DÉCISION D’EXÉCUTION (UE) 2021/858 DE LA COMMISSION

du 27 mai 2021

modifiant la décision d’exécution (UE) 2017/253 en ce qui concerne les alertes déclenchées par des menaces transfrontières graves pour la santé et la recherche des contacts de passagers identifiés au moyen de formulaires de localisation des passagers

(Texte présentant de l’intérêt pour l’EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu la décision no 1082/2013/UE du Parlement européen et du Conseil du 22 octobre 2013 relative aux menaces transfrontières graves sur la santé et abrogeant la décision no 2119/98/CE (1), et notamment son article 8, paragraphe 2,

considérant ce qui suit:

(1)

La détection d’un cas positif de COVID-19 à la suite d’un trajet transfrontière donné remplit les critères fixés à l’article 9, paragraphe 1, de la décision no 1082/2013/UE, étant donné qu’il s’agit d’une menace qui peut encore entraîner une mortalité importante chez l’homme, qui peut se développer rapidement, qui concerne plus d’un État membre, et qui peut nécessiter une réaction coordonnée au niveau de l’Union. Conformément au paragraphe 23 de la recommandation (UE) 2020/1475 du 13 octobre 2020 relative à une approche coordonnée de la restriction de la libre circulation en réaction à la pandémie de COVID-19 (2), il convient que les informations sur les cas de COVID-19 détectés à l’arrivée d’une personne sur le territoire d’un État membre soient immédiatement partagées avec les autorités de santé publique des pays dans lesquels la personne concernée a séjourné au cours des 14 jours précédents à des fins de recherche des contacts, au moyen du système d’alerte précoce et de réaction (ci-après le «SAPR») établi à l’article 8 de la décision no 1082/2013/UE et géré par le Centre européen de prévention et de contrôle des maladies (ci-après l’«ECDC»).

(2)	En application de la recommandation (UE) 2020/1475, les États membres pourraient imposer aux personnes entrant sur leur territoire de soumettre des formulaires de localisation des passagers, dans le respect des exigences en matière de protection des données.

(3)

En imposant le remplissage de formulaires nationaux de localisation des passagers dans différents formats, les États membres recueillent les données des formulaires de localisation des passagers présentés par les passagers transfrontières entrant sur leur territoire. Ces données peuvent notamment être utilisées dans le cas où une personne qui a rempli un formulaire de localisation des passagers est identifiée comme un cas de COVID-19. Les données recueillies dans ce formulaire sont alors utilisées pour établir le trajet de cette personne et transmettre des informations pertinentes aux États membres qui doivent appliquer des procédures de recherche des contacts relatives aux personnes qui pourraient avoir été exposés au passager infecté.

(4)

Les autorités de santé publique de certains États membres échangent déjà entre elles des données à caractère personnel recueillies au moyen de formulaires nationaux de localisation des passagers à des fins de recherche des contacts dans le contexte de la pandémie de COVID-19. Elles procèdent notamment à ces échanges au moyen de l’infrastructure technique actuelle fournie dans le cadre du SAPR.

(5)

L’infrastructure technique actuellement fournie dans le cadre du SAPR n’est pas encore capable de prendre en charge le volume de données des formulaires de localisation des passagers généré par l’utilisation systématique et à grande échelle de ces formulaires. Par exemple, elle n’assure pas la concordance entre les différents formats nationaux et impose une saisie manuelle des données, ce qui nuit à la rapidité et à l’efficacité de la recherche des contacts. C’est notamment le cas lorsque la recherche des contacts doit être exécutée relativement à des passagers transfrontières qui ont utilisé des moyens de transport collectif pour lesquels les places sont attribuées à l’avance, tels que des aéronefs, certains trains, des traversiers et des navires de croisière, dans lesquels le nombre de passagers exposés et la durée d’exposition à un passager infecté pourraient être importants.

(6)

Par conséquent, il convient de mettre en place une infrastructure technique, appelée «plateforme d’échange de formulaires de localisation des passagers», afin de permettre l’échange sécurisé, rapide et efficace de données entre les autorités compétentes du SAPR des États membres, en autorisant la transmission, d’une manière interopérable et automatique, d’informations depuis les systèmes nationaux de formulaires numériques de localisation des passagers existants vers d’autres autorités compétentes du SAPR. Cette infrastructure devrait s’appuyer sur la plateforme déjà mise en place par l’Agence de l’Union européenne pour la sécurité aérienne (AESA), celle-ci ne jouant aucun rôle dans le contexte du traitement des données à caractère personnel via la plateforme d’échange de formulaires de localisation des passagers prévue dans la présente décision d’exécution. La plateforme d’échange de formulaires de localisation des passagers devrait également permettre l’échange de données épidémiologiques limitées, nécessaires à la recherche des contacts, conformément à l’article 9, paragraphe 3, de la décision no 1082/2013/UE. Afin d’éviter un chevauchement d’activités ou la réalisation d’actions contradictoires avec celles qui sont prises par les structures et mécanismes existants en matière de surveillance des menaces transfrontières graves pour la santé, d’alerte précoce dans le cas où de telles menaces se produiraient et de lutte contre celles-ci, la plateforme d’échange de formulaires de localisation des passagers devrait être mise en place dans le cadre du SAPR en tant que complément de la fonctionnalité de messagerie sélective existante de ce système.

(7)	La plateforme d’échange de formulaires de localisation des passagers devrait être gérée par l’ECDC conformément à l’article 8 du règlement (CE) no 851/2004 du Parlement européen et du Conseil (3).

(8)	La plateforme d’échange de formulaires de localisation des passagers ne devrait stocker ni les données des formulaires ni les données épidémiologiques destinées à être échangées.

