|
12.9.2022 |
FR |
Journal officiel de l’Union européenne |
L 235/19 |
RÈGLEMENT D’EXÉCUTION (UE) 2022/1504 DE LA COMMISSION
du 6 avril 2022
portant modalités d’application du règlement (UE) no 904/2010 du Conseil en ce qui concerne la création d’un système électronique central concernant les informations sur les paiements (CESOP) pour lutter contre la fraude à la TVA
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) no 904/2010 du Conseil du 7 octobre 2010 concernant la coopération administrative et la lutte contre la fraude dans le domaine de la taxe sur la valeur ajoutée (1), et notamment son article 24 sexies,
considérant ce qui suit:
|
(1) |
La directive 2006/112/CE du Conseil (2), modifiée par la directive (UE) 2020/284 (3), introduit des obligations en matière de déclaration incombant aux prestataires de services de paiement à partir du 1er janvier 2024. À compter de cette date, les prestataires de services de paiement qui sont établis ou fournissent des services de paiement dans l’Union européenne doivent tenir certains registres des paiements transfrontaliers provenant de payeurs situés dans les États membres et conserver certaines informations sur les bénéficiaires, et les transmettre aux États membres aux fins de la lutte contre la fraude à la taxe sur la valeur ajoutée (TVA). |
|
(2) |
Conformément au règlement (UE) no 904/2010, modifié par le règlement (UE) 2020/283 (4), les États membres doivent transmettre ces registres à un système électronique central concernant les informations sur les paiements («CESOP»), dont le développement, la maintenance, l’hébergement et la gestion technique sont assurés par la Commission. |
|
(3) |
Afin d’assurer le bon fonctionnement du CESOP, et conformément aux dispositions de l’article 24 sexies, point a), du règlement (UE) no 904/2010, il est nécessaire d’adopter les mesures techniques pour la mise en place du CESOP. Ces mesures devraient prévoir les fonctionnalités du CESOP nécessaires au développement des fonctionnalités du système décrites à l’article 24 quater du règlement (UE) no 904/2010. Elles devraient également garantir une grande facilité d’utilisation en dotant le CESOP d’outils de recherche et de visualisation. En outre, le CESOP devrait faciliter les échanges d’informations entre les fonctionnaires de liaison Eurofisc en leur permettant d’échanger, de façon rapide et sécurisée, des informations sur la fraude à la TVA directement dans le CESOP. Il y a également lieu de définir les mesures à prendre par la Commission pour assurer la maintenance du CESOP après sa mise en service, afin de garantir les normes de qualité opérationnelle de l’infrastructure informatique du CESOP et de ses fonctionnalités et de faire en sorte que les mises à jour nécessaires soient effectuées, le cas échéant, pour le traitement des incidents du système entre la Commission et les États membres. |
|
(4) |
Les États membres, en tant que responsables du traitement du CESOP, sont chargés de sa gestion, tandis que la Commission, en tant qu’hébergeur et sous-traitant, assume un ensemble de responsabilités limitées à la gestion technique du CESOP, conformément à l’article 24 sexies, point b), du règlement (UE) no 904/2010. Ces responsabilités devraient comprendre les tâches techniques nécessaires à l’administration quotidienne du CESOP, telles que la tenue de registres des fonctionnaires de liaison Eurofisc qui accèdent au CESOP, la tenue de registres des prestataires de services de paiement ayant transmis des données aux États membres, la mise en place de mesures de sécurité organisationnelles appropriées pour le CESOP, ainsi que la mise à disposition de la formation et de l’assistance nécessaires pour permettre aux fonctionnaires de liaison Eurofisc d’utiliser efficacement le CESOP. |
|
(5) |
Conformément aux dispositions de l’article 24 ter, paragraphe 1, point b), du règlement (UE) no 904/2010, les États membres transmettent les données au CESOP dans un format commun. Il convient de définir les éléments de données que les prestataires de services de paiement doivent déclarer sous la forme d’un document XML. Afin de garantir l’interopérabilité globale entre les systèmes électroniques nationaux et le CESOP dans le cadre de l’article 24 ter, paragraphe 3, du règlement (UE) no 904/2010, les États membres devraient vérifier que les données transmises par les prestataires de services de paiement comprennent les éléments de données obligatoires et corrects d’un point de vue syntaxique visés à l’article 243 quinquies de la directive 2006/112/CE, étant donné que le CESOP ne peut fonctionner que si les données obligatoires sont correctement enregistrées dans le système. |
