|
1.4.2020 |
FR |
Journal officiel de l’Union européenne |
L 100/1 |
RÈGLEMENT DÉLÉGUÉ (UE) 2020/473 DE LA COMMISSION
du 20 janvier 2020
complétant la directive (UE) 2017/2397 du Parlement européen et du Conseil en ce qui concerne les normes applicables aux bases de données relatives aux certificats de qualification de l’Union, aux livrets de service et aux livres de bord
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu la directive (UE) 2017/2397 du Parlement européen et du Conseil du 12 décembre 2017 relative à la reconnaissance des qualifications professionnelles dans le domaine de la navigation intérieure et abrogeant les directives du Conseil 91/672/CEE et 96/50/CE (1), et notamment son article 25, paragraphe 2,
considérant ce qui suit:
|
(1) |
Pour faciliter la mobilité, assurer la sécurité de la navigation et garantir la protection de la vie humaine et de l’environnement, il est essentiel que les membres d’équipage soient titulaires de certificats attestant de leurs qualifications. Afin d’obtenir ces certificats, les membres d’équipage devraient enregistrer leur temps de navigation au moyen de mentions validées dans leur livret de service, pouvant être recoupées avec les mentions correspondantes dans les livres de bord du bateau sur lequel ils ont travaillé. |
|
(2) |
Afin de mettre en œuvre correctement la directive (UE) 2017/2397 et de prévenir la fraude, les autorités compétentes qui délivrent des certificats conformément à ladite directive devraient veiller à ce que les membres d’équipage ne soient titulaires que d’un seul certificat spécifique à un moment donné. Dans le cadre de l’identification d’un membre d’équipage, il convient, le cas échéant, de tenir dûment compte du règlement (UE) no 910/2014 du Parlement européen et du Conseil (2). |
|
(3) |
Pour contribuer à l’efficacité de l’administration en ce qui concerne les certificats de qualification de l’Union, visée à l’article 25, paragraphe 1, de la directive (UE) 2017/2397, il convient que les États membres qui délivrent des certificats conformément à ladite directive établissent des registres où consigner les données relatives aux certificats de qualification de l’Union, aux livrets de service et aux livres de bord, ainsi qu’aux documents reconnus en vertu de l’article 10, paragraphe 2, de ladite directive. |
|
(4) |
En vue de faciliter l’échange d’informations entre les États membres et la Commission aux fins de la mise en œuvre, du contrôle de l’application et de l’évaluation de la directive (UE) 2017/2397, ainsi qu’à des fins statistiques, pour maintenir la sécurité et faciliter la navigation, les États membres devraient mettre à disposition/intégrer les données relatives à ces documents et à leur statut dans une base de données gérée par la Commission. |
|
(5) |
Aux fins des mêmes objectifs, cette base de données devrait également servir à fournir des informations sur les documents reconnus en vertu de l’article 10, paragraphes 2 ou 3, de la directive (UE) 2017/2397. |
|
(6) |
Le fait que les certificats de qualification et les livrets de service soient détenus par des membres d’équipage, alors que le livre de bord se rattache à un bâtiment, exige une gestion séparée de ces données dans deux cadres distincts. Dans ce contexte, il convient de tenir compte de l’existence de la base de données européenne sur les bateaux de navigation intérieure établie par la directive (UE) 2016/1629 du Parlement européen et du Conseil (3), qui comprend des informations relatives aux bâtiments de navigation intérieure à l’intention des autorités compétentes. |
|
(7) |
Il convient de tenir dûment compte des spécifications applicables en matière d’échange de données définies dans le droit de l’Union applicable, ainsi que des principes et recommandations figurant dans le plan d’action européen 2016-2020 pour l’administration en ligne (4) et dans le cadre d’interopérabilité européen (5). Il convient également de veiller à ce que, dans la mesure du possible, ces spécifications restent neutres du point de vue technologique et ouvertes aux technologies innovantes. Les principes de la transmission unique d’informations et de l’interopérabilité par défaut devraient être appliqués. |
|
(8) |
Chaque fois que les mesures prévues par le présent règlement délégué impliquent le traitement de données à caractère personnel, celui-ci devrait être mis en œuvre dans le respect du droit de l’Union relatif à la protection des données à caractère personnel, en particulier le règlement (UE) 2018/1725 du Parlement européen et du Conseil (6) en ce qui concerne le traitement par la Commission européenne et le règlement (UE) 2016/679 du Parlement européen et du Conseil (7) en ce qui concerne le traitement par les autorités compétentes des États membres. |
