COMMISSION EUROPÉENNE

Bruxelles, le 29.6.2017

COM(2017) 344 final

2017/0144(COD)

Proposition de

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

portant création d’un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides, qui vise à compléter et à soutenir le système européen d’information sur les casiers judiciaires (système ECRIS-TCN), et modifiant le règlement (UE) n° 1077/2011

{SWD(2017) 248 final}

EXPOSÉ DES MOTIFS

1.CONTEXTE DE LA PROPOSITION

·Justification et objectifs de la proposition

Le Conseil européen et le Conseil «Justice et affaires intérieures» ont rappelé à plusieurs reprises l’importance d’améliorer l’ECRIS existant. L’amélioration de l’ECRIS existant en ce qui concerne les ressortissants de pays tiers fait partie d’un ensemble de mesures coordonnées exposées dans le programme européen en matière de sécurité 4 .

À cette fin, la Commission a présenté, le 19 janvier 2016, une proposition de directive [COM(2016) 7 final] visant à modifier la décision-cadre 2009/315/JAI du Conseil en ce qui concerne le système ECRIS et en ce qui concerne l’échange d’informations sur les ressortissants de pays tiers et les apatrides (RPT), et remplaçant la décision 2009/316/JAI du Conseil 5 . Toutefois, les développements survenus depuis lors ont démontré la nécessité d’une action complémentaire, sous la forme d’une proposition législative supplémentaire, pour mettre en place un système centralisé pour le traitement des éléments d’identification des RPT. Ce système centralisé permettra aux autorités de l’État membre d’identifier les autres États membres qui détiennent des informations relatives au casier judiciaire du RPT concerné, afin de pouvoir utiliser le système ECRIS existant pour n’adresser des demandes d’informations sur les condamnations qu’à ces États membres. Ces développements sont résumés ci-après.

Premièrement, à la suite des nouveaux attentats terroristes atroces perpétrés dans des villes européennes, les questions de sécurité ont encore gagné en importance. La position politique à l’égard de l’utilisation systématique des empreintes digitales à des fins d’identification fiable et, de manière générale, l’attitude à l’égard de l’échange et de la sécurité des données ont changé 6 , l’accent étant désormais mis sur l’efficacité et l’efficience, ainsi que sur la nécessité d’exploiter les synergies entre les différents systèmes d’échange d’informations européens. La création d’un système ECRIS-TCN centralisé contenant à la fois des empreintes digitales et d’autres éléments d’identification peut soutenir cette approche puisqu’elle permettrait de créer un service partagé de mise en correspondance de données biométriques et un répertoire commun de données d’identité pour l’interopérabilité des systèmes d’information, s’il en était décidé ainsi, à l’avenir, par les législateurs. Une solution décentralisée ne générerait pas les mêmes possibilités de synergies futures.

Deuxièmement, la communication intitulée «Des systèmes d’information plus robustes et plus intelligents au service des frontières et de la sécurité» 7 contient des suggestions concrètes et pratiques pour continuer à développer les outils existants, mais aussi des suggestions et idées concrètes sur de nouvelles formes d’interopérabilité. La Commission demande d’accroître l’efficience et l’interopérabilité des bases de données et des systèmes électroniques d’échange d’informations européens existants, notamment d’un système ECRIS-TCN. Les travaux de suivi de la communication ont été dirigés par le groupe d’experts de haut niveau sur l’interopérabilité 8 et le système ECRIS-TCN proposé ici est l’un des systèmes qui s’inscrit dans le cadre de cette initiative sur l’interopérabilité. Cette interopérabilité ne serait pas possible si une solution décentralisée, comme celle proposée en janvier 2016, avait été retenue.

Troisièmement, au cours de l’année 2016, il est apparu clairement que le système décentralisé proposé en janvier 2016 posait des problèmes techniques, notamment en ce qui concerne les échanges décentralisés d’empreintes digitales pseudonymisées. Ces problèmes techniques n’existent pas dans le cas d’un système centralisé, étant donné que les empreintes digitales ne seraient collectées que dans une seule base de données, sous la direction de l’agence eu-LISA et sous la surveillance du Contrôleur européen de la protection des données.