|
(6) |
Les États membres devraient désigner les fonctionnaires de liaison Eurofisc qui auront accès au CESOP et informer la Commission de leur décision. À cet égard, la Commission devrait fournir à ces fonctionnaires un identifiant unique leur permettant d’accéder au CESOP et tenir à jour une liste de tous les fonctionnaires de liaison Eurofisc qui ont accès au CESOP sur la base des informations communiquées par les États membres. |
|
(7) |
Conformément aux dispositions de l’article 24 sexies, point g), du règlement (UE) no 904/2010, la Commission doit établir des procédures visant à garantir que des mesures de sécurité techniques et organisationnelles appropriées pour le développement et le fonctionnement du CESOP sont en place. Plusieurs aspects de la sécurité des composantes centrales du CESOP dépendent également de la mise en œuvre de mesures nationales de sécurité, telles que des mesures visant à contrôler la sûreté des données transmises et des mesures visant à garantir que seul un fonctionnaire de liaison Eurofisc disposant d’un identifiant unique valide puisse accéder au CESOP. Par conséquent, les États membres devraient communiquer à la Commission des informations sur leurs propres mesures de sécurité. Les États membres et la Commission devraient se tenir mutuellement informés des mesures de sécurité prises et de la nécessité d’une mise à niveau de ces mesures. |
|
(8) |
Le traitement des données à caractère personnel au titre du présent règlement ainsi que les responsabilités des États membres et de la Commission sont soumis aux règles énoncées dans le règlement (UE) 2016/679 du Parlement européen et du Conseil (5) et dans le règlement (UE) 2018/1725 du Parlement européen et du Conseil (6). Conformément aux dispositions de l’article 24 sexies, point h), du règlement (UE) no 904/2010, il convient de définir les rôles et responsabilités des États membres et de la Commission en ce qui concerne la responsabilité du traitement du CESOP. Les États membres devraient conjointement être considérés comme responsables du traitement du CESOP, étant donné qu’ils décident des moyens de traitement et d’utilisation des données dans le CESOP. La Commission devrait être considérée comme un sous-traitant, dans la mesure où elle agit pour le compte des États membres dans l’accomplissement de toutes ses tâches. |
|
(9) |
Le présent règlement ne devrait s’appliquer qu’à partir du 1er janvier 2024 afin de faire coïncider son application avec celles du règlement (UE) 2020/283 et de la directive (UE) 2020/284. |
|
(10) |
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 2 février 2022. |
|
(11) |
Les mesures prévues par le présent règlement sont conformes à l’avis du comité permanent de la coopération administrative, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Mesures techniques pour la mise en place et la maintenance du CESOP
1. La Commission élabore des mesures techniques pour la mise en place du CESOP avec les fonctionnalités suivantes:
|
a) |
la réception des données sur les paiements transmises par les États membres; |
|
b) |
le stockage sécurisé des données sur les paiements pendant une période maximale de cinq ans à compter de la fin de l’année civile au cours de laquelle les États membres ont transmis les informations; |
|
c) |
la suppression des anomalies et des erreurs dans les données sur les paiements, notamment les doublons d’un même paiement; |
|
d) |
le regroupement des données sur les paiements relatives à chaque bénéficiaire; |
|
e) |
la recherche et la visualisation des données sur les paiements dans le CESOP; |
|
f) |
l’analyse des données sur les paiements et la possibilité de procéder à des recoupements entre ces dernières et les données stockées et échangées conformément à l’article 17, paragraphe 1, points a), b), d), e) et f), et à l’article 33, paragraphe 2, point b), du règlement (UE) no 904/2010; |
|
g) |
l’analyse automatique et le signalement des bénéficiaires suspects; |
|
h) |
la possibilité, pour les fonctionnaires de liaison Eurofisc, d’effectuer des contrôles et des analyses non automatiques; |
|
i) |
la production de rapports sur les résultats des analyses et contrôles effectués par le CESOP et par les fonctionnaires de liaison Eurofisc; |
|
j) |
la mise à disposition d’une infrastructure de gestion du contrôle des accès des utilisateurs pour les fonctionnaires de liaison Eurofisc; |
|
k) |
