, à intervalles réguliers, des rapports précisant les problèmes rencontrés et les États membres concernés.
14. La gestion opérationnelle de l'ECRIS-TCN comprend toutes les tâches nécessaires au fonctionnement de l'ECRIS-TCN conformément au présent règlement, en particulier les travaux de maintenance et les perfectionnements techniques indispensables pour que l'ECRIS-TCN fonctionne à un niveau satisfaisant, conformément aux spécifications techniques.
15. L'eu-LISA s'acquitte des tâches liées à la fourniture d'une formation relative à l'utilisation technique de l'ECRIS-TCN et de l'application de référence de l'ECRIS.
16. Sans préjudice de l'article 17 du statut des fonctionnaires de l'Union européenne, tel qu'il figure dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil ( 2 ), l'eu-LISA applique des règles appropriées en matière de secret professionnel ou impose des obligations de confidentialité équivalentes à tous les membres de son personnel appelés à travailler avec les données enregistrées dans le système central. Cette obligation continue de s'appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leur activité.
Article 12
Responsabilités des États membres
1. Chaque État membre est responsable:
a) de l'établissement d'une connexion sécurisée entre son casier judiciaire national, ses bases de données dactyloscopiques et son point d'accès central national;
b) du développement, du fonctionnement et de la maintenance de la connexion visée au point a);
c) de l'établissement d'une connexion entre ses systèmes nationaux et l'application de référence de l'ECRIS;
d) de la gestion et des modalités de l'accès à l'ECRIS-TCN dont bénéficie le personnel dûment autorisé des autorités centrales, conformément au présent règlement, ainsi que de l'établissement d'une liste de ce personnel et des profils visés à l'article 19, paragraphe 3, point g), et de la mise à jour régulière de cette liste.
2. Chaque État membre veille à ce que le personnel de son autorité centrale ayant un droit d'accès à l'ECRIS-TCN reçoive, avant d'être autorisé à traiter des données conservées ►M1 dans le système central et dans le CIR ◄ , une formation appropriée, portant en particulier sur les règles en matière de sécurité et de protection des données ainsi que les droits fondamentaux applicables.
Article 13
Responsabilité en matière d'utilisation des données
1. Conformément aux règles applicables de l'Union en matière de protection des données, chaque État membre veille à ce que les données enregistrées dans l'ECRIS-TCN soient traitées de manière licite, et en particulier à ce que:
a) seul le personnel dûment autorisé ait accès aux données pour l'accomplissement de ses tâches;
b) les données soient collectées de manière licite et dans le respect intégral de la dignité humaine et des droits fondamentaux du ressortissant d'un pays tiers concerné;
c) les données soient inscrites de manière licite dans l'ECRIS-TCN;
d) les données soient exactes et à jour lors de leur inscription dans l'ECRIS-TCN.
2. L'eu-LISA veille à ce que l'ECRIS-TCN soit utilisé conformément au présent règlement, à l'acte délégué visé à l'article 6, paragraphe 2, et aux actes d'exécution visés à l'article 10, ainsi qu'au règlement (UE) 2018/1725. En particulier, l'eu-LISA prend les mesures nécessaires pour assurer la sécurité ►M1 du système central, du CIR ◄ et de l'infrastructure de communication visées à l'article 4, paragraphe 1, point d), sans préjudice des responsabilités incombant à chaque État membre.
3. L'eu-LISA informe le Parlement européen, le Conseil et la Commission, ainsi que le Contrôleur européen de la protection des données, dès que possible, des mesures qu'elle prend, en vertu du paragraphe 2, en vue de la mise en service de l'ECRIS-TCN.
4. La Commission met les informations visées au paragraphe 3 à la disposition des États membres et du public, par l'intermédiaire d'un site internet public régulièrement actualisé.
Article 14
Accès d'Eurojust, d'Europol et du Parquet européen
1. Eurojust dispose d'un accès direct à l'ECRIS-TCN aux fins de la mise en œuvre de l'article 17, ainsi que de l'accomplissement de ses missions en vertu de l'article 2 du règlement (UE) 2018/1727, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.
2. Europol dispose d'un accès direct à l'ECRIS-TCN aux fins de l'accomplissement de ses missions en vertu de l'article 4, paragraphe 1, points a) à e) et h), du règlement (UE) 2016/794, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.
3. Le Parquet européen dispose d'un accès direct à l'ECRIS-TCN aux fins de l'accomplissement de ses missions en vertu de l'article 4 du règlement (UE) 2017/1939, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.
4. À la suite d'une réponse positive indiquant les États membres détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers, Eurojust, Europol et le Parquet européen peuvent utiliser les contacts qu'ils ont respectivement établis avec les autorités nationales de ces États membres pour demander des informations sur le casier judiciaire dans la forme prévue par leurs actes constitutifs respectifs.
Article 15
Accès du personnel autorisé d'Eurojust, d'Europol et du Parquet européen
Eurojust, Europol et le Parquet européen sont responsables de la gestion et des modalités d'accès à l'ECRIS-TCN du personnel dûment autorisé, conformément au présent règlement et de l'établissement d'une liste de ce personnel et de ses profils et de la mise à jour régulière de cette liste.