|
(9) |
Les États membres, représentés par les autorités compétentes concernées, déterminent les finalités et les moyens du traitement des données à caractère personnel dans les registres nationaux. La Commission, puisqu’elle gère la base de données qui permet l’échange de données entre les États membres, est également responsable du traitement. Les États membres ainsi que la Commission sont les responsables conjoints des données à caractère personnel traitées dans la base de données de l’Union. En vertu de l’article 26 du règlement (UE) 2016/679 et de l’article 28 du règlement (UE) 2018/1725, les responsables conjoints du traitement sont tenus de définir, de manière transparente, leurs responsabilités respectives aux fins d’assurer le respect des obligations découlant de ces règlements. Le présent règlement définit leurs responsabilités respectives. |
|
(10) |
Afin de garantir l’égalité des droits d’accès en vertu du règlement (UE) 2016/679 et du règlement (UE) 2018/1725, la Commission devrait être considérée comme responsable du traitement des données à caractère personnel en ce qui concerne la gestion des droits d’accès à la base de données de l’Union. |
|
(11) |
Le contrôleur européen de la protection des données a été consulté conformément à l’article 42 du règlement (UE) 2018/1725. |
|
(12) |
Dans un souci de cohérence, les dispositions du présent règlement devraient généralement s’appliquer à partir de la même date que celle prévue pour la transposition de la directive (UE) 2017/2397. Il convient toutefois de prévoir une exception pour les dispositions concernant la gestion de la base de données par la Commission au cours de la phase de test et son rôle de responsable du traitement des droits d’accès, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Objet
Le présent règlement définit les normes fixant les caractéristiques et les conditions d’utilisation des bases de données relatives aux certificats de qualification de l’Union, aux livrets de service et aux livres de bord délivrés conformément à la directive (UE) 2017/2397 et aux documents reconnus en vertu de son article 10, paragraphes 2 et 3.
Article 2
Définitions
Aux fins du présent règlement, on entend par:
|
a) |
«base de données de l’Union», la base de données fournie par la Commission, conformément à l’article 25, paragraphe 2, de la directive (UE) 2017/2397, afin de consigner et d’échanger les données relatives aux certificats de qualification et aux livrets de service mentionnées à l’article 25, paragraphe 1, de ladite directive et les données relatives aux certificats de qualification et aux livrets de service reconnus en vertu de son article 10, paragraphe 3; |
|
b) |
«base de données européenne sur les bateaux de navigation intérieure», la base de données fournie par la Commission, conformément à l’article 25, paragraphe 2, de la directive (UE) 2017/2397, afin de consigner et d’échanger les données relatives aux livres de bord mentionnées à l’article 25, paragraphe 1, de ladite directive; |
|
c) |
«registres nationaux», les registres des certificats de qualification de l’Union, des livrets de service et des livres de bord et, le cas échéant, des documents reconnus en vertu de l’article 10, paragraphe 2, de la directive (UE) 2017/2397, qui sont établis et tenus par les États membres conformément à l’article 25, paragraphe 1, de ladite directive; |
|
d) |
«numéro d’identification en tant que membre d’équipage», un numéro généré par la base de données de l’Union qui identifie un membre d’équipage enregistré dans cette base de données et qui est propre au titulaire; |
|
e) |
“statut “actif””, le fait que des certificats de qualification et des autorisations spécifiques soient valables; |
|
f) |
“statut “expiré””, le fait que des certificats de qualification et des autorisations spécifiques ne soient plus valables parce que la période de validité a pris fin ou parce qu’ils ont été remplacés par un nouveau certificat de qualification ou une nouvelle autorisation spécifique consécutivement à la modification de données administratives ou à l’expiration de la période de validité; |
|
g) |
“statut “suspendu””, le fait que des certificats de qualification et des autorisations spécifiques ne soient plus valables parce que des mesures ont été prises par les autorités compétentes conformément à l’article 14, paragraphe 2, de la directive (UE) 2017/2397; |
