|
28.10.2019 |
FR |
Journal officiel de l’Union européenne |
L 274/3 |
RÈGLEMENT D’EXÉCUTION (UE) 2019/1799 DE LA COMMISSION
du 22 octobre 2019
établissant des spécifications techniques pour les systèmes particuliers de collecte en ligne conformément au règlement (UE) 2019/788 du Parlement européen et du Conseil relatif à l’initiative citoyenne européenne
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2019/788 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’initiative citoyenne européenne (1), et notamment son article 11, paragraphe 5,
considérant ce qui suit:
|
(1) |
Le règlement (UE) 2019/788 établit des règles révisées relatives à l’initiative citoyenne européenne et abroge le règlement (UE) no 211/2011 du Parlement européen et du Conseil (2). |
|
(2) |
Le règlement (UE) 2019/788 dispose que les organisateurs doivent utiliser le système central de collecte en ligne mis en place et exploité par la Commission pour collecter les déclarations de soutien en ligne en faveur des initiatives citoyennes enregistrées. Toutefois, afin de faciliter la transition, les organisateurs peuvent choisir d’utiliser leur propre système particulier de collecte en ligne pour les initiatives enregistrées conformément au règlement (UE) 2019/788 avant la fin de 2022. |
|
(3) |
En vertu du règlement (UE) 2019/788, les systèmes particuliers utilisés pour la collecte en ligne des déclarations de soutien devraient être dotés de dispositifs techniques et de sécurité adéquats afin de garantir que les données sont collectées, stockées et transférées d’une manière sécurisée tout au long de la procédure de collecte. La Commission devrait définir, en coopération avec les États membres, des spécifications techniques pour l’application des exigences relatives aux systèmes particuliers de collecte en ligne. |
|
(4) |
Les règles prévues par le présent règlement remplacent celles établies dans le règlement d’exécution (UE) no 1179/2011 (3), qui deviendront donc obsolètes. |
|
(5) |
Les mesures techniques et organisationnelles à mettre en œuvre devraient viser à empêcher, tant au moment de la conception du système que tout au long de la période de collecte, tout traitement non autorisé de données à caractère personnel et à les protéger contre les risques de destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés. |
|
(6) |
À cet effet, les organisateurs devraient mettre en place des procédures appropriées de gestion des risques afin de recenser les risques qui pèsent sur leurs systèmes et de déterminer des contre-mesures adaptées et proportionnelles pour limiter ces risques à des niveaux acceptables. Il convient que les organisateurs documentent de manière appropriée les risques recensés en matière de sécurité et de protection des données ainsi que les mesures prises pour faire face à ces risques, compte tenu des règles et exigences de sécurité appliquées par l’autorité de certification. Les règles et exigences de sécurité devraient être conformes au règlement (UE) 2019/788 et être mises à disposition sur demande par l’autorité de certification. |
|
(7) |
La mise en œuvre des spécifications techniques énoncées dans le présent règlement devrait être effectuée sans préjudice de l’obligation faite aux organisateurs de respecter les exigences en matière de protection des données qui découlent du règlement (UE) 2016/679 du Parlement européen et du Conseil (4), y compris l’éventuelle nécessité de réaliser une analyse d’impact relative à la protection des données. |
|
(8) |
Le représentant d’un groupe d’organisateurs ou, le cas échéant, l’entité juridique visée à l’article 5, paragraphe 7, dudit règlement est le responsable du traitement des données au sens du règlement (UE) 2016/679, en ce qui concerne le traitement des données à caractère personnel dans un système particulier de collecte en ligne. |
|
(9) |
Les organisateurs qui modifient leur système particulier de collecte en ligne après sa certification doivent en informer sans délai injustifié l’autorité de certification concernée si cette modification est susceptible d’avoir une incidence sur l’évaluation qui sous-tend la certification. Les organisateurs peuvent avant cela demander l’avis de l’autorité de certification pour vérifier si la modification envisagée est susceptible d’avoir une telle incidence et devrait donc être notifiée. |
|
(10) |
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42 du règlement (UE) 2018/1725 du Parlement européen et du Conseil (5) et a formulé des observations le 16 septembre 2019. L’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information a été consultée et a formulé des observations le 18 juillet 2019. |
|
(11) |
Les mesures prévues par le présent règlement sont conformes à l’avis du comité établi par l’article 22 du règlement (UE) 2019/788, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Les spécifications techniques visées à l’article 11, paragraphe 5, du règlement (UE) 2019/788 figurent dans l’annexe du présent règlement.