Article 16
Responsabilités d'Eurojust, d'Europol et du Parquet européen
Eurojust, Europol et le Parquet européen:
a) mettent en place les moyens techniques permettant la connexion à l'ECRIS-TCN et sont chargés du maintien de cette connexion;
b) fournissent une formation appropriée couvrant, en particulier, les règles en matière de sécurité et de protection des données et les droits fondamentaux applicables aux membres de leur personnel ayant un droit d'accès à l'ECRIS-TCN avant de les autoriser à traiter des données conservées dans le système central;
c) veillent à ce que les données à caractère personnel traitées par ce personnel en vertu du présent règlement soient protégées conformément aux règles applicables en matière de protection des données.
Article 17
Point de contact pour les pays tiers et les organisations internationales
1. Les pays tiers et les organisations internationales peuvent, aux fins d'une procédure pénale, adresser des demandes d'information, le cas échéant, sur l'État membre détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers à Eurojust. À cette fin, ils utilisent le formulaire type figurant à l'annexe du présent règlement.
2. Lorsqu'une demande en vertu du paragraphe 1 lui est adressée, Eurojust utilise l'ECRIS-TCN pour identifier, le cas échéant, les États membres détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné.
3. En cas de réponse positive, Eurojust demande à l'État membre détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné s'il consent à ce qu'Eurojust communique son nom au pays tiers ou à l'organisation internationale. Lorsque cet État membre donne son consentement, Eurojust communique au pays tiers ou à l'organisation internationale le nom de cet État membre et informe le pays tiers ou l'organisation internationale de la manière dont il/elle peut introduire une demande d'extrait de casier judiciaire auprès de cet État membre en conformité avec les procédures applicables.
4. En l'absence de réponse positive ou lorsqu'Eurojust ne peut pas donner de réponse, conformément au paragraphe 3, aux demandes qui lui ont été adressées au titre du présent article, elle informe le pays tiers ou l'organisation internationale concerné qu'elle a mené à bien la procédure, sans indiquer si des informations sur le casier judiciaire de la personne concernée sont détenues par un État membre.
Article 18
Communication d'informations à un pays tiers, une organisation internationale ou une entité privée
Ni Eurojust, ni Europol, ni le Parquet européen, ni aucune autorité centrale ne peut transférer à un pays tiers, à une organisation internationale ou à une entité privée, ni mettre à leur disposition, des informations concernant un ressortissant d'un pays tiers obtenues au moyen de l'ECRIS-TCN. Le présent article ne porte pas atteinte à l'article 17, paragraphe 3.
Article 19
Sécurité des données
1. L'eu-LISA prend les mesures nécessaires pour assurer la sécurité de l'ECRIS-TCN, sans préjudice des responsabilités incombant à chaque État membre, en tenant compte des mesures de sécurité prévues au paragraphe 3.
2. En ce qui concerne le fonctionnement de l'ECRIS-TCN, l'eu-LISA prend les mesures nécessaires à la réalisation des objectifs fixés au paragraphe 3, y compris l'adoption d'un plan de sécurité et d'un plan de continuité des activités et de rétablissement après sinistre, ainsi que pour faire en sorte que les systèmes installés puissent, en cas d'interruption, être rétablis.
3. Les États membres assurent la sécurité des données avant et pendant leur transmission au point d'accès central national et leur réception depuis ce même point d'accès central. En particulier, chaque État membre:
a) assure la protection physique des données, notamment en élaborant des plans d'urgence pour la protection des infrastructures;
b) empêche l'accès de toute personne non autorisée aux installations nationales dans lesquelles sont effectuées les opérations qui incombent à l'État membre en rapport avec l'ECRIS-TCN;
c) empêche toute lecture, copie, modification ou suppression non autorisées de supports de données;
d) empêche l'introduction non autorisée de données et le contrôle, la modification ou l'effacement non autorisés de données à caractère personnel conservées;
e) empêche le traitement non autorisé de données dans l'ECRIS-TCN ainsi que toute modification ou tout effacement non autorisés de données traitées dans le système ECRIS-TCN;
f) fait en sorte que les personnes autorisées à avoir accès à l'ECRIS-TCN n'aient accès qu'aux données couvertes par leur autorisation d'accès, et ce uniquement au moyen d'identifiants individuels uniques et de modes d'accès confidentiels;
g) fait en sorte que toutes les autorités ayant un droit d'accès à l'ECRIS-TCN créent des profils décrivant les fonctions et les responsabilités des personnes autorisées à inscrire les données, à les rectifier, à les effacer, à les consulter et à y faire des recherches, et qu'elles communiquent sans retard injustifié ces profils aux autorités de contrôle nationales, lorsque ces dernières en font la demande;
h) faire en sorte qu'il soit possible de vérifier et de déterminer à quels organes et organismes de l'Union les données à caractère personnel peuvent être transmises au moyen de matériel de transmission de données;
i) fait en sorte qu'il soit possible de vérifier et d'établir quelles données ont été traitées dans l'ECRIS-TCN, à quel moment, par qui et dans quel but;
j) empêche toute lecture, copie ou modification ou tout effacement non autorisés de données à caractère personnel pendant leur transmission à partir de l'ECRIS-TCN ou vers celui-ci, ou durant le transport de supports de données, en particulier par des techniques de cryptage adaptées;
k) contrôle l'efficacité des mesures de sécurité visées au présent paragraphe et prend les mesures organisationnelles nécessaires en matière d'autocontrôle et de surveillance pour assurer le respect du présent règlement.
