|
6.8.2016 |
FR |
Journal officiel de l'Union européenne |
L 213/15 |
DÉCISION D'EXÉCUTION (UE) 2016/1345 DE LA COMMISSION
du 4 août 2016
relative aux normes minimales de qualité des données pour les dossiers d'empreintes digitales contenus dans le système d'information Schengen de deuxième génération (SIS II)
[notifiée sous le numéro C(2016) 4988]
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne,
vu le règlement (CE) no 1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) (1), et notamment son article 22, point a),
vu la décision 2007/533/JAI du Conseil du 12 juin 2007 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) (2), et notamment son article 22, point a),
considérant ce qui suit:
|
(1) |
Le système d'information Schengen de deuxième génération (SIS II) a été mis en service le 9 avril 2013, date à laquelle le règlement (CE) no 1987/2006 et la décision 2007/533/JAI sont entrés en application. |
|
(2) |
Le SIS II permet aux autorités compétentes, telles que la police et les gardes-frontières, de saisir et de consulter les signalements relatifs à certaines catégories de personnes et d'objets recherchés ou disparus. En ce qui concerne les signalements de personnes, l'ensemble minimal de données doit comprendre le nom, le sexe, une référence à la décision étant à l'origine du signalement et la mesure à adopter. En outre, les photographies et les empreintes digitales doivent être jointes lorsqu'elles sont disponibles. |
|
(3) |
Le SIS II permet de stocker et de traiter les empreintes digitales en vue de confirmer l'identité des personnes localisées à la suite d'une consultation alphanumérique. Par ailleurs, l'intégration d'un système automatisé d'identification des empreintes digitales (AFIS) dans le SIS II devrait permettre l'identification de personnes sur la base de leurs empreintes digitales. |
|
(4) |
La qualité, la précision et l'exhaustivité des dossiers d'empreintes digitales sont des facteurs déterminants dans la capacité du SIS II à déployer tout son potentiel. En raison de l'enregistrement et du traitement croissants de dossiers d'empreintes digitales dans le SIS II, ainsi que de l'intégration prochaine d'un système automatisé d'identification des empreintes digitales dans ce même SIS II, il convient de définir les normes minimales de qualité des données pour les dossiers d'empreintes digitales utilisés aux fins d'identification et de vérification biométriques. |
|
(5) |
Il y aura lieu d'élaborer ultérieurement de nouvelles spécifications lorsque seront définies en détail les caractéristiques techniques du futur système automatisé d'identification des empreintes digitales. |
|
(6) |
Le format d'enregistrement des empreintes digitales dans le SIS II, qui devrait être fondé sur une norme issue du National Institute of Standards and Technology des États-Unis, ne fait pas l'objet de la présente décision. Ce format devrait être défini dans le document de contrôle des interfaces. |
|
(7) |
Les dispositions relatives à la protection des données à caractère personnel et à la sécurité des données dans le SIS II sont exposées dans le règlement (CE) no 1987/2006 et dans la décision 2007/533/JAI, qui s'appliquent de la même façon pour le traitement d'empreintes digitales dans ledit SIS II. Un tel traitement doit notamment se limiter au traitement autorisé au titre de l'article 22, point c), du règlement (CE) no 1987/2006 et de l'article 22, point c), de la décision 2007/533/JAI. Le traitement des empreintes digitales dans le SIS II doit également respecter les dispositions nationales applicables en matière de protection des données mettant en œuvre la directive 95/46/CE du Parlement européen et du Conseil (3), qui sera remplacée par le règlement (UE) 2016/679 du Parlement européen et du Conseil (4), et la décision-cadre 2008/977/JAI du Conseil (5), qui sera remplacée par la directive (UE) 2016/680 du Parlement européen et du Conseil (6). |
|
(8) |
Le règlement (CE) no 1987/2006 visant à développer l'acquis de Schengen, le Danemark a notifié, par un courrier du 15 juin 2007, la transposition de cet acquis dans son droit national, conformément à l'article 5 du protocole sur la position du Danemark annexé au traité sur l'Union européenne et au traité instituant la Communauté européenne. Le Danemark participant à la décision 2007/533/JAI, il est tenu de mettre en œuvre la présente décision. |
|
(9) |