L’adoption d’un nouveau règlement ECRIS-TCN visant à mieux protéger la sécurité de nos citoyens est l’une des priorités législatives retenues dans la déclaration commune de la Commission, du Conseil et du Parlement européen sur les priorités législatives de l’UE pour l’année 2017, qui mentionne spécifiquement l’ECRIS.

·Cohérence avec les dispositions existantes dans le domaine d’action

·Cohérence avec les autres politiques de l’Union

·les systèmes puissent être interrogés simultanément en utilisant un portail de recherche européen, dans le plein respect des limitations de la finalité et des droits d’accès, afin de faire un meilleur usage des systèmes d’information existants, éventuellement à l’aide de règles simplifiées pour l’accès des services répressifs;

·les systèmes utilisent un service partagé de mise en correspondance de données biométriques permettant d’effectuer des recherches dans différents systèmes d’information contenant des données biométriques, éventuellement avec des indicateurs de concordance/non-concordance signalant le rapport avec des données biométriques connexes trouvées dans un autre système;

·les systèmes partagent un répertoire commun de données d’identité contenant des données d’identité alphanumériques, afin de détecter les enregistrements de personnes sous des identités multiples dans différentes bases de données.

2.BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ

·Base juridique

L’instrument juridique proposé est un règlement fondé sur l’article 82, paragraphe 1, point d), du traité sur le fonctionnement de l’Union européenne. L’article 82, paragraphe 1, point d), constitue la base juridique légitimant l’action de l’Union dans le domaine de la coopération judiciaire en matière pénale afin de faciliter la coopération entre les autorités judiciaires ou équivalentes des États membres dans le cadre des poursuites pénales et de l’exécution des décisions. L’action proposée s’inscrit clairement dans ce domaine et complète la législation de l’UE en vigueur en la matière.

·Subsidiarité (en cas de compétence non exclusive)

·Proportionnalité

·Choix de l’instrument

3.RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES PARTIES INTÉRESSÉES ET DES ANALYSES D’IMPACT

·Évaluations ex post/bilans de qualité de la législation existante

·Consultation des parties intéressées

Au cours de la même réunion d’experts, la Commission a également consulté les États membres sur les possibles répercussions des travaux du groupe d’experts de haut niveau sur les systèmes d’information et l’interopérabilité sur la législation en cours d’examen. Selon les États membres, il convient de mettre l’accent sur la création rapide du système ECRIS-TCN. Les autres concepts étaient certes intéressants - et le système devrait être conçu de manière à tenir compte des possibles futures interconnexions - mais les États membres ont confirmé que le seul élément qu’ils pourraient soutenir immédiatement serait le recours à un service partagé de mise en correspondance de données biométriques. En outre, les États membres ont indiqué que la possibilité de stocker des images faciales devrait être prévue dès le départ, de manière à ce qu’un logiciel de reconnaissance faciale puisse être déployé à un stade ultérieur afin de permettre une identification encore plus efficace.

·Obtention et utilisation d’expertise

Outre les études et données utilisées lors de l’élaboration de la proposition de 2016, une étude sur la faisabilité et l’évaluation du coût de l’utilisation des empreintes digitales 14 a été commandée en mars 2016. En outre, une étude complémentaire sur l’incidence sur les coûts d’une option centralisée prévoyant le recours aux empreintes digitales a permis d’évaluer de manière fiable le scénario choisi et de mener une réflexion sur l’utilisation potentielle du système partagé de mise en correspondance de données biométriques et sur l’évolution future du système centralisé en termes d’interopérabilité 15 .