4. L'eu-LISA et les États membres coopèrent afin d'assurer une approche cohérente en matière de sécurité des données, sur la base d'un processus de gestion des risques pour la sécurité englobant l'ensemble de l'ECRIS-TCN.
Article 20
Responsabilité
1. Toute personne ou tout État membre ayant subi un dommage matériel ou moral du fait d'un traitement illicite ou de toute autre action incompatible avec le présent règlement a le droit d'obtenir réparation:
a) de l'État membre responsable du dommage subi; ou
b) de l'eu-LISA, si elle n'a pas satisfait à ses obligations énoncées dans le présent règlement ou dans le règlement (UE) 2018/1725.
L'État membre qui est responsable du dommage subi ou l'eu-LISA, respectivement, est exonéré(e) partiellement ou totalement de sa responsabilité s'il/si elle prouve que le fait générateur du dommage ne lui est pas imputable.
2. Si le non-respect, par un État membre, Eurojust, Europol ou le Parquet européen, des obligations qui lui incombent en vertu du présent règlement cause un dommage à l'ECRIS-TCN, cet État membre, Eurojust, Europol, ou le Parquet européen, respectivement, en est tenu responsable, sauf si et dans la mesure où l'eu-LISA ou un autre État membre participant à l'ECRIS-TCN n'a pas pris de mesures raisonnables pour prévenir le dommage ou en atténuer les effets.
3. Les actions en réparation intentées contre un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par le droit de l'État membre défendeur. Les actions en réparation intentées contre l'eu-LISA, Eurojust, Europol et le Parquet européen pour les dommages visés aux paragraphes 1 et 2 sont régis par leurs actes constitutifs respectifs.
Article 21
Autocontrôle
Les États membres veillent à ce que chaque autorité centrale prenne les mesures nécessaires pour se conformer au présent règlement et coopère, s'il y a lieu, avec les autorités de contrôles.
Article 22
Sanctions
Toute utilisation frauduleuse de données inscrites dans l'ECRIS-TCN donne lieu, conformément au droit national ou de l'Union, à des sanctions ou à des mesures disciplinaires qui sont effectives, proportionnées et dissuasives.
CHAPITRE V
Droits et surveillance en matière de protection des données
Article 23
Responsable du traitement des données et sous-traitant des données
1. Chaque autorité centrale doit être considérée comme le responsable du traitement des données conformément aux règles applicables de l'Union en matière de protection des données pour ce qui est du traitement des données à caractère personnel effectué par ledit État membre en vertu du présent règlement.
2. L'eu-LISA est considérée comme le sous-traitant des données conformément au règlement (UE) 2018/1725 pour ce qui est des données à caractère personnel inscrites ►M1 dans le système central et dans le CIR ◄ par les États membres.
Article 24
Finalité du traitement des données à caractère personnel
1. Les données introduites dans le système central et dans le CIR ne font l'objet d'un traitement qu'aux fins de l'identification des États membres détenant des informations sur les casiers judiciaires de ressortissants de pays tiers. Les données introduites dans le CIR sont également traitées conformément au règlement (UE) 2019/818 dans le but de faciliter l'identification correcte des personnes enregistrées dans l'ECRIS-TCN et d'aider à cette identification conformément au présent règlement.
2. En dehors du personnel dûment autorisé d'Eurojust, d'Europol et du Parquet européen, qui a accès à l'ECRIS-TCN aux fins du présent règlement, l'accès à l'ECRIS-TCN est exclusivement réservé au personnel dûment autorisé des autorités centrales. L'accès est limité à ce qui est requis pour l'accomplissement des tâches, conformément aux finalités visées au paragraphe 1, et à ce qui est nécessaire et proportionné aux objectifs poursuivis.
3. Sans préjudice du paragraphe 2, l'accès en consultation aux données stockées dans le CIR est également réservé au personnel dûment autorisé des autorités nationales de chaque État membre et au personnel dûment autorisé des agences de l'Union qui sont compétents pour les finalités prévues aux articles 20 et 21 du règlement (UE) 2019/818. Cet accès est limité en fonction de la mesure dans laquelle les données sont nécessaires à l'exécution de leurs tâches pour ces finalités, et est proportionné aux objectifs poursuivis.
Article 25
Droit d'accès, de rectification, d'effacement et de limitation du traitement
1. Les demandes des ressortissants de pays tiers concernant les droits d'accès aux données à caractère personnel, de rectification et d'effacement de ces données et de la limitation de leur traitement, qui sont prévus par les règles applicables de l'Union en matière de protection des données, peuvent être adressées à l'autorité centrale de tout État membre
2. Lorsqu'une demande est adressée à un État membre autre que l'État membre de condamnation, l'État membre auquel la demande a été adressée la transmet à l'État membre de condamnation sans retard injustifié et, en tout état de cause, dans les dix jours ouvrables suivant la réception de la demande. Dès réception de la demande, l'État membre de condamnation:
a) lance immédiatement une procédure de vérification de l'exactitude des données concernées ou de la licéité de leur traitement dans l'ECRIS-TCN; et
b) répond sans retard injustifié à l'État membre qui a transmis la demande.
3. S'il apparaît que les données enregistrées dans l'ECRIS-TCN sont inexactes ou qu'elles y ont été traitées de façon illicite, l'État membre de condamnation rectifie ou efface les données conformément à l'article 9. L'État membre de condamnation ou, le cas échéant, l'État membre auquel la demande a été adressée confirme par écrit et sans retard injustifié à la personne concernée que des mesures ont été prises pour rectifier ou effacer des données la concernant. L'État membre de condamnation notifie également sans retard injustifié les mesures qui ont été prises à tout autre État membre ayant reçu des informations relatives à cette condamnation obtenues à la suite de l'interrogation de l'ECRIS-TCN.