Le Royaume-Uni ne participant pas au règlement (CE) no 1987/2006, il ne peut consulter ou introduire de signalements aux fins de non-admission ou d'interdiction de séjour concernant des ressortissants de pays tiers. Le Royaume-Uni participe à la présente décision dans la mesure où elle ne concerne pas les signalements fondés sur les articles 24 et 25 du règlement (CE) no 1987/2006, conformément à l'article 5, paragraphe 1, du protocole no 19 sur l'acquis de Schengen intégré dans le cadre de l'Union européenne, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, et conformément à l'article 8, paragraphe 2, de la décision 2000/365/CE du Conseil (7). |
|
(10) |
L'Irlande ne participant pas au règlement (CE) no 1987/2006, elle ne peut consulter ou introduire de signalements aux fins de non-admission ou d'interdiction de séjour concernant des ressortissants de pays tiers. L'Irlande participe à la présente décision dans la mesure où elle ne concerne pas les signalements fondés sur les articles 24 et 25 du règlement (CE) no 1987/2006, conformément à l'article 5, paragraphe 1, du protocole no 19 sur l'acquis de Schengen intégré dans le cadre de l'Union européenne, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, et conformément à l'article 6, paragraphe 2, de la décision 2002/192/CE du Conseil (8). |
|
(11) |
La présente décision constitue un acte fondé sur l'acquis de Schengen ou qui s'y rapporte, au sens, respectivement, de l'article 3, paragraphe 2, de l'acte d'adhésion de 2003, de l'article 4, paragraphe 2, de l'acte d'adhésion de 2005 et de l'article 4, paragraphe 2, de l'acte d'adhésion de 2011. |
|
(12) |
En ce qui concerne l'Islande et la Norvège, la présente décision constitue un développement des dispositions de l'acquis de Schengen au sens de l'accord conclu par le Conseil de l'Union européenne et la République d'Islande et le Royaume de Norvège sur l'association de ces États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (9), qui relèvent du domaine visé à l'article 1er, point G, de la décision 1999/437/CE du Conseil (10). |
|
(13) |
En ce qui concerne la Suisse, la présente décision constitue un développement des dispositions de l'acquis de Schengen au sens de l'accord conclu entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (11), qui relèvent du domaine visé à l'article 1er, point G, de la décision 1999/437/CE, lu en liaison avec l'article 3 de la décision 2008/146/CE du Conseil (12) et l'article 3 de la décision 2008/149/JAI du Conseil (13). |
|
(14) |
En ce qui concerne le Liechtenstein, la présente décision constitue un développement des dispositions de l'acquis de Schengen au sens du protocole entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (14), qui relèvent du domaine visé à l'article 1er, point G, de la décision 1999/437/CE, lu en liaison avec l'article 3 de la décision 2011/349/UE du Conseil (15) et l'article 3 de la décision 2011/350/UE du Conseil (16). |
|
(15) |
Le contrôleur européen de la protection des données a rendu son avis le 27 juin 2016. |
|
(16) |
Les mesures prévues dans la présente décision sont conformes à l'avis du comité créé en vertu de l'article 51 du règlement (CE) no 1987/2006 et de l'article 67 de la décision 2007/533/JAI, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
1. Les normes minimales de qualité des données figurant en annexe s'appliquent à tous les dossiers d'empreintes digitales utilisés au sein du SIS II.
2. Le format d'enregistrement des empreintes digitales utilisé au sein du SIS II, s'il ne respecte pas les normes figurant en annexe, est rejeté par le système central du SIS II (CS-SIS) et n'est ni utilisé ni stocké.
3. Le format d'enregistrement des empreintes digitales qui, bien que conforme, contient des empreintes inférieures au seuil de qualité n'est pas intégré dans le système automatisé d'identification des empreintes digitales en vue de permettre leur consultation. Ces dossiers sont stockés dans le SIS II et ne sont utilisés qu'aux fins de confirmation de l'identité d'une personne, conformément à l'article 22, point b), du règlement (CE) no 1987/2006 et à l'article 22, point b), de la décision 2007/533/JAI du Conseil.
Article 2
Les États membres sont destinataires de la présente décision.
Fait à Bruxelles, le 4 août 2016.
Par la Commission
Dimitris AVRAMOPOULOS
Membre de la Commission
(1) JO L 381 du 28.12.2006, p. 4.
(2) JO L 205 du 7.8.2007, p. 63.
(3) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).
(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(5) Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO L 350 du 30.12.2008, p. 60).
