Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document

concernant l'accès en consultation au système d'information sur les visas (VIS) par les autorités désignées des États membres et par l'Office européen de police (Europol) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière

La présente décision fixe les conditions dans lesquelles les autorités désignées des États membres et l'Office européen de police (Europol) peuvent avoir accès en consultation au système d'information sur les visas (VIS), aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière.

a) «système d'information sur les visas (VIS)»: le système d'information sur les visas institué par la décision 2004/512/CE;

b) «Europol»: l'Office européen de police institué par la convention du 26 juillet 1995 portant création d'un Office européen de police (la «convention Europol»);

c) «infractions terroristes»: les infractions définies par le droit national qui correspondent ou sont équivalentes aux infractions visées aux articles 1er à 4 de la décision-cadre 2002/475/JAI du Conseil du 13 juin 2002 relative à la lutte contre le terrorisme ( 1 );

d) «infractions pénales graves»: les formes de criminalité qui correspondent ou sont équivalentes à celles visées à l'article 2, paragraphe 2, de la décision-cadre 2002/584/JAI;

e) «autorités désignées»: les autorités qui sont chargées de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi que des enquêtes en la matière, et qui sont désignées par les États membres en vertu de l'article 3.

1. Les États membres désignent les autorités visées à l'article 2, paragraphe 1, point e), qui sont autorisées à consulter les données du VIS en vertu de la présente décision.

2. Chaque État membre tient une liste des autorités désignées. Au plus tard le 2 décembre 2008, chaque État membre communique la liste de ses autorités désignées dans une déclaration adressée à la Commission et au secrétariat général du Conseil et peut à tout moment modifier ou remplacer sa déclaration par une autre.

3. Chaque État membre désigne le ou les points d'accès centraux par lesquels l'accès s'effectue. Les États membres peuvent désigner plus d'un point d'accès central afin de tenir compte de leur structure organisationnelle et administrative et de s'acquitter de leurs obligations constitutionnelles ou légales. Au plus tard le 2 décembre 2008, chaque État membre notifie son ou ses points d'accès centraux dans une déclaration adressée à la Commission et au secrétariat général du Conseil et peut à tout moment modifier ou remplacer sa déclaration par une autre.

4. La Commission publie les déclarations visées aux paragraphes 2 et 3 au Journal officiel de l'Union européenne.

5. Au niveau national, chaque État membre tient une liste des unités opérationnelles qui, au sein des autorités désignées, sont autorisées à avoir accès au VIS par l'intermédiaire du ou des points d'accès centraux.

6. Seul le personnel dûment habilité des unités opérationnelles, ainsi que du ou des points d'accès centraux, sont autorisés à avoir accès au VIS conformément à l'article 4.

1. Lorsque les conditions énoncées à l'article 5 sont remplies, les unités opérationnelles visées à l'article 3, paragraphe 5, présentent au ou aux points d'accès centraux visés à l'article 3, paragraphe 3, par écrit ou par voie électronique, une demande d'accès au VIS, qui est motivée. Lorsqu'ils reçoivent une demande d'accès, le ou les points d'accès centraux vérifient que les conditions d'accès visées à l'article 5 sont remplies. Si toutes les conditions d'accès sont remplies, le personnel dûment habilité du ou des points d'accès centraux traite la demande. Les données du VIS consultées sont communiquées aux unités opérationnelles visées à l'article 3, paragraphe 5, de telle sorte que la sécurité des données n'est pas compromise.

2. En cas d'urgence exceptionnelle, le ou les points d'accès centraux peuvent recevoir des demandes présentées par voie écrite, électronique ou orale. Dans ce cas, ils traitent immédiatement la demande et ne vérifient qu'ultérieurement si toutes les conditions énoncées à l'article 5 sont remplies, y compris s'il y a eu urgence exceptionnelle. Cette vérification ex post a lieu dans un délai raisonnable après le traitement de la demande.

Conditions d'accès aux données du VIS par les autorités désignées des États membres

1. L'accès au VIS en consultation est accordé aux autorités désignées, dans la limite de leurs pouvoirs et si les conditions suivantes sont réunies:

a) l'accès en consultation doit être nécessaire à la prévention, à la détection d'infractions terroristes ou d'autres infractions pénales graves, ou aux enquêtes en la matière;

b) un cas spécifique doit rendre l'accès en consultation nécessaire;

c) s'il existe des motifs raisonnables de considérer que la consultation des données du VIS contribuera de manière significative à la prévention ou à la détection des infractions en question, ou aux enquêtes en la matière.