4. Si l'État membre de condamnation n'estime pas que les données enregistrées dans l'ECRIS-TCN sont inexactes ou qu'elles ont été traitées de façon illicite, il adopte une décision administrative ou judiciaire indiquant par écrit à la personne concernée les raisons pour lesquelles il n'est pas disposé à rectifier ou effacer les données la concernant. Ces cas sont, s'il y a lieu, communiqués à l'autorité de contrôle nationale.
5. L'État membre qui a adopté la décision n vertu du paragraphe 4 fournit également à la personne concernée des informations expliquant les mesures que cette personne peut prendre si elle n'accepte pas l'explication fournie en vertu du paragraphe 4. Il s'agit notamment d'informations sur les modalités de recours ou de réclamation devant les autorités ou les juridictions compétentes de cet État membre, ainsi que sur toute aide, y compris de la part des autorités de contrôle nationales, disponible conformément au droit national de cet État membre.
6. Toute demande présentée en vertu du paragraphe 1 comporte toutes les informations nécessaires à l'identification de la personne concernée. Ces informations ne sont utilisées que pour permettre l'exercice des droits visés au paragraphe 1 et sont ensuite immédiatement effacées.
7. Lorsque le paragraphe 2 s'applique, l'autorité centrale à qui la demande a été adressée conserve une trace écrite de l'introduction de cette demande, de la façon dont la demande a été traitée et à quelle autorité elle a été transmise. Si une autorité de contrôle nationale en fait la demande, l'autorité centrale lui transmet sans retard cette trace. L'autorité centrale et l'autorité de contrôle nationale effacent de telles traces trois ans après leur établissement.
Article 26
Coopération en vue de garantir le respect des droits en matière de protection des données
1. Les autorités centrales coopèrent entre elles en vue de garantir le respect des droits prévus à l'article 25.
2. Dans chaque État membre, l'autorité de contrôle nationale communique sur demande à la personne concernée des informations sur la manière d'exercer son droit de faire rectifier ou effacer les données la concernant, conformément aux règles applicables de l'Union en matière de protection des données.
3. Aux fins du présent article, l'autorité de contrôle nationale de l'État membre qui a transmis les données et l'autorité de contrôle nationale de l'État membre auquel la demande a été adressée coopèrent entre elles.
Article 27
Voies de recours
Toute personne a le droit d'introduire une réclamation et le droit de former un recours dans l'État membre de condamnation qui lui a refusé le droit d'accès aux données la concernant ou le droit d'en obtenir la rectification ou l'effacement visés à l'article 25, conformément au droit national ou de l'Union.
Article 28
Surveillance assurée par les autorités de contrôle nationales
1. Chaque État membre veille à ce que les autorités de contrôle nationales, désignées conformément aux règles applicables de l'Union en matière de protection des données, contrôlent la licéité du traitement, effectué par l'État membre en question, des données à caractère personnel visées aux articles 5 et 6, y compris de leur transmission à partir de l'ECRIS-TCN et vers celui-ci.
2. L'autorité de contrôle nationale veille à ce qu'un audit des activités de traitement des données figurant dans les casiers judiciaires et les bases de données dactyloscopiques nationaux en rapport avec l'échange de données entre ces systèmes et l'ECRIS-TCN, répondant aux normes internationales d'audit applicables, soit réalisé tous les trois ans au minimum à compter de la date de mise en service de l'ECRIS-TCN.
3. Les États membres veillent à ce que leurs autorités de contrôle nationales disposent de ressources suffisantes pour s'acquitter des tâches qui leur sont confiées en vertu du présent règlement.
4. Chaque État membre communique toutes les informations demandées par ses autorités de contrôle nationales et leur fournit, en particulier, les informations relatives aux activités menées conformément aux articles 12, 13 et 19. Chaque État membre permet à ses autorités de contrôle nationales d'accéder à ses traces en application de l'article 25, paragraphe 7, et à ses registres nationaux en application de l'article 31, paragraphe 6, et, à tout moment, à l'ensemble de ses locaux liés à l'ECRIS-TCN.
Article 29
Surveillance assurée par le Contrôleur européen de la protection des données
1. Le Contrôleur européen de la protection des données contrôle que les activités de traitement des données à caractère personnel menées par l'eu-LISA qui concernent l'ECRIS-TCN sont effectuées conformément au présent règlement.
2. Le Contrôleur européen de la protection des données veille à ce qu'un audit des activités de traitement des données à caractère personnel menées par l'eu-LISA, répondant aux normes internationales d'audit applicables, soit réalisé tous les trois ans au minimum. Le rapport de cet audit est communiqué au Parlement européen, au Conseil, à la Commission, à l'eu-LISA et aux autorités de contrôle. L'eu-LISA se voit offrir la possibilité de formuler des observations avant l'adoption du rapport.
3. L'eu-LISA communique au Contrôleur européen de la protection des données les renseignements qu'il demande et lui donne accès à tous les documents et aux registres visés à l'article 31 et, à tout moment, à l'ensemble de ses locaux.
Article 30
Coopération entre les autorités de contrôle nationales et le Contrôleur européen de la protection des données
Un contrôle coordonné de l'ECRIS-TCN est assuré conformément à l'article 62 du règlement (UE) 2018/1725.