(6) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
(7) Décision 2000/365/CE du Conseil du 29 mai 2000 relative à la demande du Royaume-Uni de Grande-Bretagne et d'Irlande du Nord de participer à certaines dispositions de l'acquis de Schengen (JO L 131 du 1.6.2000, p. 43).
(8) Décision 2002/192/CE du Conseil du 28 février 2002 relative à la demande de l'Irlande de participer à certaines dispositions de l'acquis de Schengen (JO L 64 du 7.3.2002, p. 20).
(9) JO L 176 du 10.7.1999, p. 36.
(10) Décision 1999/437/CE du Conseil du 17 mai 1999 relative à certaines modalités d'application de l'accord conclu par le Conseil de l'Union européenne et la République d'Islande et le Royaume de Norvège sur l'association de ces États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (JO L 176 du 10.7.1999, p. 31).
(11) JO L 53 du 27.2.2008, p. 52.
(12) Décision 2008/146/CE du Conseil du 28 janvier 2008 relative à la conclusion, au nom de la Communauté européenne, de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (JO L 53 du 27.2.2008, p. 1).
(13) Décision 2008/149/JAI du Conseil du 28 janvier 2008 relative à la conclusion, au nom de l'Union européenne, de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (JO L 53 du 27.2.2008, p. 50).
(14) JO L 160 du 18.6.2011, p. 21.
(15) Décision 2011/349/UE du Conseil du 7 mars 2011 relative à la conclusion, au nom de l'Union européenne, du protocole entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen, notamment en ce qui concerne la coopération judiciaire en matière pénale et la coopération policière (JO L 160 du 18.6.2011, p. 1).
(16) Décision 2011/350/UE du Conseil du 7 mars 2011 relative à la conclusion, au nom de l'Union européenne, du protocole entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen en ce qui concerne la suppression des contrôles aux frontières intérieures et la circulation des personnes (JO L 160 du 18.6.2011, p. 19).
ANNEXE
1. FINALITÉ
La présente annexe énonce les exigences minimales en matière de normes et de formats d'enregistrement qu'il convient de respecter lors du recueil et de la transmission des données biométriques (dactyloscopiques) vers le SIS II.
2. FORMAT DE DOSSIER ET DE COMPRESSION
Le format d'enregistrement des images d'empreintes digitales (et des données alphanumériques qui les accompagnent) doit respecter le format binaire ANSI/NIST (1). Le format d'enregistrement des empreintes digitales dans le SIS II doit se fonder sur une norme NIST et être intégré dans le document de contrôle des interfaces du SIS II (SIS II ICD). Seule la définition spécifique SIS NIST (fondée sur une version particulière du format ANSI/NIST) peut être utilisée et appliquée.
3. DISPOSITIFS
Le système automatisé d'identification des empreintes digitales (AFIS) du système central du SIS II (CS-SIS) doit être compatible et interopérable avec les données recueillies à l'aide de dispositifs de numérisation directe au niveau national qui ont la capacité de recueillir et de segmenter individuellement jusqu'à dix empreintes digitales roulées et/ou à plat.
L'AFIS du CS-SIS doit être compatible et interopérable avec les empreintes digitales «encrées» recueillies avant la date de la présente décision, roulées et/ou à plat, puis numérisées avec la qualité et la résolution appropriées.
3.1. Format et résolution d'image
Le CS-SIS doit recevoir des images d'empreintes digitales d'une résolution nominale de 1 000 ppp ou de 500 ppp avec 256 niveaux de gris.
Si les images de 500 ppp doivent être transmises à l'aide du format WSQ, les images de 1 000 ppp doivent pour leur part être en JPEG2000 (JP2).
4. EXIGENCES
En ce qui concerne l'utilisation des dispositifs de numérisation directe et de numérisation d'empreintes prélevées sur papier, il convient de respecter les exigences suivantes:
4.1. Qualité
L'AFIS du CS-SIS doit fixer les seuils de qualité qui déterminent la validation des empreintes digitales. Les États membres doivent effectuer un contrôle de la qualité au niveau local avant la transmission des images vers le SIS II, en respectant les spécifications qui seront définies conformément à l'article 51 du règlement (CE) no 1987/2006 et à l'article 67 de la décision 2007/533/JAI.