1 bis. Dans les cas où les autorités désignées ont interrogé le répertoire commun de données d'identité (CIR) conformément à l'article 22 du règlement (UE) 2019/817 du Parlement européen et du Conseil ( 2 ), et lorsque les conditions d'accès fixées au présent article sont remplies, elles peuvent avoir accès en consultation au VIS lorsque la réponse reçue conformément à l'article 22, paragraphe 2, dudit règlement révèle que des données sont stockées dans le VIS.

2. La consultation du VIS est limitée aux recherches à l'aide de l'une des données suivantes du VIS mentionnées dans le dossier de demande de visa:

a) nom, nom à la naissance [nom(s) antérieur(s)]; prénom(s); sexe; date, lieu et pays de naissance;

b) nationalité actuelle et nationalité à la naissance;

c) type et numéro du document de voyage, autorité l'ayant délivré et dates de délivrance et d'expiration;

d) destination principale et durée du séjour prévu;

g) première frontière d'entrée prévue ou itinéraire de transit;

k) coordonnées de la personne adressant l'invitation et/ou susceptible de prendre en charge les frais de subsistance du demandeur durant le séjour.

3. La consultation du VIS, en cas de réponse positive, donne accès à l'ensemble des données énumérées au paragraphe 2 ainsi que:

a) aux autres données extraites du formulaire de demande;

c) aux données saisies concernant tout visa délivré, refusé, annulé, retiré ou prorogé.

Conditions d'accès aux données du VIS par les autorités désignées d'un État membre à l'égard duquel le règlement (CE) no 767/2008 n'est pas encore entré en vigueur

1. L'accès au VIS en consultation est accordé aux autorités désignées d'un État membre à l'égard duquel le règlement (CE) no 767/2008 n'est pas encore entré en vigueur, dans les limites de leurs pouvoirs, et:

a) dans des conditions identiques à celles visées à l'article 5, paragraphe 1; et

b) sur demande dûment motivée, adressée par écrit ou par voie électronique à une autorité désignée d'un État membre auquel le règlement (CE) no 767/2008 est applicable; cette autorité demande ensuite au ou aux points d'accès centraux nationaux de consulter le VIS.

2. Un État membre à l'égard duquel le règlement (CE) no 767/2008 n'est pas encore entré en vigueur communique ses informations en matière de visas aux États membres auxquels le règlement (CE) no 767/2008 est applicable sur demande effectuée par écrit ou par voie électronique, dûment motivée, si les conditions énoncées à l'article 5, paragraphe 1, sont remplies.

3. L'article 8, paragraphe 1 et paragraphes 3 à 6, l'article 9, paragraphe 1, l'article 10, paragraphes 1 et 3, l'article 12 et l'article 13, paragraphes 1 et 3, s'appliquent mutatis mutandis.

1. L'accès au VIS en consultation est accordé à Europol, dans les limites de sa mission:

a) lorsqu'il est nécessaire à l'exécution de ses fonctions, prévues à l'article 3, paragraphe 1, point 2), de la convention Europol et aux fins des travaux spécifiques d'analyse visés à l'article 10 de ladite convention;

b) lorsqu'il est nécessaire à l'exécution de ses fonctions, prévues à l'article 3, paragraphe 1, point 2), de la convention Europol et à la réalisation d'une analyse de caractère général et de type stratégique, telle que prévue à l'article 10 de la convention Europol, à condition que les données du VIS soient rendues anonymes par Europol avant ce traitement et conservées sous une forme ne permettant plus d'identifier la personne concernée.

1 bis. Dans les cas où Europol a interrogé le CIR conformément à l'article 22 du règlement (UE) 2019/817, et lorsque les conditions d'accès fixées au présent article sont remplies, Europol peut avoir accès en consultation au VIS lorsque la réponse reçue conformément à l'article 22, paragraphe 2, dudit règlement révèle que des données sont stockées dans le VIS.

2. L'article 5, paragraphes 2 et 3, de la présente décision s'applique mutatis mutandis.

3. Aux fins de la présente décision, Europol désigne une unité spécialisée dont les agents dûment habilités constituent le point d'accès central chargé de consulter le VIS.

4. Le traitement des informations obtenues par Europol lors de la consultation du VIS est soumis à l'accord de l'État membre qui les a saisies dans le système. Cet accord est obtenu par l'intermédiaire de l'unité nationale Europol de cet État membre.