Article 31
Tenue de registres
1. L'eu-LISA et les autorités compétentes veillent, conformément à leurs responsabilités respectives, à ce que toutes les activités de traitement de données dans l'ECRIS-TCN soient consignées dans un registre conformément au paragraphe 2 aux fins de la vérification de la recevabilité des demandes ainsi que du contrôle de l'intégrité et de la sécurité des données et de la licéité du traitement des données, de même qu'à des fins d'autocontrôle.
2. Le registre mentionne:
a) la finalité de la demande d'accès aux données de l'ECRIS-TCN;
b) les données transmises, visées à l'article 5;
c) la référence du fichier national;
d) la date et l'heure précise de l'opération;
e) les données utilisées pour la demande;
f) les données d'identification de l'agent qui a effectué la recherche.
3. Le registre des opérations de consultation et de transmission des données permet d'établir le motif de telles opérations.
4. Les registres ne sont utilisés que pour contrôler la licéité du traitement des données et pour garantir l'intégrité et la sécurité de celles-ci. Seuls les registres contenant des données à caractère non personnel peuvent être utilisés aux fins du suivi et de l'évaluation visés à l'article 36. Ces registres sont protégés par des mesures appropriées contre tout accès non autorisé et sont effacés au bout de trois ans s'ils ne sont plus nécessaires à une procédure de contrôle déjà engagée.
5. Sur demande, l'eu-LISA met, sans retard injustifié, les registres de ses opérations de traitement à la disposition des autorités centrales.
6. Les autorités de contrôle nationales compétentes chargées de vérifier la recevabilité de la demande et de contrôler la licéité du traitement des données ainsi que l'intégrité et la sécurité des données ont accès aux registres à leur demande aux fins de l'accomplissement des tâches qui leur incombent. Sur demande, les autorités centrales mettent, sans retard injustifié, les registres de leurs opérations de traitement à la disposition des autorités de contrôle nationales compétentes.
CHAPITRE VI
Dispositions finales
Article 32
Utilisation des données à des fins d'établissement de rapports et de statistiques
1. Le personnel dûment autorisé de l'eu-LISA, des autorités compétentes et de la Commission n'ont accès aux données traitées dans l'ECRIS-TCN qu'à des fins statistiques et d'établissement de rapports ne permettant aucune identification d'individus.
2. Aux fins du paragraphe 1 du présent article, l'eu-LISA stocke les données visées audit paragraphe dans le répertoire central des rapports et statistiques visé à l'article 39 du règlement (UE) 2019/818.
3. Les procédures mises en place par l'eu-LISA pour suivre le fonctionnement de l'ECRIS-TCN, visées à l'article 36, ainsi que l'application de référence de l'ECRIS, prévoient la possibilité de produire régulièrement des statistiques à des fins de suivi.
Chaque mois, l'eu-LISA soumet à la Commission des statistiques sur l'enregistrement, le stockage et l'échange d'informations extraites des casiers judiciaires au moyen de l'ECRIS-TCN et de l'application de référence de l'ECRIS. L'eu-LISA veille à ce qu'il ne soit pas possible d'identifier des individus sur la base de ces statistiques. À la demande de la Commission, l'eu-LISA lui communique des statistiques relatives à certains aspects spécifiques ayant trait à la mise en œuvre du présent règlement.
4. Les États membres communiquent à l'eu-LISA les statistiques dont elle a besoin pour s'acquitter de ses obligations visées au présent article. Ils procurent à la Commission des statistiques sur le nombre de ressortissants de pays tiers condamnés, de même que sur le nombre de condamnations de ressortissants de pays tiers prononcées sur leur territoire.
Article 33
Coûts
1. Les coûts afférents à la création et au fonctionnement ►M1 du système central, du CIR et ◄ , de l'infrastructure de communication visée à l'article 4, paragraphe 1, point d), du logiciel d'interface et de l'application de référence de l'ECRIS sont à la charge du budget général de l'Union.
2. Les coûts de connexion d'Eurojust, d'Europol et du Parquet européen à l'ECRIS-TCN sont imputés à leurs budgets respectifs.
3. Les autres coûts sont pris en charge par les États membres, en particulier les coûts afférents à la connexion des casiers judiciaires nationaux existants, des bases de données dactyloscopiques et des autorités centrales à l'ECRIS-TCN, ainsi que les coûts liés à l'hébergement de l'application de référence de l'ECRIS.
Article 34
Notifications
1. Chaque État membre notifie à l'eu-LISA le nom de son ou de ses autorités centrales qui bénéficient d'un accès pour inscrire, rectifier, effacer ou consulter des données ou effectuer des recherches dans celles-ci, ainsi que toute modification à cet égard.
2. L'eu-LISA fait publier, tant au Journal officiel de l'Union européenne que sur son site internet, une liste des autorités centrales notifiées par les États membres. Lorsque l'eu-LISA reçoit la notification d'une modification de l'autorité centrale d'un État membre, elle met à jour la liste sans retard injustifié.