la possibilité, pour les fonctionnaires de liaison Eurofisc, d’échanger des informations relatives aux enquêtes sur la fraude transfrontalière à la TVA et à la détection de ce type de fraude directement dans le CESOP; |
|
l) |
la mise à disposition de l’infrastructure technique permettant aux États membres de gérer les droits d’accès de leurs fonctionnaires de liaison Eurofisc. |
2. La Commission s’acquitte des tâches suivantes dans le cadre de la maintenance du CESOP:
|
a) |
garantir le fonctionnement du CESOP et de ses fonctionnalités; |
|
b) |
assurer la maintenance en dehors des heures de travail; |
|
c) |
apporter les mises à jour techniques nécessaires au bon fonctionnement et à l’amélioration du CESOP; |
|
d) |
traiter les problèmes techniques. |
Article 2
Tâches de la Commission dans le cadre de la gestion technique du CESOP
La Commission s’acquitte des tâches suivantes dans le cadre de la gestion technique du CESOP:
|
a) |
conserver et mettre à jour la liste des fonctionnaires de liaison Eurofisc qui ont accès au CESOP et de leur identifiant d’utilisateur personnel unique, conformément à l’article 5; |
|
b) |
mettre en œuvre les mesures de sécurité organisationnelles et techniques visées à l’article 6; |
|
c) |
établir, conserver et tenir à jour, sur la base des données fournies par les États membres, une liste des prestataires de services de paiement qui ont communiqué des données en application de l’article 24 ter, paragraphe 1, du règlement (UE) no 904/2010; |
|
d) |
accorder aux fonctionnaires de liaison Eurofisc qui ont accès au CESOP un accès automatisé à la liste tenue à jour conformément au point c); |
|
e) |
fournir une assistance technique aux fonctionnaires de liaison Eurofisc lorsqu’ils utilisent le CESOP; |
|
f) |
assurer la formation des fonctionnaires de liaison Eurofisc à l’utilisation du CESOP. |
Article 3
Connexion et interopérabilité globale entre le CESOP et les systèmes électroniques nationaux
1. Les États membres prennent toutes les mesures nécessaires pour que les systèmes électroniques nationaux de collecte des informations sur les paiements mis en place en vertu de l’article 24 ter, paragraphe 2, du règlement (UE) no 904/2010 soient fonctionnels et en mesure de collecter les informations sur les paiements conformément à l’article 24 ter, paragraphe 1, dudit règlement.
2. Les États membres transmettent au CESOP uniquement les informations sur les paiements qui sont complètes, pour lesquelles tous les champs obligatoires au titre de l’article 243 quinquies de la directive 2006/112/CE ont été renseignés, et qui sont conformes aux exigences énoncées à l’annexe du présent règlement.
3. La Commission garantit l’interopérabilité entre le CESOP et les systèmes électroniques nationaux visés au paragraphe 1.
Article 4
Formulaire électronique type
Le formulaire électronique type visé à l’article 24 ter, paragraphe 1, point b), du règlement (UE) no 904/2010, est transmis dans un format XML normalisé conforme au tableau de données figurant à l’annexe du présent règlement.
Article 5
Modalités pratiques concernant les fonctionnaires de liaison Eurofisc qui auront accès au CESOP
1. Les États membres désignent les fonctionnaires de liaison Eurofisc qui auront accès au CESOP et communiquent leurs noms et adresses électroniques à la Commission.
2. Les États membres informent la Commission de toute modification apportée aux informations fournies en application du paragraphe 1, y compris les modifications concernant les fonctionnaires de liaison Eurofisc désignés, rapidement et au plus tard trente jours civils après la modification.
3. La Commission fournit immédiatement aux fonctionnaires de liaison Eurofisc visés au paragraphe 1 un identifiant d’utilisateur personnel unique leur permettant d’accéder au CESOP.
Article 6
Procédures relatives aux mesures de sécurité techniques et organisationnelles pour le développement et le fonctionnement du CESOP
1. Les États membres communiquent à la Commission des informations sur l’application de leurs propres mesures de sécurité au niveau national ainsi que sur chaque mise à jour de celles-ci.
Ces informations comprennent des précisions sur les mesures adoptées pour garantir que seuls les fonctionnaires de liaison Eurofisc visés à l’article 5 ont accès au CESOP, ainsi que sur les mesures adoptées pour assurer le cryptage des données transmises par les États membres.
2. La Commission informe les États membres, au plus tard le 30 avril de chaque année à compter de l’année suivant la date d’application du présent règlement, des mesures prises pour assurer la sécurité du CESOP.