(9)

Si un État membre ne possède pas de système national de formulaires numériques de localisation des passagers, il pourrait utiliser le système de fiches de traçabilité numérique des passagers de l’Union européenne développé par l’action conjointe «Healthy Gateways» de l’UE à la demande de la Commission (convention de subvention no 801493) (4). L’objectif de ce système de fiches de traçabilité numérique des passagers de l’Union européenne est de créer un point d’entrée et une base de données uniques pour la collecte des formulaires de localisation des passagers. À l’avenir, le système de fiches de traçabilité numérique des passagers de l’Union européenne devrait être relié à la plateforme d’échange de formulaires de localisation des passagers dans l’unique but de permettre l’échange de données entre les États membres disposant de leurs propres systèmes nationaux de formulaires numériques de localisation des passagers, d’une part, et les États membres utilisant le système de fiches de traçabilité numériques des passagers de l’Union européenne, d’autre part. La présente décision ne couvre pas l’établissement du système de fiches de traçabilité numériques des passagers de l’Union européenne et elle ne régit pas le traitement des données à caractères personnel y afférent.

(10)

La présente décision ne régit pas l’établissement de formulaires nationaux de localisation des passagers, qui relève de l’autorité des États membres. Les États membres sont libres de choisir s’ils collectent les formulaires de localisation de tous les passagers entrant sur leur territoire, ou seulement de ceux dont ils sont la destination finale. Pour que la recherche transfrontière des contacts reposant sur les données des formulaires de localisation des passagers soit efficace, il convient que les États membres recueillent un ensemble commun minimal de données des formulaires de localisation des passagers au moyen de leurs formulaires nationaux de localisation des passagers. Il convient, par conséquent, de fixer cet ensemble minimal de données des formulaires de localisation des passagers. En outre, pour des raisons d’efficacité en matière de coût, de durabilité et de sécurité accrue de la solution, les États membres devraient envisager d’adopter une approche commune sur la question de savoir s’il y a lieu de demander des formulaires de localisation des passagers à tous les passagers, y compris à ceux en transit, ou uniquement aux passagers ayant pour destination finale l’État membre concerné.

(11)

La plateforme d’échange de formulaires de localisation des passagers devrait être utilisée de manière volontaire et les États membres devraient être libres de notifier des alertes au moyen de l’infrastructure technique existante du SAPR, sur une base temporaire et à condition de ne pas nuire à l’objectif de recherche des contacts.

(12)

Les autorités compétentes du SAPR devraient uniquement échanger des ensembles de données bien définis recueillis au moyen de leurs formulaires de localisation des passagers ainsi que d’autres données épidémiologiques limitées nécessaires à la recherche des contacts, conformément au principe de minimisation du traitement de données à caractère personnel. Lorsque l’État membre qui notifie une alerte relative à un passager infecté est en mesure d’identifier tous les États membres concernés sur la base des données des formulaires de localisation des passagers à sa disposition, il ne devrait transmettre des informations qu’aux autorités compétentes du SAPR de ces États membres. C’est le cas, par exemple, lorsque l’État membre qui identifie le passager infecté recueille les formulaires de localisation de tous les passagers, y compris des passagers en transit, arrivant sans escale sur son territoire depuis le lieu de départ initial.

(13)

Lorsqu’il est détecté qu’un passager est infecté par le SARS-CoV-2 dans un État membre, les autorités compétentes du SAPR de cet État membre devraient être en mesure de partager, avec les autorités compétentes du SAPR de l’État membre de départ, un ensemble limité de données extraites des formulaires de localisation des passagers, qui devrait être strictement défini quant aux éléments qui sont nécessaires pour effectuer une recherche des contacts des personnes exposées dans l’État membre de départ, ou de résidence s’il diffère de l’État membre de départ, à savoir l’identité et les coordonnées du passager infecté.

(14)

En outre, lorsqu’il est détecté qu’un passager est infecté par le SARS-CoV-2 dans un État membre, les autorités compétentes du SAPR de cet État membre devraient également être en mesure de partager un ensemble limité de données avec les autorités compétentes du SAPR de tous les États membres, ou des États membres concernés si elles disposent d’informations leur permettant de déterminer quels sont ces États membres. Les données devraient être limitées au lieu de départ, au lieu d’arrivée, à la date de départ, au moyen de transport utilisé (par exemple avion, train, car, traversier, navire), au numéro d’identification du service de transport (à savoir le numéro de vol, le numéro de train, la plaque d’immatriculation du car, le nom du traversier ou du navire), au numéro de siège ou de cabine du passager infecté ainsi qu’à l’heure de départ dans le cas où les données susmentionnées ne suffisent pas à identifier le moyen de transport. Ces données devraient permettre aux autorités compétentes du SAPR qui les reçoivent de déterminer si les passagers exposés sont arrivés sur leur territoire et, dans l’affirmative, d’effectuer une recherche des contacts.

(15)

Lorsqu’elles partagent des données avec d’autres autorités compétentes du SAPR au moyen de la plateforme d’échange de formulaires de localisation des passagers, les autorités compétentes du SAPR concernées devraient être en mesure d’ajouter des renseignements épidémiologiques, limités à ce qui est nécessaire pour réaliser la recherche des contacts, à savoir le type du test de dépistage de la COVID-19 effectué, le variant du virus SARS-CoV-2 ainsi que la date de l’échantillonnage et la date d’apparition des symptômes.