Article 35
Inscription des données et mise en service du système
1. Dès que la Commission considère que les conditions ci-après sont remplies, elle détermine la date à partir de laquelle les États membres commencent à inscrire les données visées à l'article 5 dans l'ECRIS-TCN:
a) les actes d'exécution pertinents visés à l'article 10 ont été adoptés;
b) les États membres ont validé les aménagements techniques et juridiques nécessaires pour recueillir et transmettre à l'ECRIS-TCN les données visées à l'article 5 et ils les ont notifiés à la Commission;
c) l'eu-LISA a réalisé un essai complet de l'ECRIS-TCN, qu'elle a mené en coopération avec les États membres à partir de données d'essai anonymes.
2. Lorsque la Commission a déterminé la date de début de l'inscription des données conformément au paragraphe 1, elle la communique aux États membres. Durant une période de deux mois à compter de cette date, les États membres inscrivent les données visées à l'article 5 dans l'ECRIS-TCN, en tenant compte de l'article 41, paragraphe 2.
3. Au terme de la période visée au paragraphe 2, l'eu-LISA réalise un essai final de l'ECRIS-TCN, en coopération avec les États membres.
4. Lorsque l'essai visé au paragraphe 3 a été mené à bien avec succès et que l'eu-LISA considère que l'ECRIS-TCN est prêt à être mis en service, elle en informe la Commission. La Commission informe le Parlement européen et le Conseil des résultats de l'essai effectué et arrête la date de mise en service de l'ECRIS-TCN.
5. La décision de la Commission relative à la date de mise en service de l'ECRIS-TCN visée au paragraphe 4 est publiée au Journal officiel de l'Union européenne.
6. Les États membres commencent à utiliser l'ECRIS-TCN à partir de la date fixée par la Commission conformément au paragraphe 4.
7. Lorsqu'elle prend les décisions visées au présent article, la Commission peut prévoir des dates différentes pour l'inscription dans l'ECRIS-TCN des données alphanumériques et des données dactyloscopiques visées à l'article 5, ainsi que pour le début des opérations relatives à ces différentes catégories de données.
Article 36
Suivi et évaluation
1. L'eu-LISA veille à ce que des procédures soient en place pour suivre le développement de l'ECRIS-TCN par rapport aux objectifs fixés en matière de planification et de coûts et suivre le fonctionnement de l'ECRIS-TCN et de l'application de référence de l'ECRIS par rapport aux objectifs fixés en matière de résultats techniques, de coût-efficacité, de sécurité et de qualité du service.
2. Aux fins du suivi du fonctionnement de l'ECRIS-TCN et de sa maintenance technique, l'eu-LISA a accès aux informations nécessaires concernant les opérations de traitement de données effectuées dans l'ECRIS-TCN et l'application de référence de l'ECRIS.
3. Au plus tard le 12 décembre 2019, puis tous les six mois pendant la phase de conception et de développement, l'eu-LISA présente un rapport au Parlement européen et au Conseil sur l'état d'avancement du développement de l'ECRIS-TCN et de l'application de référence de l'ECRIS.
4. Le rapport visé au paragraphe 3 comprend un aperçu des coûts et de l'état d'avancement du projet, une évaluation des incidences financières ainsi que des informations sur les problèmes techniques et les risques susceptibles d'avoir des retombées sur le coût total de l'ECRIS-TCN à imputer sur le budget général de l'Union conformément à l'article 33.
5. En cas de retards importants dans le processus de développement, l'eu-LISA informe le Parlement européen et le Conseil dès que possible des raisons de ces retards ainsi que de leurs incidences temporelles et financières.
6. Une fois achevé le développement de l'ECRIS-TCN et de l'application de référence de l'ECRIS, l'eu-LISA soumet un rapport au Parlement européen et au Conseil expliquant la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et justifiant les écarts éventuels.
7. En cas de mise à niveau technique de l'ECRIS-TCN susceptible d'entraîner des coûts importants, l'eu-LISA informe le Parlement européen et la Commission.
8. Deux ans après la mise en service de l'ECRIS-TCN et chaque année par la suite, l'eu-LISA présente à la Commission un rapport sur le fonctionnement technique de l'ECRIS-TCN et de l'application de référence de l'ECRIS, y compris sur leur sécurité, fondé notamment sur les statistiques relatives au fonctionnement et à l'utilisation de l'ECRIS-TCN, ainsi que sur l'échange, par l'intermédiaire de l'application de référence de l'ECRIS, d'informations extraites des casiers judiciaires.
9. Quatre ans après la mise en service de l'ECRIS-TCN et tous les quatre ans par la suite, la Commission procède à une évaluation globale de l'ECRIS-TCN et de l'application de référence de l'ECRIS. Le rapport d'évaluation globale établi sur cette base comprend une évaluation de l'application du présent règlement et un examen des résultats obtenus par rapport aux objectifs fixés ainsi que de l'incidence sur les droits fondamentaux. Le rapport détermine également si les principes de base du fonctionnement de l'ECRIS-TCN restent valables, apprécie la pertinence de l'utilisation des données biométriques aux fins de l'ECRIS-TCN et la sécurité de l'ECRIS-TCN, et en tire toutes les conséquences en matière de sécurité pour le fonctionnement futur. L'évaluation comprend les éventuelles recommandations nécessaires. La Commission transmet le rapport au Parlement européen, au Conseil, au Contrôleur européen de la protection des données et à l'Agence des droits fondamentaux de l'Union européenne.