|
h) |
“statut “retiré””, le fait que des certificats de qualification et des autorisations spécifiques ne soient plus valables parce que des mesures ont été prises par les autorités compétentes conformément à l’article 14, paragraphe 1, de la directive (UE) 2017/2397; |
|
i) |
“statut “perdu””, le fait que des certificats de qualification et des autorisations spécifiques aient été déclarés perdus à l’autorité compétente; |
|
j) |
“statut “volé””, le fait que des certificats de qualification et des autorisations spécifiques aient été déclarés volés à l’autorité compétente; |
|
k) |
“statut “détruit””, le fait que des certificats de qualification et des autorisations spécifiques aient été déclarés détruits à l’autorité compétente; |
|
l) |
«métadonnées», les données traitées dans la base de données de l’Union aux fins de l’envoi ou de l’échange du contenu des communications électroniques; y compris les données utilisées pour le traçage et l’identification de la source et de la destination d’une communication, les données relatives à l’emplacement du contenu des communications électroniques, ainsi que la date, l’heure, la durée et le type de communication. |
Article 3
Informations relatives aux certificats de qualification et aux livrets de service
1. La Commission crée la base de données de l’Union. Elle la gère conformément aux exigences définies à l’annexe I. Elle est responsable de son fonctionnement technique et de sa maintenance. La Commission prend toutes les mesures nécessaires pour garantir la confidentialité, l’intégrité et la disponibilité de la base de données de l’Union.
2. Les États membres qui délivrent des certificats conformément à la directive (UE) 2017/2397 mettent à la disposition de la base de données de l’Union, de machine à machine, les registres visés à l’article 25, paragraphe 1, de la directive (UE) 2017/2397 en ce qui concerne les données mentionnées à l’article 25, paragraphe 1, de la directive (UE) 2017/2397.
3. Sans préjudice du paragraphe 4, chaque autorité nationale compétente, désignée comme responsable des données traitées dans les registres nationaux, et la Commission sont les responsables conjoints du traitement des données à caractère personnel dans la base de données de l’Union. Les responsabilités sont réparties entre les responsables conjoints du traitement conformément à l’annexe III.
4. La Commission est considérée comme responsable du traitement des données à caractère personnel nécessaires pour accorder et gérer les droits d’accès à la base de données de l’Union.
Article 4
Informations relatives aux livres de bord
1. Les États membres consignent les données relatives aux livres de bord mentionnées à l’article 25, paragraphe 1, de la directive (UE) 2017/2397 dans la base de données européenne sur les bateaux de navigation intérieure.
2. Les conditions d’utilisation de ladite base de données aux fins de l’enregistrement des données relatives aux livres de bord conformément à l’article 25, paragraphe 2, de la directive (UE) 2017/2397 figurent à l’annexe II.
Article 5
Entrée en vigueur et application
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable à partir du 18 janvier 2022, à l’exception de son article 3, paragraphes 1 et 4, qui est applicable à partir de la date d’entrée en vigueur.
Le présent règlement délégué est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 20 janvier 2020.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 345 du 27.12.2017, p. 53.
(2) Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73). Voir également ses règlements d’exécution, notamment le règlement d’exécution (UE) 2015/1501 de la Commission du 8 septembre 2015 sur le cadre d’interopérabilité visé à l’article 12, paragraphe 8, du règlement (UE) no 910/2014.
(3) Directive (UE) 2016/1629 du Parlement européen et du Conseil du 14 septembre 2016 établissant les prescriptions techniques applicables aux bateaux de navigation intérieure, modifiant la directive 2009/100/CE et abrogeant la directive 2006/87/CE (JO L 252 du 16.9.2016, p. 118).
(4) Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée «Plan d’action européen 2016-2020 pour l’administration en ligne — Accélérer la mutation numérique des administrations publiques» [COM(2016) 179 final].
(5) Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée «Cadre d’interopérabilité européen — Stratégie de mise en œuvre» [(COM(2017) 134].