Les images d'empreintes digitales n'atteignant pas le seuil de qualité fixé par l'AFIS du CS-SIS ne sont pas enregistrées en vue d'une consultation automatisée. Elles doivent cependant être stockées dans le SIS aux fins de confirmation de l'identité d'une personne, conformément à l'article 22, point b), du règlement (CE) no 1987/2006 et à l'article 22, point b), de la décision 2007/533/JAI du Conseil.
Si un dossier SIS NIST non conforme est rejeté, un message automatique doit être transmis à l'État membre concerné en expliquant le problème.
Si le dossier SIS NIST est conforme au document de contrôle des interfaces mais que son contenu est d'une qualité insuffisante aux fins d'identification dans l'AFIS, un message automatique doit être transmis à l'État membre concerné en précisant que les empreintes digitales ne peuvent être exploitées à des fins d'identification (inscription ou consultation). Ce dispositif offre à l'État membre la possibilité de recueillir à nouveau les empreintes et d'en transmettre une nouvelle copie au système central.
Le seuil de qualité est susceptible d'être modifié à l'avenir.
L'autorité de gestion est tenue de fournir, d'entretenir et de mettre à jour un outil destiné au contrôle de la qualité, ainsi que de transmettre celui-ci aux États membres, afin de garantir le même niveau de vérification de la qualité et de prévenir toute donnée difficilement exploitable.
5. UTILISATION D'EMPREINTES DIGITALES À DES FINS DE STOCKAGE ET D'ENREGISTREMENT
L'AFIS du CS-SIS doit enregistrer dans la base de données biométriques les images d'empreintes digitales dépassant le seuil de qualité, avec une image maximum par type de doigt (l'identification NIST allant de 1 à 10), c'est-à-dire entre une et dix empreintes à plat et entre une et dix empreintes roulées. Chaque image d'empreinte digitale doit correctement préciser dans son intitulé à quel doigt elle se rapporte. Les empreintes digitales manquantes ou de doigts bandés doivent toujours être identifiées comme telles, ainsi qu'il est précisé dans le SIS II ICD en conformité avec la norme NIST. Toutes les images d'empreintes digitales doivent être conservées par le CS-SIS, permettant ainsi aux empreintes ayant fait l'objet d'un rejet d'être exploitées à des fins de vérification. Par dérogation, les images d'empreintes digitales partiellement mauvaises peuvent être utilisées à des fins de stockage et d'enregistrement lorsqu'il s'agit de personnes disparues.
6. UTILISATION D'EMPREINTES DIGITALES À DES FINS D'IDENTIFICATIONS ET DE CONSULTATIONS BIOMÉTRIQUES
L'AFIS du CS-SIS doit pratiquer les consultations biométriques (identifications biométriques) à l'aide des images d'empreintes digitales dépassant le seuil de qualité et avec une image maximum par type de doigt (l'identification NIST allant de 1 à 10). Chaque image d'empreinte digitale doit correctement préciser dans son intitulé à quel doigt elle se rapporte. Les empreintes digitales manquantes ou de doigts bandés doivent toujours être identifiées comme telles, ainsi qu'il est précisé dans le SIS II ICD en conformité avec la norme NIST.
7. UTILISATION D'EMPREINTES DIGITALES À DES FINS DE VÉRIFICATIONS BIOMÉTRIQUES
L'AFIS du CS-SIS doit pouvoir mener des vérifications biométriques à l'aide d'une à dix empreintes digitales à plat ou roulées. Chaque dossier NIST doit comporter une image maximum par type de doigt (l'identification NIST allant de 1 à 10). L'utilisation de «permutations (2)» doit avoir lieu à des fins de vérifications par l'AFIS du CS-SIS, indépendamment de l'intitulé des empreintes digitales. Les empreintes digitales manquantes ou de doigts bandés doivent toujours être identifiées comme telles, ainsi qu'il est précisé dans le SIS II ICD en conformité avec la norme NIST.
(1) Norme nationale américaine en matière de systèmes d'information / National Institute of Standards and Technology des États-Unis.
(2) Les permutations donnent instruction à l'AFIS du CS-SIS d'effectuer une vérification répétitive entre la ou les empreintes digitales de départ et toutes les empreintes digitales candidates disponibles (généralement dix) jusqu'à l'obtention d'une vérification positive ou bien jusqu'à ce que toutes les empreintes candidates aient été consultées sans pour autant aboutir à un résultat positif.