10. En outre, la première évaluation globale visée au paragraphe 9 porte notamment sur:
a) la mesure dans laquelle, sur la base de données statistiques pertinentes et d'autres informations communiquées par les États membres, l'inclusion dans l'ECRIS-TCN des données d'identification des citoyens de l'Union qui ont également la nationalité d'un pays tiers a contribué à la réalisation des objectifs du présent règlement;
b) la possibilité, pour certains États membres, de continuer à utiliser un logiciel d'application national de l'ECRIS, visé à l'article 4;
c) l'inscription des données dactyloscopiques dans l'ECRIS-TCN, en particulier l'application des critères minimaux visés à l'article 5, paragraphe 1, point b) ii);
d) l'impact de l'ECRIS et de l'ECRIS-TCN sur la protection des données à caractère personnel.
L'évaluation peut, au besoin, être accompagnée de propositions législatives. Les évaluations globales ultérieures peuvent comprendre une appréciation de l'un ou l'autre de ces aspects ou de la totalité d'entre eux.
11. Les États membres, Eurojust, Europol et le Parquet européen communiquent à l'eu-LISA et à la Commission les informations nécessaires à l'établissement des rapports visés aux paragraphes 3, 8 et 9, dans le respect des indicateurs quantitatifs prédéfinis par la Commission, l'eu-LISA ou la Commission et l'eu-LISA. Ces informations ne portent pas préjudice aux méthodes de travail et ne comprennent pas d'indications sur les sources, les membres du personnel ou les enquêtes.
12. S'il y a lieu, les autorités de contrôle communiquent à l'eu-LISA et à la Commission les informations nécessaires à l'établissement des rapports visés au paragraphe 9, dans le respect des indicateurs quantitatifs prédéfinis par la Commission, l'eu-LISA ou la Commission et l'eu-LISA. Ces informations ne portent pas préjudice aux méthodes de travail et ne comprennent pas d'indications sur les sources, les membres du personnel ou les enquêtes.
13. L'eu-LISA communique à la Commission les informations nécessaires pour réaliser les évaluations globales visées au paragraphe 9.
Article 37
Exercice de la délégation
1. Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.
2. Le pouvoir d'adopter des actes délégués visé à l'article 6, paragraphe 2, est conféré à la Commission pour une durée indéterminée à compter du 11 juin 2019.
3. La délégation de pouvoir visée à l'article 6, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.
4. Avant l'adoption d'un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l'accord interinstitutionnel du 13 avril 2016«Mieux légiférer».
5. Aussitôt qu'elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.
6. Un acte délégué adopté en vertu de l'article 6, paragraphe 2, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil.
Article 38
Comité
1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.
2. Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) no 182/2011 s'applique.
Lorsque le comité n'émet aucun avis, la Commission n'adopte pas le projet d'acte d'exécution et l'article 5, paragraphe 4, troisième alinéa, du règlement (UE) no 182/2011 s'applique.
Article 39
Groupe consultatif
L'eu-LISA crée un groupe consultatif pour pouvoir bénéficier d'une expertise en rapport avec l'ECRIS-TCN et l'application de référence de l'ECRIS, notamment dans le contexte de l'élaboration de son programme de travail annuel et de son rapport d'activité annuel. Durant la phase de conception et de développement, l'article 11, paragraphe 9, s'applique.
Article 40
Modifications du règlement (UE) 2018/1726
Le règlement (UE) 2018/1726 est modifié comme suit:
1) à l'article 1er, le paragraphe 4 est remplacé par le texte suivant:
«4. L'Agence est chargée de la conception, du développement ou de la gestion opérationnelle du système d'entrée/de sortie (EES), de DubliNet, du système européen d'information et d'autorisation concernant les voyages (ETIAS), de l'ECRIS-TCN et de l'application de référence de l'ECRIS.»;
2) l'article suivant est inséré:
«Article 8 bis
Tâches liées à l'ECRIS TCN et à l'application de référence de l'ECRIS
En ce qui concerne l'ECRIS-TCN et l'application de référence de l'ECRIS, l'Agence s'acquitte:
a) des tâches qui lui sont confiées par le règlement (UE) 2019/816 du Parlement européen et du Conseil ( *1 );
b) des tâches liées à une formation relative à l'utilisation technique de l'ECRIS-TCN et de l'application de référence de l'ECRIS.