(6) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(7) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
ANNEXE I
Exigences applicables à la base de données de l’Union
1. Généralités
|
1.1. |
La base de données de l’Union fournit une vue d’ensemble consolidée des données figurant sur les certificats de qualification et dans les livrets de service mentionnées à l’article 25, paragraphe 1, de la directive (UE) 2017/2397, qui sont conservées dans les registres nationaux établis et tenus par les États membres conformément à ladite disposition. |
|
1.2. |
La base de données de l’Union fournit également des informations relatives aux certificats de qualification et aux livrets de service reconnus en vertu de l’article 10, paragraphe 2, ou de l’article 10, paragraphe 3, de la directive (UE) 2017/2397, lorsque la Commission a accordé l’accès à cette base à une autorité d’un pays tiers, conformément à l’article 25, paragraphe 4, de ladite directive. |
|
1.3. |
La base de données de l’Union fournit une interface utilisateur (le «portail web de la base de données de l’Union») par l’intermédiaire de laquelle les utilisateurs autorisés sont en mesure d’accéder aux données conformément à leurs droits d’accès. |
2. Utilisateurs et droits d’accès
|
2.1. |
La Commission accorde à chaque utilisateur des droits d’accès correspondant aux différents profils d’utilisateur décrits au tableau 1, sur la base d’une liste communiquée par les États membres. |
|
2.2. |
La Commission peut également donner accès à la base de données de l’Union à une organisation internationale ou à une autorité d’un pays tiers, conformément à l’article 25, paragraphe 4, de la directive (UE) 2017/2397 et, en particulier, sous réserve du respect des exigences énoncées à l’article 46 du règlement (UE) 2018/1725. Les profils d’utilisateur mentionnés au tableau 1 et leurs droits d’accès peuvent être limités en fonction du résultat de l’évaluation du niveau de protection des données à caractère personnel des personnes physiques.
Tableau 1
|
3. Fonctionnalités
Les fonctionnalités suivantes sont offertes par l’intermédiaire de la base de données de l’Union:
|
3.1. |
Vérification de l’enregistrement du membre d’équipage dans la base de données de l’Union
La base de données de l’Union permet aux autorités de certification et aux autorités répressives de vérifier si un membre d’équipage est déjà enregistré dans le système. Cette vérification est effectuée soit sur la base du numéro d’identification en tant que membre d’équipage (CID), soit sur la base des données figurant sur un document d’identité produit par le membre d’équipage. Dans le cas des services en ligne, l’identification du membre d’équipage est effectuée à l’aide de l’ensemble de données établi en vertu du règlement (UE) 2015/1501. Pour autant qu’à la suite d’une recherche, une autorité de certification ne trouve, dans le système, aucune personne présentant un ensemble de données d’identité similaire, le membre d’équipage est enregistré dans le système. |
|
3.2. |
Consultation des données relatives aux certificats de qualification et aux livrets de service
La base de données de l’Union donne accès en lecture seule aux données concernant les certificats de qualification et les livrets de service qui sont mises à disposition par les registres nationaux. |
|
3.3. |
Consultation et modification du statut des certificats de qualification
La base de données de l’Union donne accès en lecture seule au statut des certificats de qualification, et accès en écriture pour enregistrer une suspension d’un certificat de qualification dans la base de données de l’Union. Les statuts standard des certificats sont les suivants: «actif», «expiré», «suspendu», «retiré», «perdu», «volé» ou «détruit». |
|
3.4. |
Envoi et réception d’une notification
La base de données de l’Union permet la notification, aux autorités de certification et aux autorités chargées des suspensions, de modifications ou de demandes dans les registres, qui portent sur les certificats de qualification ou autorisations spécifiques qu’elles ont délivrés ou suspendus. |
|
3.5. |
Production de statistiques
La base de données de l’Union comprend des fonctionnalités qui fournissent des données permettant aux utilisateurs autorisés d’effectuer des recherches à des fins statistiques. |
|
3.6. |
Mise à jour des métadonnées
La Commission met à jour les métadonnées figurant dans la base de données de l’Union dès la notification de la modification des données correspondantes dans un registre national. |
|
3.7. |
Informations sur les opérations inachevées