·Analyse d’impact

·Droits fondamentaux

4.INCIDENCE BUDGÉTAIRE

L’enveloppe financière prévue pour la mise en œuvre du règlement est de 13 002 000 EUR pour l’Union européenne en ce qui concerne les coûts uniques. Elle est compatible avec l'actuel cadre financier pluriannuel et les coûts seront couverts par le programme «Justice» pour la période 2018-2020. À partir de 2021, les coûts seront réduits et stabilisés afin de couvrir les activités de maintenance. De plus amples détails figurent dans la fiche financière législative qui accompagne la présente proposition. La Commission envisage de confier la mise en œuvre et la maintenance du système ECRIS-TCN à l’agence eu-LISA. Des ressources humaines supplémentaires devront être octroyées à cette agence pour lui permettre de mener à bien ses activités. Cinq agents contractuels seront recrutés à partir de 2018 pour la phase de développement.

5.AUTRES ÉLÉMENTS

·Plans de mise en œuvre et modalités de suivi, d'évaluation et d'information

Trois ans après le début de l’exploitation du système ECRIS-TCN et tous les quatre ans par la suite, la Commission procédera à une évaluation de son fonctionnement, y compris de son efficacité en ce qui concerne le renforcement de l’échange d’informations sur les RPT condamnés, ainsi que de toutes les questions techniques relatives à son efficience. En outre, elle réexaminera à ce stade si le système doit être développé pour y inclure d’autres données. Sur la base de cette évaluation, la Commission décidera du suivi éventuel à prévoir.

La mise en œuvre du nouveau système sera supervisée en permanence tant par le conseil d’administration de l’agence eu-LISA que par le groupe d’experts ECRIS existant. Ce groupe continuera également de servir de lieu de discussion visant à établir de bonnes pratiques en matière d'échange d'informations sur les casiers judiciaires au niveau de l'UE, en particulier lorsque ces informations concernent des RPT condamnés.

La Commission définira des indicateurs de suivi portant notamment sur le volume des échanges d’informations sur les casiers judiciaires de RPT rapporté au nombre de condamnations dont ont fait l’objet des RPT, ainsi que d’autres indicateurs de suivi pertinents. Des statistiques seront fournies régulièrement tant par les États membres que par eu-LISA, permettant ainsi d’assurer un suivi continu de l’évolution du système.

·Explication détaillée des différentes dispositions de la proposition

L’article 1er énonce l’objet du règlement.

Le système central ECRIS-TCN vise à permettre aux autorités compétentes de déterminer rapidement et de manière efficiente dans quel autre(s) État(s) membre(s) sont conservées des informations sur le casier judiciaire d’un ressortissant de pays tiers.

L’article 2 définit le champ d’application du règlement. Le règlement s’applique au traitement des éléments d’identification des ressortissants de pays tiers, et non aux informations sur les condamnations régies par la décision-cadre 2009/315/JAI, telle que modifiée par la directive proposée par la Commission en 2016. Le système ECRIS-TCN devrait seulement traiter les éléments d’identification de ressortissants de pays tiers qui ont fait l’objet de décisions définitives émanant de juridictions pénales au sein de l’Union européenne afin d’obtenir des informations sur ces condamnations antérieures par l’intermédiaire du système européen d’information sur les casiers judiciaires mis en place par la décision-cadre 2009/315/JAI du Conseil.

L'article 3 contient une liste de définitions des termes employés dans le règlement. Si certaines définitions existent déjà dans l'acquis relatif à cette matière, d'autres notions sont définies ici pour la première fois.

Une définition du terme «ressortissant d’un pays tiers» a été ajoutée pour préciser qu’aux fins du règlement, cette catégorie de personnes comprend les apatrides et les personnes dont la nationalité n’est pas connue de l’État membre de condamnation. Cette définition devrait être la même que celle utilisée dans la décision-cadre telle que modifiée par la directive proposée par la Commission en 2016.

Aux fins de l’application du présent règlement, on entend par «autorités compétentes» les autorités centrales des États membres ainsi qu’Eurojust, Europol [et le Parquet européen 17 ].