Elle leur communique au moins les éléments suivants:
|
a) |
les incidents de sécurité survenus au cours de l’année précédente et la manière dont ils ont été résolus; |
|
b) |
des informations détaillées sur les mesures de sécurité adoptées ou sur les modifications apportées aux mesures de sécurité existantes; |
|
c) |
une évaluation des mesures de sécurité existantes, précisant si la Commission juge nécessaire de modifier ces dernières. |
Article 7
Rôles et responsabilités des responsables du traitement et du sous-traitant
1. Les États membres sont conjointement responsables du traitement, au sens de l’article 4, point 7), du règlement (UE) 2016/679, du CESOP. Les responsabilités des responsables du traitement du CESOP sont définies dans un accord entre ces derniers, qui fixe leurs obligations en ce qui concerne les informations à fournir visées aux articles 13 et 14 du règlement (UE) 2016/679 et les modalités de l’exercice des droits de la personne concernée.
Les États membres s’acquittent des tâches suivantes:
|
a) |
établir les spécifications techniques du CESOP et, le cas échéant, les adapter, afin que la Commission puisse:
|
|
b) |
établir les règles et procédures pour la sélection des fonctionnaires de liaison Eurofisc qui auront accès au CESOP; |
|
c) |
répondre aux demandes des personnes concernées concernant l’exercice des droits prévus au chapitre III du règlement (UE) 2016/679. |
2. La Commission est un sous-traitant, au sens de l’article 3, point 12), du règlement (UE) 2018/1725, du CESOP.
La Commission:
|
a) |
traite les données à caractère personnel pour le compte des États membres conformément à leurs instructions et conserve la documentation relative à ces instructions; |
|
b) |
garantit la confidentialité des données à caractère personnel lors de leur traitement au titre du présent règlement; |
|
c) |
fournit l’infrastructure technique nécessaire pour permettre aux États membres de répondre aux demandes visées au paragraphe 1, point c); |
|
d) |
aide les États membres à se conformer aux obligations prévues aux articles 33 à 41 du règlement (UE) 2016/679; |
|
e) |
veille à la suppression de toutes les données à caractère personnel stockées dans le CESOP conformément à l’article 24 quater, paragraphe 2, du règlement (UE) no 904/2010; |
|
f) |
met à la disposition des États membres toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par les États membres ou un autre auditeur qu’ils ont mandaté, et contribuer à ces audits, dans le plein respect du protocole (no 7) du traité sur le fonctionnement de l’Union européenne sur les privilèges et immunités de l’Union européenne. |
Article 8
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable à partir du 1er janvier 2024.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 6 avril 2022.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 268 du 12.10.2010, p. 1.
(2) Directive 2006/112/CE du Conseil du 28 novembre 2006 relative au système commun de taxe sur la valeur ajoutée (JO L 347 du 11.12.2006, p. 1).
(3) Directive (UE) 2020/284 du Conseil du 18 février 2020 modifiant la directive 2006/112/CE en ce qui concerne l’instauration de certaines exigences applicables aux prestataires de services de paiement (JO L 62 du 2.3.2020, p. 7).
(4) Règlement (UE) 2020/283 du Conseil du 18 février 2020 modifiant le règlement (UE) no 904/2010 en ce qui concerne des mesures de renforcement de la coopération administrative afin de lutter contre la fraude à la TVA (JO L 62 du 2.3.2020, p. 1).