Si le système n’est pas en mesure d’achever l’opération d’une fonctionnalité, ce fait et sa raison sont communiqués à l’utilisateur concerné. La demande ou les données sont provisoirement verrouillées dans la base de données de l’Union, et l’opération est renouvelée automatiquement jusqu’à ce que l’erreur ou la défaillance ait été corrigée et que l’opération de la fonctionnalité soit achevée. |
|
3.8. |
Gestion de l’accès des utilisateurs
Les utilisateurs accèdent à la base de données de l’Union par l’intermédiaire du service d’authentification de la Commission (EU Login). |
|
3.9. |
Surveillance des connexions et des opérations
La base de données de l’Union enregistre l’ensemble des informations relatives aux connexions et aux opérations, à des fins de surveillance et de débogage, et permet la production de statistiques concernant ces connexions et opérations aux fins d’un traitement par le personnel de la Commission. |
4. Données figurant dans la base de données de l’Union
|
4.1. |
Pour pouvoir assurer ses fonctionnalités, la base de données de l’Union conserve les données suivantes:
|
|
4.2. |
La base de données de l’Union peut également contenir les données mentionnées à l’article 25 de la directive (UE) 2017/2397 pour les certificats de qualification et les livrets de service reconnus en vertu de l’article 10, paragraphe 3, lorsque la Commission a refusé l’accès à une autorité d’un pays tiers, conformément à l’article 25, paragraphe 4, de ladite directive. |
5. Communication entre la base de données de l’Union et les registres
|
5.1. |
La connexion entre la base de données de l’Union et les registres nationaux repose sur le service sécurisé d’envoi recommandé électronique de la Commission (CEF eDelivery). |
|
5.2. |
L’échange d’informations repose sur des méthodes standard de structuration des données et s’effectue dans le format XML. |
|
5.3. |
Le service fonctionne 24 heures sur 24, 7 jours sur 7, avec un taux de disponibilité du système d’au moins 98 % hors maintenance programmée. |
6. Données de référence figurant dans la base de données de l’Union
|
6.1. |
Les données de référence, telles que les listes de codes, les vocabulaires et les glossaires contrôlés, sont conservées dans le système européen de gestion des données de référence (ERDMS), y compris, le cas échéant, leur traduction dans les langues officielles de l’Union européenne. |
7. Protection des données à caractère personnel
|
7.1. |
Tout traitement de données à caractère personnel par les utilisateurs autorisés dans les États membres est effectué conformément au droit de l’Union relatif à la protection des données à caractère personnel, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil. |
|
7.2. |
La Commission effectue tous les traitements de données à caractère personnel prévus par le présent règlement en conformité avec le règlement (UE) 2018/1725. |
|
7.3. |
Les données à caractère personnel mentionnées à l’article 25, paragraphe 1, de la directive (UE) 2017/2397 ne sont consultées et traitées que pour l’exécution des fonctionnalités visées à la section 3 et par les utilisateurs autorisés. |
|
7.4. |
Les données à caractère personnel visées à la section 4 sont stockées dans la base de données de l’Union pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées et pas après que les membres d’équipage concernés ont pris leur retraite. La liste des types de certificats et autorisations spécifiques détenus par le titulaire n’inclut pas les certificats et autorisations qui ont expiré, ont été retirés ou détruits, ont été déclarés perdus ou volés s’ils ont été remplacés par un nouveau certificat ou autorisation. |
|
7.5. |
Les données à caractère personnel traitées aux fins de la fonctionnalité décrite au point 3.9 ne sont pas conservées dans la base de données de l’Union pendant plus de six mois. |
|
7.6. |
Les données à caractère personnel autres que celles visées aux points 7.4 et 7.5 sont conservées dans la base de données de l’Union pendant une durée n’excédant pas celle strictement nécessaire à l’achèvement de l’opération. |
|
7.7. |
Les données disponibles à des fins statistiques sont rendues anonymes et agrégées. Les informations statistiques qui ont été dûment rendues anonymes et agrégées peuvent être conservées pour une durée indéterminée. |
8. Points de contact uniques
|
8.1. |
Aux fins liées au fonctionnement de la base de données de l’Union, la Commission entretient des contacts avec les États membres par l’intermédiaire d’un point de contact unique désigné par chaque État membre parmi les autorités compétentes visées à l’article 26, paragraphe 1, point g), de la directive (UE) 2017/2397. |
ANNEXE II
Exigences concernant le fonctionnement de la base de données sur les bateaux de navigation intérieure pour l’échange d’informations relatives aux livres de bord
1.