1. Le traitement des données à caractère personnel consultées en vertu de la présente décision est soumis aux règles ci-après et au droit national de l'État membre requérant. S'agissant de ce traitement, chaque État membre garantit dans son droit national un niveau de protection approprié des données correspondant au moins à celui résultant de la convention du Conseil de l'Europe du 28 janvier 1981 relative à la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, ainsi que, pour les États membres qui l'ont ratifié, du protocole additionnel du 8 novembre 2001, et tient compte de la recommandation no R (87) 15 du comité des ministres du Conseil de l'Europe visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police du 17 septembre 1987.

2. Le traitement de données à caractère personnel réalisé par Europol en vertu de la présente décision est conforme à la convention Europol et aux règles adoptées en application de celle-ci et contrôlé par l'autorité de contrôle commune indépendante instituée par l'article 24 de ladite convention.

3. Les données à caractère personnel obtenues du VIS en vertu de la présente décision sont traitées uniquement aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes et des poursuites en la matière.

4. Les données à caractère personnel obtenues du VIS en vertu de la présente décision ne sont pas transférées à des pays tiers ou à des organisations internationales ou mises à leur disposition. Toutefois, en cas d'urgence exceptionnelle, ces données peuvent être transférées à des pays tiers ou à des organisations internationales ou mises à leur disposition exclusivement aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves et dans les conditions visées à l'article 5, paragraphe 1, de la présente décision, sous réserve de l'accord de l'État membre qui a introduit les données dans le VIS et conformément au droit national de l'État membre qui transfère les données ou les met à disposition. Conformément à leur droit national, les États membres s'assurent que des relevés de ces transferts sont établis et les mettent, sur demande, à la disposition des autorités nationales chargées de la protection des données. Le transfert de données par l'État membre qui a saisi les données dans le VIS conformément au règlement (CE) no 767/2008 est soumis au droit national de cet État membre.

5. L'organe ou les organes compétents qui, conformément au droit national, sont responsables du contrôle du traitement des données à caractère personnel par les autorités désignées en vertu de la présente décision contrôlent la licéité du traitement des données à caractère personnel en application de la présente décision. Les États membres veillent à ce que ces organes disposent des ressources suffisantes pour s'acquitter des tâches qui leur sont confiées par la présente décision.

6. Les organes visés au paragraphe 5 veillent à ce que tous les quatre ans au moins un audit du traitement des données à caractère personnel soit effectué en application de la présente décision, le cas échéant conformément aux normes internationales d'audit.

7. Les États membres et Europol permettent à l'organe ou aux organes compétents visés aux paragraphes 2 et 5 d'obtenir les informations nécessaires à l'exécution des tâches qui leur sont confiées en application du présent article.

8. Avant d'être autorisé à traiter des données stockées dans le VIS, le personnel des autorités ayant un droit d'accès au VIS reçoit une formation appropriée sur les règles en matière de sécurité et de protection des données et est informé des infractions et des sanctions pénales éventuelles en la matière.

1. L'État membre responsable assure la sécurité des données pendant leur transmission aux autorités désignées et leur réception par celles-ci.

2. Chaque État membre adopte les mesures de sécurité nécessaires en ce qui concerne les données devant être extraites du VIS en vertu de la présente décision puis stockées, notamment pour:

a) assurer la protection physique des données, notamment en élaborant des plans d'urgence pour la protection des infrastructures critiques;

b) refuser l'accès des personnes non autorisées aux installations nationales dans lesquelles l'État membre stocke des données (contrôles à l'entrée de l'installation);

c) empêcher toute lecture, copie, modification ou tout effacement non autorisés de supports de données (contrôle des supports de données);

d) empêcher l'inspection, la modification ou l'effacement non autorisés de données à caractère personnel stockées (contrôle du stockage);

e) empêcher le traitement non autorisé de données du VIS (contrôle du traitement des données);

f) garantir que les personnes autorisées à accéder au VIS n'aient accès qu'aux données pour lesquelles elles ont une autorisation d'accès et uniquement grâce à des identités d'utilisateur individuelles et uniques ainsi qu'à des modes d'accès confidentiels (contrôle de l'accès aux données);

g) garantir que toutes les autorités ayant un droit d'accès au VIS créent des profils décrivant les tâches et responsabilités qui incombent aux personnes habilitées à accéder aux données et à les consulter et mettent sans tarder et à leur demande ces profils à la disposition des autorités de contrôle nationales visées à l'article 8, paragraphe 5 (profils des membres du personnel);

h) garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel peuvent être transmises par des installations de transmission de données (contrôle de la transmission);

i) garantir qu'il puisse être vérifié et constaté quelles données ont été extraites du VIS, à quel moment, par qui et à quelle fin (contrôle de l'enregistrement des données);

j) empêcher, en particulier par des techniques de cryptage adaptées, que des données à caractère personnel puissent être lues et copiées de façon non autorisée lors de leur transmission à partir du VIS (contrôle du transport);

k) contrôler l'efficacité des mesures de sécurité visées au présent paragraphe et prendre les mesures d'organisation en matière de contrôle interne qui sont nécessaires au respect de la présente décision (autocontrôle).