3) à l'article 14, le paragraphe 1 est remplacé par le texte suivant:
«1. L'Agence suit les progrès de la recherche présentant de l'intérêt pour la gestion opérationnelle du SIS II, du VIS, d'Eurodac, de l'EES, de l'ETIAS, de DubliNet, de l'ECRIS-TCN et des autres systèmes d'information à grande échelle visés à l'article 1er, paragraphe 5.»;
4) à l'article 19, le paragraphe 1 est modifié comme suit:
a) le point ee) est remplacé par le texte suivant:
«ee) adopte les rapports sur le développement de l'EES, au titre de l'article 72, paragraphe 2, du règlement (UE) 2017/2226, les rapports sur le développement de l'ETIAS, au titre de l'article 92, paragraphe 2, du règlement (UE) 2018/1240 et les rapports sur le développement de l'ECRIS-TCN et de l'application de référence de l'ECRIS, au titre de l'article 36, paragraphe 3, du règlement (UE) 2019/816;»;
b) le point ff) est remplacé par le texte suivant:
«ff) adopte les rapports sur le fonctionnement technique du SIS II, au titre, respectivement, de l'article 50, paragraphe 4, du règlement (CE) no 1987/2006 et de l'article 66, paragraphe 4, de la décision 2007/533/JAI, du VIS, au titre de l'article 50, paragraphe 3, du règlement (CE) no 767/2008 et de l'article 17, paragraphe 3, de la décision 2008/633/JAI, de l'EES, au titre de l'article 72, paragraphe 4, du règlement (UE) 2017/2226, de l'ETIAS, au titre de l'article 92, paragraphe 4, du règlement (UE) 2018/1240, ainsi que de l'ECRIS-TCN et de l'application de référence de l'ECRIS, au titre de l'article 36, paragraphe 8, du règlement (UE) 2019/816;»;
c) le point hh) est remplacé par le texte suivant:
«hh) adopte des observations formelles sur les rapports du Contrôleur européen de la protection des données concernant les audits réalisés au titre de l'article 45, paragraphe 2, du règlement (CE) no 1987/2006, de l'article 42, paragraphe 2, du règlement (CE) no 767/2008, de l'article 31, paragraphe 2, du règlement (UE) no 603/2013, de l'article 56, paragraphe 2, du règlement (UE) 2017/2226, de l'article 67 du règlement (UE) 2018/1240 et de l'article 29, paragraphe 2, du règlement (UE) 2019/816, et veille à ce qu'il soit donné dûment à la suite de ces audits;»;
d) le point suivant est inséré:
«ll bis) soumet à la Commission des statistiques sur l'ECRIS-TCN et l'application de référence de l'ECRIS, au titre de l'article 32, paragraphe 4, deuxième alinéa, du règlement (UE) 2019/816;»;
e) le point mm) est remplacé par le texte suivant:
«mm) veille à la publication annuelle de la liste des autorités compétentes autorisées à consulter directement les données introduites dans le SIS II au titre de l'article 31, paragraphe 8, du règlement (CE) no 1987/2006 et de l'article 46, paragraphe 8, de la décision 2007/533/JAI, de la liste des offices des systèmes nationaux de SIS II (offices N.SIS II) et des bureaux SIRENE au titre, respectivement, de l'article 7, paragraphe 3, du règlement (CE) no 1987/2006 et de l'article 7, paragraphe 3, de la décision 2007/533/JAI, ainsi que de la liste des autorités compétentes au titre de l'article 65, paragraphe 2, du règlement (UE) 2017/2226, de la liste des autorités compétentes au titre de l'article 87, paragraphe 2, du règlement (UE) 2018/1240 et de la liste des autorités centrales au titre de l'article 34, paragraphe 2, du règlement (UE) 2019/816;»
5) à l'article 22, paragraphe 4, l'alinéa suivant est inséré après le troisième alinéa:
«Eurojust, Europol et le Parquet européen peuvent assister aux réunions du conseil d'administration en tant qu'observateurs lorsqu'une question concernant l'ECRIS-TCN en relation avec l'application du règlement (UE) 2019/816, figure à l'ordre du jour.»;
6) à l'article 24, paragraphe 3, le point p) est remplacé par le texte suivant:
«p) de déterminer, sans préjudice de l'article 17 du statut des fonctionnaires, les exigences de confidentialité à respecter pour se conformer à l'article 17 du règlement (CE) no 1987/2006, à l'article 17 de la décision 2007/533/JAI, à l'article 26, paragraphe 9, du règlement (CE) no 767/2008, à l'article 4, paragraphe 4, du règlement (UE) no 603/2013, à l'article 37, paragraphe 4, du règlement (UE) 2017/2226, à l'article 74, paragraphe 2, du règlement 2018/1240 et à l'article 11, paragraphe 16, du règlement (UE) 2019/816;»;
7) à l'article 27, paragraphe 1, le point suivant est inséré:
«d bis) le groupe consultatif sur l'ECRIS-TCN;».
Article 41
Mise en œuvre et dispositions transitoires
1. Les États membres prennent les mesures nécessaires pour se conformer au présent règlement dès que possible afin d'assurer le bon fonctionnement de l'ECRIS-TCN.
2. Pour les condamnations prononcées avant la date de début de l'inscription des données conformément à l'article 35, paragraphe 1, les autorités centrales créent les fichiers de données individuels dans le système central et dans le CIR comme suit:
a) les données alphanumériques à inscrire dans le système central et dans le CIR à la fin de la période visée à l'article 35, paragraphe 2;
b) les données dactyloscopiques à inscrire dans le CIR dans les deux ans suivant la mise en service conformément à l'article 35, paragraphe 4.
Article 42
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.
ANNEXE
FORMULAIRE TYPE DE DEMANDE D'INFORMATIONS, VISÉ À L'ARTICLE 17, PARAGRAPHE 1, DU RÈGLEMENT (UE) 2019/816, À UTILISER POUR OBTENIR DES INFORMATIONS, LE CAS ÉCHÉANT, SUR L'ÉTAT MEMBRE DÉTENANT DES INFORMATIONS SUR LE CASIER JUDICIAIRE D'UN RESSORTISSANT D'UN PAYS TIERS
( 1 ) Règlement (UE) 2019/818 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine de la coopération policière et judiciaire, de l'asile et de l'immigration et modifiant les règlements (UE) 2018/1726, (UE) 2018/1862 et (UE) 2019/816 (JO L 135 du 22.5.2019, p. 85).
( 2 ) JO L 56 du 4.3.1968, p. 1.
( *1 ) Règlement (UE) 2019/816 du Parlement européen et du Conseil du 17 avril 2019 portant création d'un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d'information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726 (JO L 135 du 22.5.2019, p. 1).»;