Les données relatives aux livres de bord ne sont consultées et traitées que par les utilisateurs autorisés visés au tableau 1.
2.
La Commission accorde aux utilisateurs des droits d’accès correspondant aux profils d’utilisateur décrits au tableau 1, sur la base d’une liste communiquée par les États membres par l’intermédiaire des points de contact uniques visés dans le règlement délégué 2020/474 (1), ainsi qu’aux organisations internationales et aux autorités de pays tiers, conformément à l’article 25, paragraphe 4, de la directive (UE) 2017/2397.
3.
Les instructions énoncées aux annexes III et IV du règlement délégué 2020/474 relatif à la base de données sur les bateaux de navigation intérieure, concernant l’accès sans restriction et l’accès en lecture seule à ladite base de données ainsi que le traitement des données y figurant, s’appliquent.
4.
Tout traitement de données à caractère personnel par les utilisateurs autorisés est effectué conformément au droit de l’Union relatif à la protection des données à caractère personnel, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil.
5.
La Commission effectue tous les traitements de données à caractère personnel prévus par le présent règlement en conformité avec le règlement (UE) 2018/1725 du Parlement européen et du Conseil.Tableau 1
|
Profils d’utilisateur |
Définitions |
Droits d’accès |
|
Autorités de certification |
Utilisateurs autorisés au sein des autorités compétentes pour délivrer les livres de bord conformément à l’article 26 de la directive (UE) 2017/2397. |
Accès sans restriction |
|
Autorités répressives |
Utilisateurs autorisés au sein des autorités compétentes pour détecter et combattre la fraude et les autres pratiques illégales visées à l’article 26 de la directive (UE) 2017/2397. |
Lecture seule |
|
Offices des statistiques |
Utilisateurs autorisés au sein des offices nationaux ou internationaux chargés de recueillir des statistiques. |
Lecture seule |
|
Organisations internationales |
Utilisateurs autorisés au sein des organisations internationales ayant obtenu l’accès à la base de données sur les bateaux de navigation intérieure conformément à l’article 25, paragraphe 4, de la directive (UE) 2017/2397 et à l’article 46 du règlement (UE) 2018/1725. |
Accès en lecture seule à déterminer en fonction du résultat de l’évaluation concernant le niveau de protection des données des personnes physiques |
|
Autorités de pays tiers |
Utilisateurs autorisés au sein des autorités compétentes désignées de pays tiers ayant obtenu l’accès à la base conformément à l’article 25, paragraphe 4, de la directive (UE) 2017/2397 et à l’article 46 du règlement (UE) 2018/1725. |
À déterminer en fonction du résultat de l’évaluation concernant le niveau de protection des données des personnes physiques |
(1) Règlement délégué (UE) 2020/474 de la Commission du 20 janvier 2020 relatif à la base de données européenne sur les bateaux de navigation intérieure (JO L 100 du 1.4.2020, p. 12).
ANNEXE III
Répartition des responsabilités entre les responsables conjoints du traitement
1.
Les États membres, représentés par leurs autorités compétentes, déterminent les finalités et les moyens du traitement des données à caractère personnel figurant dans les registres nationaux. La Commission, puisqu’elle tient et gère la base de données de l’Union qui permet l’échange de données entre les États membres, est également responsable du traitement. Les États membres et la Commission sont donc les responsables conjoints du traitement des données à caractère personnel figurant dans la base de données de l’Union européenne.
2.
Chacun des responsables conjoints du traitement respecte la législation pertinente nationale et de l’Union à laquelle il est soumis.
3.