(16)

Le traitement des données à caractère personnel des passagers infectés échangées au moyen de la plateforme d’échange de formulaires de localisation des passagers doit être réalisé par les autorités compétentes du SAPR conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil (5). Le traitement des données à caractère personnel sous la responsabilité de l’ECDC en tant que gestionnaire de la plateforme d’échange de formulaires de localisation des passagers à des fins de recherche des contacts et de la Commission en tant que sous-traitant ultérieur de celui-ci doit être conforme au règlement (UE) 2018/1725 du Parlement européen et du Conseil (6).

(17)

La base juridique de l’échange des données à caractère personnel des passagers infectés, y compris les données concernant la santé, entre les autorités compétentes du SAPR aux fins de la recherche des contacts est établie à l’article 9, paragraphe 1, et à l’article 9, paragraphe 3, point i), de la décision no 1082/2013/UE, conformément à l’article 6, paragraphe 1, point c), et à l’article 9, paragraphe 2, point i), du règlement (UE) 2016/679. La présente décision devrait prévoir des mesures appropriées et spécifiques en vue de préserver les droits et les libertés de la personne concernée. Parmi celles-ci devraient figurer des mesures définissant les ensembles de données qu’il est nécessaire d’échanger, les autorités compétentes du SAPR avec lesquelles les données devraient être échangées selon les différents cas, les mesures de sécurité appropriées, y compris le cryptage, ainsi que les modalités de traitement des données entre les autorités nationales compétentes au moyen de la plateforme d’échange de formulaires de localisation des passagers au sein de l’Union européenne.

(18)

Les autorités compétentes du SAPR participant à la plateforme d’échange de formulaires de localisation des passagers déterminent ensemble la finalité et les moyens du traitement des données à caractère personnel sur la plateforme, et sont, par conséquent, responsables conjointes de ce traitement. L’article 26 du règlement (UE) 2016/679 impose aux responsables conjoints du traitement de définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences dudit règlement. Cet article prévoit également la possibilité que ces responsabilités soient définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Par conséquent, la présente décision devrait déterminer les responsabilités et les rôles respectifs des responsables conjoints du traitement.

(19)

L’ECDC, en tant que fournisseur de solutions techniques et organisationnelles pour la plateforme d’échange de formulaires de localisation des passagers, traite les données des formulaires et les données épidémiologiques au nom des États membres participant à la plateforme en tant que responsables conjoints du traitement, et constitue donc un sous-traitant au sens de l’article 3, paragraphe 12, du règlement (UE) 2018/1725. Conformément à l’article 28 du règlement (UE) 2016/679 et à l’article 29 du règlement (UE) 2018/1725, le traitement par un sous-traitant doit être régi par un contrat ou un acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement et qui définit le traitement. Il est par conséquent nécessaire de fixer des règles sur le traitement effectué par l’ECDC en tant que sous-traitant.

(20)

L’article 3, paragraphe 3, du règlement (CE) no 851/2004 prévoit que l’ECDC, la Commission et les États membres coopèrent afin de favoriser la cohérence effective entre leurs activités respectives. De ce fait, il convient que la Commission et l’ECDC concluent des accords de niveau de service en vue d’une coopération tout au long de la mise au point technique et de l’utilisation de la plateforme d’échange de formulaires de localisation des passagers. Ces accords doivent préciser la répartition des responsabilités (organisationnelles, financières et technologiques) entre les parties afin de faciliter la mise en œuvre de la plateforme et des mesures techniques relatives à son utilisation, sa maintenance et son évolution future.

(21)	Il y a donc lieu de modifier la décision d’exécution (UE) 2017/253 en conséquence.

(22)

La plateforme d’échange de formulaires de localisation des passagers doit être financée pendant l’exercice 2021 par l’Instrument d’aide d’urgence, qui a été mis en place pour aider les États membres à riposter à la pandémie de COVID-19 en répondant aux besoins de manière stratégique et coordonnée à l’échelle européenne, et par les «activités de soutien à la politique européenne des transports, à la sûreté des transports et aux droits des passagers, y compris aux activités de communication». Pendant l’exercice 2022, elle doit être financée par le programme pour une Europe numérique.

(23)

Compte tenu de la date envisagée de mise en service de la plateforme d’échange de formulaires de localisation des passagers, la présente décision devrait être applicable à partir du 1er juin 2021. L’échange de données devrait cesser après douze mois ou, si cette déclaration intervient avant ce terme, dès que le directeur général de l’Organisation mondiale de la santé aura déclaré, conformément au règlement sanitaire international, que l’urgence de santé publique de portée internationale causée par le SARS-CoV-2 a pris fin.

(24)

L’exploitation de la plateforme d’échange de formulaires de localisation des passagers devrait avoir pour seule finalité de mettre un frein à la pandémie de COVID-19. Néanmoins, elle pourrait être étendue à l’avenir, au moyen d’une décision d’exécution modificative, à des épidémies qui pourraient imposer aux États membres d’échanger des données de formulaires de localisation des passagers à des fins de recherche des contacts, conformément aux critères et aux conditions fixés respectivement à l’article 9, paragraphe 1, et à l’article 9, paragraphe 3, de la décision no 1082/2013/UE.

(25)	Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 6 mai 2021.