(5) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(6) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
ANNEXE
Formulaire électronique pour la transmission des données
|
Case no |
Élément de données |
Article 243 quinquies |
Description |
Exemple de format |
Obligatoire |
Vérifications effectuées lors de la transmission au CESOP |
||||||
|
1 |
Code BIC/identité du prestataire de services de paiement effectuant la déclaration |
Paragraphe 1, point a) |
Code BIC, au sens de l’article 2, point 16), du règlement (UE) no 260/2012 du Parlement européen et du Conseil (1), ou tout autre code d’identification d’entreprise qui identifie sans équivoque le prestataire de services de paiement qui transmet les données |
Code BIC du prestataire de services de paiement qui fournit les données |
Oui |
Présence, vérification syntaxique du code BIC |
||||||
|
2 |
Nom du bénéficiaire |
Paragraphe 1, point b) |
Tous les noms du bénéficiaire tels qu’ils figurent dans les registres des prestataires de services de paiement, y compris la raison sociale et le nom commercial |
Nom de l’accepteur de carte, nom du commerçant, nom du créancier |
Oui |
Présence |
||||||
|
3 |
TVA/NIF du bénéficiaire |
Paragraphe 1, point c) |
Numéro d’identification TVA et/ou tout autre numéro fiscal national du bénéficiaire |
|
Facultatif Obligatoire |
Vérification syntaxique des numéros de TVA attribués par les États membres de l’Union |
||||||
|
4 |
Identifiant du compte du bénéficiaire |
Paragraphe 1, point d) |
IBAN, au sens de l’article 2, point 15), du règlement (UE) no 260/2012 ou, s’il n’est pas disponible, tout autre identifiant qui identifie sans équivoque le bénéficiaire intervenant dans l’opération et le lieu où il se trouve |
IBAN, identifiant de l’accepteur de carte, identifiant du commerçant, identifiant de compte électronique |
Oui, lorsque des fonds sont transférés sur un compte de paiement du bénéficiaire |
Présence, vérification syntaxique de l’IBAN |
||||||
|
5 |
Code BIC/identifiant du prestataire de services de paiement du bénéficiaire |
Paragraphe 1, point e) |
Code BIC ou tout autre code d’identification d’entreprise qui identifie sans équivoque le prestataire de services de paiement agissant au nom du bénéficiaire et donne le lieu où il se trouve, si le bénéficiaire reçoit les fonds sans avoir de compte de paiement |
Code BIC |
Seulement lorsque le bénéficiaire reçoit des fonds sans avoir de compte de paiement |
Présence, vérification syntaxique du code BIC |
||||||
|
6 |
Adresse du bénéficiaire |
Paragraphe 1, point f) |
Toutes les adresses du bénéficiaire telle qu’elles figurent dans les registres des prestataires de services de paiement (adresse légale, adresse commerciale, adresse de l’entrepôt) |
Rue de l’accepteur de carte, adresse du commerçant, adresse du titulaire du compte |
Facultatif Obligatoire |
|
||||||
|
7 |
Remboursement |
Paragraphe 1, point h) |
Toute mention indiquant que l’opération est un remboursement et lien avec l’opération précédente déclarée |
|
Le cas échéant |
Présence |
||||||
|
8 |
Date/heure |
Paragraphe 2, point a) |
Date et heure d’exécution de l’opération de paiement ou du remboursement du paiement |
Date d’achat, date d’exécution, date de création de l’opération |
Oui |
Présence, vérification syntaxique |
||||||
|
9 |
Montant |
Paragraphe 2, point b) |
Montant de l’opération de paiement ou du remboursement du paiement |
|
Oui |
Présence |
||||||
|
10 |
Monnaie |
Paragraphe 2, point b) |
Monnaie de l’opération de paiement ou du remboursement du paiement |
|
Oui |
Présence, vérification syntaxique du code monnaie |
||||||
|
11 |
État membre d’origine du paiement |
Paragraphe 2, point c) |
État membre d’origine du paiement reçu par le bénéficiaire |
Code pays du payeur |
Si l’opération est un paiement |
Présence, vérification syntaxique du code pays |
||||||
|
12 |
État membre de destination du remboursement |
Paragraphe 2, point c) |
État membre de destination du remboursement |
Code pays du bénéficiaire du remboursement |
Si l’opération est un remboursement visé à la case no 7 |
Présence, vérification syntaxique du code pays |
||||||
|
13 |
Informations relatives à la localisation du payeur |
Paragraphe 2, point c) |
Indication des informations utilisées pour déterminer l’origine du paiement ou la destination du remboursement. Les informations détaillées ne sont pas transmises pour éviter l’identification du payeur. |
Les prestataires de services de paiement précisent que la localisation a été déduite à partir de l’un des éléments suivants:
L’identifiant proprement dit (numéro IBAN, numéro BIN, adresse) ne doit jamais être transmis. |
Oui |
Présence |
||||||
|
14 |
Identifiant de l’opération |
Paragraphe 2, point d) |
Toute référence qui identifie sans équivoque l’opération de paiement |
Référence de l’acquéreur, identifiant de l’opération |
Oui |
Présence |
||||||
|
15 |
Présence physique |
Paragraphe 2, point e) |
Toute référence indiquant la présence du payeur dans les locaux du commerçant lors de l’initiation du paiement |
Mode d’entrée au point de vente |
Le cas échéant |
Présence |
(1) Règlement (UE) no 260/2012 du Parlement européen et du Conseil du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement (CE) no 924/2009 (JO L 94 du 30.3.2012, p. 22).