L’article 4 décrit l’architecture technique du système ECRIS-TCN. L’infrastructure de communication à utiliser est le réseau de services télématiques transeuropéens sécurisés entre administrations (s-TESTA) ou toute nouvelle version de ce réseau. L’article indique également que le logiciel d’interface du nouveau système sera intégré à l’actuelle application de référence d’ECRIS afin de garantir une expérience d’utilisateur fluide et pratique.

L’article 5 impose à l’État membre de condamnation de créer un enregistrement de données dans le système central ECRIS-TCN pour chaque RPT condamné dès que possible après l’inscription de la condamnation dans le casier judiciaire national.

Le système ECRIS-TCN ne devrait contenir que les éléments d’identification des ressortissants de pays tiers ayant fait l’objet d’une condamnation par une juridiction pénale au sein de l’Union européenne. Ces éléments devraient inclure des données alphanumériques, des données dactyloscopiques conformément à la décision-cadre 2009/315/JAI telle que modifiée par la directive proposée par la Commission en 2016, et des images faciales, dans la mesure où elles sont enregistrées dans les bases de données nationales des États membres relatives aux casiers judiciaires.

Afin de garantir l’efficacité maximale du système, cet article oblige également les États membres à créer, dans le système ECRIS-TCN, des enregistrements de données relatives à des condamnations qui ont été prononcées par le passé à l’encontre de ressortissants de pays tiers, c’est-à-dire avant l’entrée en vigueur du règlement. Conformément à l’article 25, les États membres doivent achever ce processus dans un délai de 24 mois après la date d’entrée en vigueur du règlement. Toutefois, les États membres ne sont pas obligés, à cette fin, de recueillir des informations qui ne figuraient pas dans les casiers judiciaires avant l’entrée en vigueur du règlement.

L’article 6 porte sur l’utilisation d’images faciales. Pour l’instant, les images faciales incluses dans le système ECRIS-TCN ne peuvent être utilisées que pour confirmer l’identité d’un ressortissant de pays tiers. À l’avenir, il n’est pas exclu qu’à la suite de l’évolution des logiciels de reconnaissance faciale, les images faciales puissent être utilisées pour l’établissement automatisé de correspondances biométriques, pour autant que les exigences techniques à cet égard aient été respectées.

L’article 7 définit les règles d’utilisation du système ECRIS-TCN aux fins de l’identification de l’État membre ou des États membres détenant des informations sur les casiers judiciaires afin d’obtenir des informations sur les condamnations antérieures par l’intermédiaire du système européen d’information sur les casiers judiciaires créé par la décision-cadre 2009/315/JAI du Conseil. Les limitations de la finalité prévues dans la décision-cadre telle que modifiée par la proposition de directive de 2016 s’appliqueront à tous les échanges d’informations sur les casiers judiciaires.

L’article impose aux États membres d’utiliser le système ECRIS-TCN dans tous les cas pour lesquels ils reçoivent une demande d’information sur les condamnations antérieures de ressortissants de pays tiers conformément à la législation nationale, et d’assurer le suivi des résultats positifs avec les États membres identifiés au moyen du système ECRIS. Cette obligation devrait concerner tant les demandes d’information aux fins d’une procédure pénale que les demandes formulées à d’autres fins pertinentes.

Un État membre qui souhaite identifier le ou les État(s) membre(s) détenant des informations sur le casier judiciaire d’un RPT déterminé peut le faire en procédant à une recherche fondée sur la concordance/non-concordance («hit/no hit») dans le système TCN central sur la base des données alphanumériques ou des empreintes digitales de ce RPT, en fonction de la disponibilité de ces données. En cas de résultat positif, le nom de l’État membre ou des États membres ayant fourni les données est communiqué, ainsi que les données de référence et toute autre donnée d’identification correspondante. Cela permettra aux États membres d’utiliser le système ECRIS existant pour vérifier l’identité des personnes concernées avant l’échange d’informations sur les casiers judiciaires.