(26)	Les mesures prévues par la présente décision sont conformes à l’avis du comité sur les menaces transfrontières graves pour la santé, institué par l’article 18 de la décision no 1082/2013/UE,

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

La décision d’exécution (UE) 2017/253 est modifiée comme suit:

L’article 1er bis suivant est inséré:

«Article premier bis

Définitions

Aux fins de la présente décision, on entend par:

“formulaire de localisation des passagers”: un formulaire rempli à la demande des autorités de santé publique en vue de recueillir à tout le moins les données relatives aux passagers spécifiées à l’annexe I et qui aide lesdites autorités à gérer un événement relatif à la santé publique en leur permettant de retrouver des passagers transfrontières qui pourraient avoir été exposés à une personne infectée par le SARS-CoV-2;

b)	“données des formulaires de localisation des passagers”: des données à caractère personnel recueillies au moyen d’un formulaire de localisation des passagers;

c)	“point d’entrée numérique”: un emplacement numérique unique où les autorités compétentes du SAPR peuvent connecter en toute sécurité leurs systèmes nationaux de formulaires numériques de localisation des passagers à la plateforme d’échange de formulaires de localisation des passagers;

d)	“trajet”: le déplacement transfrontière effectué par une personne, en une ou plusieurs étapes, par des moyens de transport collectif pour lesquels les places sont attribuées à l’avance, en tenant compte du lieu de départ initial et de la destination finale de cette personne;

e)	“étape”: le déplacement transfrontière unique d’un passager sans correspondance ni changement de vol, de train, de navire ou de véhicule;

f)	“passager infecté”: un passager qui remplit le critère de laboratoire pour l’infection par le SARS-CoV-2;

g)	“personne exposée”: un passager ou une autre personne qui a été en contact étroit avec un passager infecté;

h)	“alerte”: une notification utilisant le système d’alerte précoce et de réaction (SAPR), conformément à l’article 9 de la décision no 1082/2013/UE.»

Les articles 2 bis, 2 ter et 2 quater suivants sont insérés:

«Article 2 bis

Plateforme d’échange de données des formulaires de localisation des passagers

1. Une plateforme pour l’échange sécurisé des données des formulaires de localisation de passagers infectés à la seule fin de la recherche des contacts des personnes exposées au SARS-CoV-2 par les autorités compétentes du SAPR (ci-après la «plateforme d’échange de formulaires de localisation des passagers») est établie dans le cadre du SAPR en complément de la fonctionnalité de messagerie sélective existant dans ce système.

La plateforme d’échange de formulaires de localisation des passagers fournit un point d’entrée numérique aux autorités compétentes du SAPR, auquel ces autorités peuvent connecter en toute sécurité leurs systèmes nationaux de formulaires numériques de localisation des passagers ou auquel elles peuvent se connecter via le système commun de fiches de traçabilité numériques des passagers de l’Union européenne, afin de permettre l’échange des données recueillies au moyen de ces formulaires.

Les autorités compétentes du SAPR sont en mesure d’utiliser la plateforme d’échange de formulaires de localisation des passagers pour partager des données supplémentaires, à savoir des données épidémiologiques à la seule fin de la recherche des contacts des personnes exposées au SARS-CoV-2, conformément à l’article 2 ter, paragraphe 5.

2. La plateforme d’échange de formulaires de localisation des passagers est gérée par l’ECDC.

3. Afin de remplir leurs obligations, découlant de l’article 2, de notifier les menaces transfrontières graves pour la santé détectées dans le contexte de la collecte de données des formulaires de localisation des passagers, les autorités compétentes du SAPR des États membres imposant le remplissage de ces formulaires échangent un ensemble de données issues des formulaires de localisation des passagers, comme indiqué à l’article 2 ter, au moyen de la plateforme d’échange de formulaires de localisation des passagers.

4. Les autorités compétentes du SAPR peuvent continuer à remplir leurs obligations, découlant de l’article 9, paragraphes 1 et 3, de la décision no 1082/2013/UE, de notifier les menaces transfrontières graves pour la santé détectées dans le contexte de la collecte de données des formulaires de localisation des passagers au moyen des autres canaux de communication existants évoqués à l’article 1er, paragraphe 2, de la présente décision, sur une base temporaire et à condition de ne pas nuire à l’objectif de recherche des contacts.

5. La plateforme d’échange de formulaires de localisation des passagers ne conserve ni les données des formulaires de localisation des passagers ni les données épidémiologiques supplémentaires. Elle permet uniquement aux autorités compétentes du SAPR d’accéder aux données qui lui ont été envoyées par d’autres autorités compétentes du SAPR à la seule fin de la recherche des contacts exposés au SARS-CoV-2. L’ECDC n’accède à ces données que pour assurer le bon fonctionnement de la plateforme d’échange de formulaires de localisation des passagers.

6. Les autorités compétentes du SAPR ne conservent ni les données des formulaires de localisation des passagers ni les données épidémiologiques reçues au moyen de la plateforme d’échange de formulaires de localisation des passagers au-delà de la période de conservation applicable dans le contexte de leurs activités nationales de recherche des contacts exposés au SARS-CoV-2.

7. La Commission coopère avec l’ECDC pour mener à bien les tâches qui lui ont été assignées dans le cadre de la présente décision, en particulier en ce qui concerne les mesures techniques et organisationnelles relatives au déploiement, à la mise en œuvre, à l’utilisation, à la maintenance et à l’évolution future de la plateforme d’échange de formulaires de localisation des passagers.

8. Le traitement des données à caractère personnel effectué au moyen de la plateforme d’échange de formulaires de localisation des passagers à la seule fin de la recherche de contacts exposés au SARS-CoV-2 se poursuit jusqu’au 31 mai 2022 ou jusqu’à ce que le directeur général de l’Organisation mondiale de la santé déclare, conformément au règlement sanitaire international, que l’urgence de santé publique de portée internationale causée par le SARS-CoV-2 a pris fin, la date la plus proche étant retenue.