Article 2
1. Les organisateurs veillent à ce que leur système particulier de collecte en ligne soit conforme aux spécifications techniques figurant en annexe tout au long de la période de collecte.
2. Les organisateurs notifient sans délai injustifié à l’autorité compétente de l’État membre visée à l’article 11, paragraphe 3, du règlement (UE) 2019/788 les modifications apportées au système ou aux mesures organisationnelles de soutien après que cette autorité a certifié le système si ces mesures sont susceptibles d’avoir une incidence sur l’évaluation qui sous-tend la certification. Les organisateurs peuvent avant cela demander l’avis de l’autorité de certification pour vérifier si la modification envisagée est susceptible d’avoir une telle incidence.
Article 3
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable à partir du 1er janvier 2020.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 22 octobre 2019.
Par la Commission
Le président
Jean-Claude JUNCKER
(1) JO L 130 du 17.5.2019, p. 55.
(2) Règlement (UE) no 211/2011 du Parlement européen et du Conseil du 16 février 2011 relatif à l’initiative citoyenne (JO L 65 du 11.3.2011, p. 1).
(3) Règlement d’exécution (UE) no 1179/2011 de la Commission du 17 novembre 2011 établissant des spécifications techniques pour les systèmes de collecte en ligne conformément au règlement (UE) no 211/2011 du Parlement européen et du Conseil relatif à l’initiative citoyenne (JO L 301 du 18.11.2011, p. 3).
(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(5) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
ANNEXE
1. Spécifications techniques visant à mettre en œuvre l’article 11, paragraphe 4, point a), du règlement (UE) 2019/788
Le système met en œuvre des mesures techniques pour garantir que seules des personnes physiques peuvent soumettre une déclaration de soutien. Les mesures techniques n’exigent pas la collecte et le stockage de données à caractère personnel autres que celles qui sont énumérées à l’annexe III du règlement (UE) 2019/788.
2. Spécifications techniques visant à mettre en œuvre l’article 11, paragraphe 4, point b), du règlement (UE) 2019/788
Les organisateurs mettent en place des mesures techniques et organisationnelles adaptées et efficaces pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs opérations pour garantir que les informations fournies sur l’initiative dans le système de collecte en ligne et telles qu’elles sont présentées en ligne au public correspondent aux informations publiées sur l’initiative dans le registre visé à l’article 6, paragraphe 5, du règlement (UE) 2019/788.
Les organisateurs veillent à ce que:
|
a) |
les informations fournies sur l’initiative dans le système de collecte en ligne correspondent aux informations publiées dans le registre; |
|
b) |
le système présente les informations relatives à l’initiative publiées dans le registre avant que le citoyen n’envoie une déclaration de soutien; |
|
c) |
des mesures de sécurité soient mises en place pour garantir que les champs de saisie des données dans les déclarations de soutien soient présentées avec les informations relatives à l’initiative pour éviter que les déclarations de soutien ne soient envoyées pour une initiative différente du fait d’une présentation erronée de l’initiative; |
|
d) |
le système garantisse que les données figurant dans les déclarations de soutien envoyées soient sauvegardées avec les informations relatives à l’initiative; |
|
e) |
des mesures de sécurité soient mises en place pour empêcher que des modifications non autorisées puissent être apportées aux informations fournies sur l’initiative dans le système de collecte en ligne. |
3. Spécifications techniques visant à mettre en œuvre l’article 11, paragraphe 4, point c), du règlement (UE) 2019/788
Le système garantit que les déclarations de soutien sont soumises conformément aux champs de données figurant à l’annexe III du règlement (UE) 2019/788.