1. Toute personne ou tout État membre ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions de la présente décision a le droit d'obtenir réparation de l'État membre responsable du dommage subi. Cet État membre est exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait dommageable ne lui est pas imputable.

2. Si le non-respect, par un État membre, des obligations qui lui incombent en vertu de la présente décision entraîne un dommage pour le VIS, cet État membre en est tenu responsable, sauf si un autre État membre n'a pas pris de mesures raisonnables pour prévenir le dommage ou pour en atténuer les effets.

3. Les actions en réparation intentées contre un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par les dispositions du droit interne de l'État membre défendeur.

Les États membres veillent à ce que chaque autorité autorisée à avoir accès aux données du VIS prenne les mesures nécessaires pour se conformer à la présente décision et coopère, le cas échéant, avec l'organe de contrôle national ou les organes de contrôle nationaux visé(s) à l'article 8, paragraphe 5.

Les États membres prennent les mesures nécessaires pour que toute utilisation non conforme aux dispositions de la présente décision des données introduites dans le VIS soit passible de sanctions, y compris administratives et/ou pénales, qui soient effectives, proportionnées et dissuasives.

1. Les données extraites du VIS peuvent être conservées dans les fichiers nationaux uniquement si cela est nécessaire dans un cas individuel, que cela est conforme aux fins exposées dans la présente décision et aux dispositions juridiques pertinentes, y compris celles relatives à la protection des données, et pour une durée n'excédant pas la durée nécessaire dans le cas considéré.

2. Le paragraphe 1 n'affecte pas les dispositions du droit national des États membres relatives à l'introduction dans leurs fichiers nationaux, par les autorités désignées, de données que l'État membre a introduites dans le VIS conformément au règlement (CE) no 767/2008.

3. Toute utilisation de données non conforme aux paragraphes 1 et 2 est considérée comme une utilisation frauduleuse en vertu de la législation nationale de chaque État membre.

1. Le droit de toute personne d'accéder aux données la concernant obtenues du VIS en vertu de la présente décision s'exerce dans le respect du droit de l'État membre auprès duquel elle le fait valoir.

2. Si le droit national le prévoit, l'autorité de contrôle nationale décide si des informations doivent être communiquées et selon quelles modalités.

3. Un État membre autre que celui qui a introduit les données dans le VIS conformément au règlement (CE) no 767/2008 ne peut communiquer des informations concernant ces données que s'il donne préalablement à l'État membre ayant introduit les données la possibilité de prendre position.

4. La communication des informations à la personne concernée est refusée si cette non-communication est indispensable à l'exécution d'une tâche légale en liaison avec les données ou à la protection des droits et des libertés des tiers.

5. Toute personne a le droit de faire rectifier des données la concernant qui sont inexactes ou de faire effacer des données la concernant qui sont stockées illégalement. Si les autorités désignées reçoivent une demande dans ce sens ou si elles disposent d'éléments tendant à démontrer que les données traitées dans le VIS sont erronées, elles en informent immédiatement l'autorité chargée des visas de l'État membre qui a introduit les données dans le VIS, qui vérifie les données en question et, au besoin, les rectifie ou les efface sans délai, conformément à l'article 24 du règlement (CE) no 767/2008.

6. La personne concernée est informée dans les meilleurs délais, et en tout cas au plus tard soixante jours après la date à laquelle elle a demandé à y avoir accès, ou plus tôt si la législation nationale prévoit un délai plus court.

7. La personne concernée est informée du suivi donné à l'exercice de son droit de rectification et d'effacement dans les meilleurs délais, et en tout cas au plus tard trois mois après la date à laquelle elle a demandé la rectification ou l'effacement, ou plus tôt si la législation nationale prévoit un délai plus court.

8. Dans chaque État membre, toute personne a le droit de former un recours ou de déposer une plainte devant les autorités ou les juridictions compétentes de l'État membre qui lui a refusé le droit d'accès ou le droit de rectification ou d'effacement des données la concernant prévu au présent article.