Article 2 ter

Données à échanger

1. Lorsqu’elles notifient une alerte sur la plateforme d’échange de formulaires de localisation des passagers, les autorités compétentes du SAPR de l’État membre dans lequel le passager infecté a été détecté transmettent les données des formulaires de localisation des passagers suivantes aux autorités compétentes du SAPR de l’État membre de départ initial du passager infecté ou aux autorités compétentes du SAPR de l’État membre de sa résidence si le lieu de résidence diffère du lieu de départ initial:

a)	le prénom:

le nom;

c)	la date de naissance;

d)	le numéro de téléphone (fixe et/ou mobile);

e)	l’adresse électronique;

f)	l’adresse de résidence.

2. Les autorités compétentes du SAPR de l’État membre de départ initial du passager infecté peuvent transmettre les données des formulaires de localisation des passagers reçues à un État membre de départ autre que l’État membre de départ initial déclaré dans le formulaire lorsqu’elles disposent d’informations supplémentaires indiquant quel État membre devrait effectuer la recherche des contacts.

3. Lorsqu’elles notifient une alerte sur la plateforme d’échange de formulaires de localisation des passagers, les autorités compétentes du SAPR de l’État membre dans lequel le passager infecté a été détecté transmettent les données des formulaires de localisation des passagers suivantes, relatives à chaque étape du voyage du passager, aux autorités compétentes du SAPR de tous les États membres:

a)	le lieu de départ de chaque transport concerné;

b)	le lieu d’arrivée de chaque transport concerné;

c)	la date de départ de chaque transport concerné;

d)	le moyen de transport de chaque transport concerné (par exemple avion, train, car, traversier, navire);

e)	le numéro d’identification de chaque transport concerné (par exemple, le numéro de vol, le numéro de train, la plaque d’immatriculation du car, le nom du traversier ou du navire);

f)	le numéro de siège/de cabine dans chaque transport concerné;

g)	s’il y a lieu, l’heure de départ de chaque transport concerné.

4. Lorsque les autorités compétentes du SAPR de l’État membre notifiant l’alerte sont en mesure de déterminer quels sont les États membres concernés sur la base des informations en leur possession, elles transmettent les données énumérées au paragraphe 3 aux autorités compétentes du SAPR de ces États membres uniquement.

5. Les autorités compétentes du SAPR sont en mesure de fournir les données épidémiologiques suivantes, lorsque cela est nécessaire pour réaliser la recherche des contacts de manière efficace:

a)	le type de test effectué;

b)	le variant du virus SARS-CoV-2;

c)	la date de l’échantillonnage;

d)	la date de l’apparition des symptômes.

Article 2 quater

Responsabilités des autorités compétentes du SAPR et de l’ECDC dans le traitement des données des formulaires de localisation des passagers

1. Les autorités compétentes du SAPR échangeant des données issues des formulaires de localisation des passagers et les données visées à l’article 2 ter, paragraphe 5, sont responsables conjointes de la saisie et de la transmission, jusqu’à réception de ces données, au moyen de la plateforme d’échange de formulaires de localisation des passagers. Les responsabilités respectives des responsables conjoints du traitement sont réparties conformément à l’annexe II. Tout État membre qui souhaite participer à l’échange transfrontière de données des formulaires de localisation des passagers au moyen de la plateforme en informe l’ECDC avant de se joindre à cette initiative et indique l’autorité compétente du SAPR qui a été désignée comme responsable du traitement.

2. L’ECDC est le sous-traitant des données échangées au moyen de la plateforme d’échange de formulaires de localisation des passagers. Il fournit ladite plateforme, veille à la sécurité du traitement (y compris de la transmission) des données qui y sont échangées et s’acquitte des obligations incombant aux sous-traitants énoncées à l’annexe III.

3. L’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement des données des formulaires de localisation des passagers échangées au moyen de la plateforme d’échange de formulaires de localisation des passagers est régulièrement testée, analysée et évaluée par l’ECDC et les autorités compétentes du SAPR autorisées à accéder à cette plateforme.

4. L’ECDC engage la Commission comme sous-traitant ultérieur et veille à ce que les mêmes obligations en matière de protection des données que celles énoncées dans la présente décision s’appliquent à la Commission.».

3)	À l’article 3, paragraphe 3, les termes «en annexe» sont remplacés par les termes «à l’annexe IV».

4)	Dans l’annexe, le titre «ANNEXE» est remplacé par «ANNEXE IV».

5)	Les annexes I, II et III sont insérées conformément à l’annexe de la présente décision.

Article 2

La présente décision entre en vigueur le troisième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Elle est applicable à partir du 1er juin 2021.

Fait à Bruxelles, le 27 mai 2021.

Par la Commission

La présidente

Ursula VON DER LEYEN

(1) JO L 293 du 5.11.2013, p. 1.

(2) JO L 337 du 14.10.2020, p. 3.

(3) Règlement (CE) no 851/2004 du Parlement européen et du Conseil du 21 avril 2004 instituant un Centre européen de prévention et de contrôle des maladies (JO L 142 du 30.4.2004, p. 1).

(4) L’action conjointe en matière de préparation et d’action aux points d’entrée (ports, aéroports et postes-frontières) «HEALTHY GATEWAYS» réunit 28 pays européens et a bénéficié d’un financement du troisième programme d’action de l’Union dans le domaine de la santé (2014-2020).

(5) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4.5.2016, p. 1).