Le système garantit qu’une personne ne peut envoyer une déclaration de soutien qu’après avoir confirmé qu’elle a pris connaissance de la déclaration de confidentialité figurant dans l’annexe III du règlement (UE) 2019/788.
4. Spécifications techniques visant à mettre en œuvre l’article 11, paragraphe 4, point d), du règlement (UE) 2019/788
4.1. Gouvernance
|
4.1.1. |
Le groupe d’organisateurs désigne un responsable de la sécurité qui sera chargé de la sécurité du système et de la transmission sécurisée des déclarations de soutien collectées à l’autorité compétente de l’État membre responsable. Le responsable de la sécurité contrôle les processus d’assurance de l’information ainsi que les mesures de sécurité techniques et organisationnelles pour garantir la collecte, le stockage et la transmission sécurisés des données fournies par les signataires. |
|
4.1.2. |
Les organisateurs peuvent demander à l’autorité nationale compétente visée à l’article 11, paragraphe 3, du règlement (UE) 2019/788, de prévoir les règles et exigences de sécurité applicables pour la certification des systèmes particuliers de collecte en ligne. L’autorité compétente fournit les règles et exigences de sécurité en principe dans un délai d’un mois après réception de la demande. Les règles et exigences de sécurité applicables sont conformes aux normes de sécurité nationales ou internationales existantes. |
|
4.1.3. |
Les règles et exigences de sécurité pour la certification du système portent sur les risques définis au point 4.2 et tiennent compte des spécifications figurant au point 4.3. |
4.2. Assurance de l’information
|
4.2.1. |
Les organisateurs utilisent des procédures de gestion des risques pour recenser les risques inhérents à l’utilisation de leurs systèmes, y compris pour les droits et libertés des signataires, et pour déterminer les mesures appropriées et proportionnées permettant de prévenir et d’atténuer l’impact des incidents portant atteinte à la sécurité du réseau et des systèmes d’information qu’ils utilisent dans le cadre de leurs opérations.
Le processus de gestion des risques se concentre particulièrement sur les risques liés à la confidentialité et à l’intégrité des informations contenues dans le système. Ces risques peuvent résulter de menaces, notamment:
|
|
4.2.2. |
Les organisateurs fournissent des documents attestant qu’ils:
|
|
4.2.3. |
Les mesures visant à prévenir et à atténuer l’impact des incidents affectant la sécurité des systèmes portent sur les domaines suivants:
L’application de ces mesures de sécurité peut être limitée aux parties de l’organisation qui sont pertinentes pour le système de collecte en ligne. Par exemple, la sécurité des ressources humaines peut être limitée à toute personne ayant un accès physique ou logique au système de collecte en ligne, et la sécurité physique/environnementale peut être limitée au(x) bâtiment(s) hébergeant le système. |
|
4.2.4. |
Lorsqu’ils utilisent un processeur pour le développement ou le déploiement des systèmes de collecte en ligne ou de parties de ceux-ci, les organisateurs fournissent les documents permettant à l’autorité de certification de vérifier que les contrôles de sécurité nécessaires sont en place. |
4.3. Cryptage des données
Pour le cryptage des données, le système prévoit ce qui suit:
|
a) |
les données à caractère personnel sous format électronique sont cryptées au moment où elles sont stockées ou transférées aux autorités compétentes des États membres conformément au règlement (UE) 2019/788, les clés étant gérées et sauvegardées séparément; |
|
b) |
des algorithmes standard et des clés appropriés sont utilisés conformément aux normes internationales (comme la norme ETSI). Une gestion des clés est en place; |
|
c) |
l’ensemble des clés et des mots de passe est protégé contre les accès non autorisés. |