Chaque État membre, de même qu'Europol, met en place et gère, à ses propres frais, l'infrastructure technique nécessaire à la mise en œuvre de la présente décision et prend en charge les coûts résultant de l'accès au VIS aux fins de la présente décision.

1. Chaque État membre et Europol veillent à ce que toutes les opérations de traitement des données résultant de la consultation du VIS en vertu de la présente décision soient enregistrées afin de pouvoir contrôler l'admissibilité de la consultation et la licéité du traitement des données, d'assurer un autocontrôle et le bon fonctionnement du système, ainsi que l'intégrité et la sécurité des données.

a) l'objet précis de l'accès en consultation visé à l'article 5, paragraphe 1, point a), y compris le type d'infraction terroriste ou autre infraction pénale grave concerné, et, pour Europol, l'objet précis de l'accès en consultation visé à l'article 7, paragraphe 1;

d) le cas échéant, la mention du recours à la procédure visée à l'article 4 bis, paragraphe 2;

e) les critères de recherche utilisés pour la consultation;

g) conformément aux dispositions nationales ou à celles de la convention Europol, la référence de l'agent qui a effectué la consultation et celle de l'agent qui a ordonné la consultation ou la transmission.

2. Les relevés contenant des données à caractère personnel ne sont utilisés que pour le contrôle de la licéité du traitement des données au regard de la protection des données, ainsi que pour garantir la sécurité des données. Seuls les relevés exempts de données à caractère personnel peuvent être utilisés aux fins du suivi et de l'évaluation mentionnés à l'article 17 de la présente décision.

3. Ces relevés sont protégés par des mesures appropriées contre tout accès non autorisé et tout abus et sont effacés un an après l'expiration de la durée de conservation visée à l'article 23, paragraphe 1, du règlement (CE) no 767/2008, sauf s'ils sont nécessaires dans le cadre d'une procédure de contrôle visée au paragraphe 2, lorsque celle-ci est déjà engagée.

1. L'instance gestionnaire visée dans le règlement (CE) no 767/2008 veille à ce que des systèmes soient mis en place pour contrôler le fonctionnement du VIS en application de la présente décision par rapport aux objectifs fixés en termes de résultats, de coût-efficacité, de sécurité et de qualité du service.

2. Aux fins de la maintenance technique, l'instance gestionnaire a accès aux informations nécessaires concernant les opérations de traitement effectuées dans le VIS.

3. Deux ans après le début de l'activité du VIS et ensuite tous les deux ans, l'instance gestionnaire soumet au Parlement européen, au Conseil et à la Commission un rapport sur le fonctionnement technique du VIS en application de la présente décision. Ce rapport comporte notamment des informations sur les performances du VIS par rapport à des indicateurs quantitatifs définis au préalable par la Commission, et en particulier sur la nécessité de l'article 4, paragraphe 2, et sur le recours à celui-ci.

4. Trois ans après le début de l'activité du VIS et ensuite tous les quatre ans, la Commission soumet un rapport d'évaluation global du VIS en application de la présente décision. Ce rapport comprend notamment un examen des résultats obtenus par rapport aux objectifs fixés, détermine si les principes de base qui sous-tendent la présente décision restent valables et évalue la mise en œuvre de la présente décision par rapport au VIS, la sécurité du VIS, et en tire toutes les conséquences pour le fonctionnement futur. La Commission transmet les rapports d'évaluation au Parlement européen et au Conseil.

5. Les États membres et Europol communiquent à l'instance gestionnaire et à la Commission les informations nécessaires pour établir les rapports visés aux paragraphes 3 et 4. Ces informations ne peuvent jamais porter préjudice aux méthodes de travail ni fournir des indications sur les sources, les membres du personnel ou les enquêtes des autorités désignées.

6. L'instance gestionnaire fournit à la Commission les informations nécessaires pour élaborer les rapports d'évaluation visés au paragraphe 4.

7. Au cours de la période transitoire avant que l'instance gestionnaire n'assume ses responsabilités, la Commission est chargée d'élaborer et de présenter les rapports visés au paragraphe 3.

1. La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

2. La présente décision prend effet à compter de la date qui sera fixée par le Conseil lorsque la Commission l'aura informé que le règlement (CE) no 767/2008 est entré en vigueur et est pleinement applicable.

Le secrétariat général du Conseil publie cette date au Journal officiel de l'Union européenne.

( 1 ) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).

		Journal officiel
		n°	page	date
►M1	RÈGLEMENT (UE) 2019/817 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 20 mai 2019	L 135	27	22.5.2019