(6) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

ANNEXE

«ANNEXE I

ENSEMBLE MINIMAL DE DONNÉES À RECUEILLIR AU MOYEN DES FORMULAIRES NATIONAUX DE LOCALISATION DES PASSAGERS

Les formulaires de localisation des passagers contiennent au minimum les données suivantes:

1)	le prénom;

le nom;

3)	la date de naissance;

4)	le numéro de téléphone (fixe et/ou mobile);

5)	l’adresse électronique;

6)	l’adresse de résidence;

7)	la destination finale ou la dernière escale dans l’UE de l’ensemble du trajet;

les informations suivantes pour chaque étape du trajet vers l’État membre imposant le remplissage d’un formulaire de localisation des passagers:

a)	le lieu de départ;

b)	le lieu d’arrivée;

c)	la date de départ;

d)	le type de moyen de transport (par exemple avion, train, car, traversier, navire);

e)	l’heure de départ;

f)	le numéro d’identification du transport (par exemple, le numéro de vol, le numéro de train, la plaque d’immatriculation du car, le nom du traversier ou du navire);

g)	le numéro de siège/de cabine.

ANNEXE II

RESPONSABILITÉS DES ÉTATS MEMBRES PARTICIPANTS EN TANT QUE RESPONSABLES CONJOINTS DU TRAITEMENT DANS LE CADRE DE LA PLATEFORME D’ÉCHANGE DE FORMULAIRES DE LOCALISATION DES PASSAGERS

SECTION 1

Répartition des responsabilités

Chaque autorité compétente du SAPR veille à ce que le traitement des données des formulaires de localisation des passagers et des données épidémiologiques supplémentaires échangées au moyen de la plateforme d’échange de formulaires de localisation des passagers soit conforme au règlement (UE) 2016/679 du Parlement européen et du Conseil (*). Elle s’assure notamment que les données qu’elle saisit et transmet au moyen de la plateforme sont exactes et limitées aux données prévues à l’article 2 ter de la présente décision.

Chaque autorité compétente du SAPR reste l’unique responsable de la collecte, de l’utilisation, de la divulgation et de tout autre traitement des données des formulaires de localisation des passagers et des données épidémiologiques supplémentaires ayant lieu hors du cadre de la plateforme. Chacune d’entre elles veille à ce que la transmission des données soit effectuée dans le respect des spécifications techniques prévues pour la plateforme d’échange de formulaires de localisation des passagers.

Les instructions à l’intention du sous-traitant sont envoyées par le point de contact de l’un des responsables conjoints du traitement, en accord avec les autres responsables conjoints du traitement.

Seules les personnes ayant reçu l’autorisation des autorités compétentes du SAPR peuvent accéder aux données des formulaires de localisation des passagers et aux données épidémiologiques supplémentaires échangées au moyen de la plateforme.

Chaque autorité compétente du SAPR met en place un point de contact doté d’une boîte fonctionnelle qui servira à la communication entre les responsables conjoints du traitement ainsi qu’entre ces derniers et le sous-traitant. Le processus décisionnel des responsables conjoints du traitement est régi par le groupe de travail du comité de sécurité sanitaire du SAPR.

Chaque autorité compétente du SAPR perd sa qualité de responsable conjointe du traitement à compter de la date de son renoncement à participer à la plateforme d’échange de formulaires de localisation des passagers. Elle reste néanmoins responsable de la collecte et de la transmission, au moyen de la plateforme, des données des formulaires de localisation des passagers et des données épidémiologiques supplémentaires datant d’avant son renoncement.

Chaque autorité compétente du SAPR tient un registre des activités de traitement effectuées sous sa responsabilité. La responsabilité conjointe peut être indiquée dans le registre.

SECTION 2

Responsabilités et rôles en matière de traitement des demandes et d’information des personnes concernées

Chaque autorité compétente du SAPR imposant le remplissage de formulaires de localisation des passagers informe les passagers transfrontières (ci-après les «personnes concernées») des circonstances de l’échange de leurs données de formulaires de localisation des passagers et de leurs données épidémiologiques effectué au moyen de la plateforme d’échange de formulaires de localisation des passagers à des fins de recherche des contacts, conformément aux articles 13 et 14 du règlement (UE) 2016/679.

Chaque autorité compétente du SAPR agit en tant que point de contact pour les personnes concernées et traite les demandes que celles-ci ou leurs représentants soumettent au sujet de leurs droits, conformément au règlement (UE) 2016/679. Chaque autorité compétente du SAPR désigne un point de contact spécifique pour les demandes reçues des personnes concernées. Si l’une d’entre elles reçoit une demande d’une personne concernée qui ne relève pas de sa responsabilité, elle la transmet rapidement à l’autorité compétente du SAPR responsable et en informe l’ECDC. Sur demande, les autorités compétentes du SAPR se prêtent mutuellement assistance pour le traitement des demandes des personnes concernées ayant trait à la responsabilité conjointe et se répondent dans les meilleurs délais, et au plus tard dans les 15 jours qui suivent la réception d’une demande d’assistance.

Chaque autorité compétente du SAPR porte à la connaissance des personnes concernées le contenu de la présente annexe, notamment les modalités prévues aux points 1) et 2).

SECTION 3

Gestion des incidents de sécurité, notamment des violations de données à caractère personnel

Les autorités compétentes du SAPR, en tant que responsables conjointes du traitement, se prêtent mutuellement assistance pour la détection et la gestion de tout incident de sécurité, notamment des violations de données à caractère personnel, en lien avec le traitement de données des formulaires de localisation des passagers et de données épidémiologiques au moyen de la plateforme d’échange de formulaires de localisation des passagers.