La Commission est chargée:|
a) |
de faire en sorte que la base de données de l’Union respecte les exigences applicables aux systèmes d’information et de communication de la Commission, y compris celles concernant la protection des données à caractère personnel et l’application des règles en matière de protection des données portant sur la sécurité du traitement (1). La Commission procède à une évaluation des risques pour la sécurité de l’information et assure un niveau de sécurité approprié; |
|
b) |
de répondre aux demandes des personnes concernées qui lui sont adressées directement en ce qui concerne la base de données de l’Union et de publier un avis d’information sur la protection des données afin de satisfaire aux exigences en matière d’information. S’il y a lieu, et en particulier lorsque la demande concerne la rectification et l’effacement de données à caractère personnel, la Commission transmet la demande de la personne concernée au(x) point(s) de contact unique(s) concerné(s) qui y répond(ent). Lorsqu’une demande lui est adressée directement, la Commission informe la personne concernée des suites données à sa demande; |
|
c) |
de communiquer toute violation de données à caractère personnel dans la base de données de l’Union aux points de contact uniques visés à la section 8.1 de l’annexe I, au Contrôleur européen de la protection des données et aux personnes concernées lorsqu’il existe un risque élevé conformément aux articles 34 et 35 du règlement (UE) 2018/1725; |
|
d) |
d’identifier les catégories de personnel et les autres personnes auxquelles l’accès à la base de données de l’Union peut être accordé et de veiller à ce que l’accès de toutes les personnes concernées soit conforme aux règles applicables en matière de protection des données; |
|
e) |
de s’assurer que les membres du personnel de la Commission qui ont accès aux données à caractère personnel des membres d’équipage figurant dans la base de données de l’Union soient suffisamment formés pour garantir qu’ils exécutent leurs tâches conformément aux règles applicables en matière de protection des données à caractère personnel et soient soumis à l’obligation de secret professionnel conformément au droit de l’Union. |
4.
Les autorités compétentes des États membres sont chargées:|
a) |
de collecter et de traiter les données à caractère personnel des demandeurs, ainsi que de traiter les données à caractère personnel qu’elles obtiennent de la base de données de l’Union ou qu’elles échangent par l’intermédiaire de celle-ci. La collecte et le traitement de données à caractère personnel sont effectués conformément au règlement (UE) 2016/679, notamment pour garantir la licéité de la collecte des données, fournir des informations adéquates, faire en sorte que les données restent exactes (y compris en effaçant les données ou profils obsolètes, au besoin) et assurer une sécurité appropriée des données figurant dans les registres nationaux; |
|
b) |
de faire office de point de contact pour les membres d’équipage, y compris lorsqu’ils exercent leurs droits, en répondant aux demandes des membres d’équipage et en faisant en sorte que ceux dont les données sont traitées via la base de données de l’Union et les registres nationaux soient en mesure d’exercer leurs droits conformément à la législation sur la protection des données. Dans ce contexte, elles coopèrent avec les autorités compétentes des autres États membres par l’intermédiaire des points de contact uniques et avec la Commission pour répondre de manière appropriée aux demandes de personnes concernées qui leur sont adressées ou qui sont adressées à d’autres États membres ou à la Commission. L’autorité compétente d’un État membre qui a reçu la demande d’une personne concernée informe cette dernière des suites données à sa demande; |
|
c) |
de communiquer toute violation de données à caractère personnel, en ce qui concerne les données de membres d’équipage traitées par l’intermédiaire de la base de données de l’Union à la Commission, aux points de contact uniques visés à la section 8.1 de l’annexe I, aux autorités de contrôle compétentes et, lorsque c’est exigé, aux membres d’équipage concernés, conformément aux articles 33 et 34 du règlement (UE) 2016/679 ou à la demande de la Commission; |
|
d) |
d’identifier, conformément aux droits d’accès des utilisateurs correspondant aux profils d’utilisateur décrits au tableau 1 de l’annexe I, les membres du personnel devant avoir accès aux données à caractère personnel des membres d’équipage figurant dans la base de données de l’Union et d’en communiquer la liste à la Commission; |
|
e) |
de s’assurer que les membres de leur personnel qui ont accès aux données à caractère personnel des membres d’équipage figurant dans la base de données de l’Union soient suffisamment formés pour garantir qu’ils exécutent leurs tâches conformément aux règles applicables en matière de protection des données à caractère personnel et soient soumis à l’obligation de secret professionnel conformément aux règles établies par l’autorité nationale compétente. |
(1) Décision (UE, Euratom) 2017/46 de la Commission du 10 janvier 2017 sur la sécurité des systèmes d’information et de communication au sein de la Commission européenne et décision de la Commission du 13 décembre 2017 portant modalités d’application des articles 3, 5, 7, 8, 9, 10, 11, 12, 14 et 15 de la décision (UE, Euratom) 2017/46 relative à la sécurité des systèmes d’information et de communication au sein de la Commission européenne (JO L 6 du 11.1.2017, p. 40).