En particulier, elles s’informent mutuellement et notifient l’ECDC des éléments suivants:

a)	tout risque potentiel ou avéré pour la disponibilité, la confidentialité et/ou l’intégrité des données des formulaires de localisation des passagers et des données épidémiologiques faisant l’objet d’un traitement dans le cadre de la plateforme d’échange de formulaires de localisation des passagers;

toute violation de données à caractère personnel, les conséquences probables de ladite violation et l’évaluation du risque pour les droits et libertés des personnes physiques ainsi que toute mesure prise visant à remédier à la violation de données à caractère personnel et à atténuer le risque pour les droits et libertés des personnes physiques;

c)	toute atteinte aux garanties techniques et/ou organisationnelles du processus de traitement dans le cadre de la plateforme d’échange de formulaires de localisation des passagers.

Les autorités compétentes du SAPR communiquent toute violation de données liée au processus de traitement dans le cadre de la plateforme d’échange de formulaires de localisation des passagers à l’ECDC, aux autorités de contrôle compétentes et, lorsqu’ils sont tenus de le faire, aux personnes concernées, conformément aux articles 33 et 34 du règlement (UE) 2016/679 ou à la suite d’une notification par l’ECDC.

Chaque autorité compétente du SAPR met en œuvre des mesures techniques et organisationnelles adéquates, destinées à:

a)	garantir et préserver la sécurité, l’intégrité et la confidentialité des données à caractère personnel traitées de manière conjointe;

b)	se prémunir contre le traitement, la perte, l’utilisation, la divulgation, l’acquisition non autorisés ou illégaux de toute donnée à caractère personnel en sa possession ou l’accès non autorisé ou illégal à ces données;

c)	garantir que les données à caractère personnel ne sont ni divulguées ni rendues accessibles à d’autres personnes que les destinataires ou les sous-traitants.

SECTION 4

Analyse d’impact relative à la protection des données

Si, afin de s’acquitter des obligations qui lui incombent en vertu des articles 35 et 36 du règlement (UE) 2016/679, un responsable du traitement a besoin de s’informer auprès d’un autre responsable du traitement, il adresse une demande spécifique à la boîte fonctionnelle visée à la section 1, point 5). L’autre responsable du traitement met tout en œuvre pour fournir les informations demandées.

ANNEXE III

RESPONSABILITÉS DE L’ECDC EN TANT QUE SOUS-TRAITANT DES DONNÉES DANS LE CADRE DE LA PLATEFORME D’ÉCHANGE DE FORMULAIRES DE LOCALISATION DES PASSAGERS

L’ECDC met en place et garantit une infrastructure de communication sécurisée et fiable qui assure l’interconnexion des autorités compétentes du SAPR des États membres participant à la plateforme d’échange de formulaires de localisation des passagers.

Le traitement de la plateforme d’échange de formulaires de localisation des passagers par l’ECDC comprend les éléments suivants:

a)	la définition de l’ensemble minimal d’exigences techniques permettant la connexion et la déconnexion sans heurts et sécurisées des bases de données nationales de formulaires de localisation des passagers;

b)	la garantie de l’interopérabilité sécurisée et automatisée des bases de données nationales de formulaires de localisation des passagers.

Afin de s’acquitter de ses obligations en tant que sous-traitant des données de la plateforme d’échange de formulaires de localisation des passagers, l’ECDC engage la Commission comme sous-traitant ultérieur et veille à ce que les mêmes obligations en matière de protection des données que celles énoncées dans la présente décision s’appliquent à la Commission.

L’ECDC peut autoriser la Commission à engager des tiers en tant que sous-traitants ultérieurs.

Si la Commission engage des sous-traitants ultérieurs, l’ECDC:

a)	veille à ce que les mêmes obligations en matière de protection des données que celles énoncées dans la présente décision s’appliquent à ces sous-traitants ultérieurs;

b)	informe les responsables du traitement de toute modification envisagée concernant l’ajout ou le remplacement d’autres sous-traitants ultérieurs, donnant ainsi aux responsables du traitement la possibilité de s’opposer à la majorité simple aux modifications de cette nature.

L’ECDC:

a)	met en place et garantit une infrastructure de communication sécurisée et fiable qui assure l’interconnexion des autorités compétentes du SAPR des États membres participant à la plateforme d’échange de formulaires de localisation des passagers;

ne traite les données des formulaires de localisation des passagers et les données épidémiologiques supplémentaires que sur instruction documentée des responsables du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union; le cas échéant, l’ECDC informe les responsables du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit la communication d’une telle information pour des motifs importants d’intérêt public;

c)	met en place un plan de sécurité, un plan de continuité des activités et un plan de reprise des activités;

d)	prend les mesures nécessaires pour préserver l’intégrité des données des formulaires de localisation des passagers et des données épidémiologiques supplémentaires traitées;

prend toutes les mesures de sécurité à la pointe de la technique nécessaires sur les plans organisationnel, physique et électronique pour maintenir la plateforme d’échange de formulaires de localisation des passagers; à cette fin, l’ECDC:

i)	désigne une entité responsable de la gestion de la sécurité au niveau de la plateforme, communique ses coordonnées aux responsables du traitement et veille à sa disponibilité pour répondre aux menaces pour la sécurité;

ii)	assume la responsabilité de la sécurité de la plateforme d’échange de formulaires de localisation des passagers;

iii)	veille à ce que toutes les personnes qui se voient accorder l’accès à la plateforme d’échange de formulaires de localisation des passagers soient soumises à une obligation contractuelle, professionnelle ou statutaire de confidentialité;

prend toutes les mesures de sécurité nécessaires pour éviter de compromettre le bon fonctionnement opérationnel de la plateforme d’échange de formulaires de localisation des passagers; à cette fin, l’ECDC met en place des procédures spécifiques relatives au fonctionnement de la plateforme et à la connexion à celle-ci à partir des serveurs d’arrière-plan. Il s’agit notamment:

i)	d’une procédure d’évaluation des risques, afin de détecter et d’estimer les menaces potentielles pour le système;

ii)

d’une procédure d’audit et de contrôle destinée:

1)	à vérifier la correspondance entre les mesures de sécurité mises en œuvre et la politique de sécurité applicable;

2)	à contrôler régulièrement l’intégrité des fichiers système, les paramètres de sécurité et les autorisations accordées;

3)	à détecter et à contrôler les atteintes à la sécurité et les intrusions;

4)	à appliquer des modifications afin de corriger les failles existantes en matière de sécurité;

à permettre, y compris à la demande des responsables du traitement, la réalisation d’audits indépendants, y compris des inspections, et d’examens des mesures de sécurité, et à y contribuer, sous réserve de conditions qui respectent le protocole no 7 du traité sur le fonctionnement de l’Union européenne sur les privilèges et immunités de l’Union européenne (2);

iii)

d’une modification de la procédure de contrôle afin de documenter et de mesurer l’incidence des modifications avant leur mise en œuvre et de tenir les responsables du traitement informés de toute modification susceptible d’affecter la communication avec leurs infrastructures et/ou la sécurité de celles-ci;

iv)	d’une procédure de maintenance et de réparation afin de préciser les règles et les conditions à respecter lors de la maintenance et/ou de la réparation des équipements;

d’une procédure relative aux incidents de sécurité afin de définir le système de signalement et d’escalade, d’informer sans délai les responsables du traitement afin qu’ils notifient les autorités nationales de contrôle de la protection des données de toute violation des données à caractère personnel et de définir une procédure disciplinaire pour traiter les atteintes à la sécurité;

prend des mesures de sécurité physiques et/ou électroniques à la pointe de la technique pour les installations hébergeant l’équipement de la plateforme d’échange de formulaires de localisation des passagers ainsi que pour les contrôles d’accès de sécurité et les contrôles d’accès aux données; à cette fin, l’ECDC:

i)	assure la sécurité physique afin de mettre en place des périmètres de sécurité distincts et de permettre la détection des atteintes;

ii)	contrôle l’accès aux installations et tient un registre des visiteurs à des fins de suivi;

iii)	veille à ce que les personnes extérieures auxquelles l’accès est accordé soient accompagnées par du personnel dûment autorisé;

iv)	veille à ce que des équipements ne puissent être ajoutés, remplacés ou retirés sans autorisation préalable des organismes compétents désignés;

v)	contrôle l’accès à la plateforme d’échange de formulaires de localisation des passagers depuis les systèmes nationaux de formulaires de localisation des passagers et l’accès depuis la plateforme vers ceux-ci;

vi)	veille à ce que les personnes qui accèdent à la plateforme d’échange de formulaires de localisation des passagers soient identifiées et authentifiées;

vii)	réexamine les droits d’autorisation liés à l’accès à la plateforme d’échange de formulaires de localisation des passagers en cas d’atteinte à la sécurité touchant cette infrastructure;

viii)

met en œuvre des mesures de sécurité d’ordre technique et organisationnel afin d’empêcher l’accès non autorisé aux données des formulaires de localisation des passagers et aux données épidémiologiques;

ix)	met en œuvre, en tant que de besoin, des mesures visant à empêcher tout accès non autorisé à la plateforme d’échange de formulaires de localisation des passagers depuis le domaine des autorités nationales (par exemple: blocage d’une localisation/d’une adresse IP);

h)	prend des mesures pour protéger son domaine, y compris la rupture des connexions, en cas d’écart important par rapport aux principes et concepts de qualité ou de sécurité;

i)	maintient un plan de gestion des risques lié à son domaine de compétence;

j)	surveille – en temps réel – la performance de tous les éléments de service de la plateforme d’échange de formulaires de localisation des passagers, produit des statistiques régulières et tient des registres;

k)	veille à ce que le service soit disponible 24 heures sur 24 et 7 jours sur 7, avec un temps d’arrêt acceptable à des fins de maintenance;

fournit un soutien à tous les services de la plateforme d’échange de formulaires de localisation des passagers en anglais, par téléphone, courrier ou portail web, et accepte les appels émanant d’appelants autorisés: les coordonnateurs de la plateforme et leurs services d’assistance respectifs, les responsables de projets et les personnes désignées de l’ECDC;

m)	aide les responsables du traitement au moyen de mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s’acquitter de l’obligation qui leur incombe de répondre aux demandes d’exercice des droits de la personne concernée prévus au chapitre III du règlement (UE) 2016/679;

n)	soutient les responsables du traitement en fournissant des informations sur la plateforme d’échange de formulaires de localisation des passagers, dans le but de mettre en application les obligations énoncées aux articles 32, 35 et 36 du règlement (UE) 2016/679;

veille à ce que les données des formulaires de localisation des passagers et les données épidémiologiques transmises au moyen de la plateforme d’échange de formulaires de localisation des passagers soient inintelligibles pour toute personne non autorisée à y accéder, notamment en appliquant un cryptage renforcé;

p)	prend toutes les mesures appropriées pour empêcher que les opérateurs de la plateforme d’échange de formulaires de localisation des passagers disposent d’un accès non autorisé aux données de formulaires de localisation des passagers et aux données épidémiologiques transmises;

q)	prend des mesures pour faciliter l’interopérabilité et la communication entre les responsables du traitement désignés de la plateforme d’échange de formulaires de localisation des passagers;

r)	tient un registre des activités de traitement effectuées pour le compte des responsables du traitement conformément à l’article 31, paragraphe 2, du règlement (UE) 2018/1725 du Parlement européen et du Conseil.

(*) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4.5.2016, p. 1).