Un résultat positif signalé par le système ECRIS-TCN ne devrait pas signifier automatiquement que le ressortissant concerné d’un pays tiers a fait l’objet d’une condamnation dans l’État membre ou les États membres indiqué(s), ni que l’État membre ou les États membres en question détiennent des informations sur le casier judiciaire de ce ressortissant de pays tiers. L’existence de condamnations pénales antérieures doit uniquement être confirmée sur la base des informations provenant des casiers judiciaires des États membres concernés.

L’article 8 concerne la durée de conservation des données stockées.

Les dispositions nationales relatives à la durée de conservation dans les systèmes de casiers judiciaires et d’empreintes digitales varient considérablement d’un État membre à l'autre et la présente proposition ne vise pas à les harmoniser. Le principe bien établi selon lequel il convient de respecter les périodes de conservation définies par l’État membre de condamnation est également applicable en l’espèce en ce qui concerne les données transmises au système central. Après tout, tant que les données relatives aux condamnations sont conservées dans les casiers judiciaires des États membres, elles devraient également être accessibles aux autorités d’autres États membres. Cela signifie également que toutes les données concernant la personne condamnée devraient être conservées pendant cette période, même si les empreintes digitales provenant d’une autre base de données que le casier judiciaire ont déjà été effacées d’une base de données dactyloscopiques nationale. À l’inverse, même si les empreintes digitales sont conservées au niveau national, elles doivent être effacées du système central si toutes les informations sur les condamnations sont supprimées du casier judiciaire national. L’approche est la même pour les RPT condamnés que pour les condamnations de ressortissants de l’UE notifiées aux États membres de nationalité en vertu de la décision-cadre.

L’article 9 oblige les États membres à vérifier l’exactitude des données transmises au système central et à les corriger si nécessaire, ainsi qu’à modifier les données transmises au système central en cas de modification ultérieure des casiers judiciaires nationaux. Ce raisonnement suit une fois de plus la logique de la décision-cadre en ce qui concerne les ressortissants de l’UE.

L’article 10 confère des compétences d’exécution à la Commission afin de garantir des conditions uniformes pour le fonctionnement du système ECRIS-TCN. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 18 . La procédure de comitologie choisie est celle de l'examen. L’article 34 complète l’article 10 en ce qui concerne l’établissement de cette procédure.

L’article 11 confie à eu-LISA la tâche de développer le système ECRIS-TCN et d’en assurer la gestion opérationnelle, étant donné son expérience dans la gestion d’autres systèmes centralisés de grande envergure dans le domaine de la justice et des affaires intérieures. L'agence eu-LISA est également chargée de développer l’application de référence d’ECRIS et d’en assurer la maintenance afin de garantir le bon fonctionnement du système ECRIS-TCN et du système ECRIS à proprement parler. L’application de référence permet l'utilisation des logiciels d’interconnexion prévus à l’article 3, paragraphe 1, point a), de la décision du Conseil relative à l’ECRIS.

L’article 12 énumère les responsabilités des États membres en ce qui concerne le système ECRIS-TCN. Les États membres sont seuls responsables de leurs bases de données nationales relatives aux casiers judiciaires.

L’article 13 traite de la responsabilité en matière d’utilisation des données.

L’article 14 désigne Eurojust comme le point de contact des pays tiers et des organisations internationales qui souhaitent demander des informations relatives à la condamnation d’un RPT. L’objectif est d’éviter que les pays tiers et les organisations internationales doivent envoyer des demandes à plusieurs États membres. Il convient qu'Eurojust ne donne aucune information à l’État tiers ou à l’organisation internationale ayant formulé une demande, notamment aucune information concernant l’État membre ou les États membres de condamnation détenant les données relatives à la condamnation. L'agence devrait uniquement informer l’État ou les États membre(s) concerné(s) en cas de résultat positif. Il appartient aux États membres concernés de décider s’il y a lieu ou non de prendre contact avec l’État tiers ou l’organisation internationale concernée afin d’indiquer que des informations sur des condamnations antérieures prononcées à l’encontre du RPT concerné pourraient être fournies conformément à la législation nationale.

L’article 15 octroie un accès direct au système ECRIS-TCN à Eurojust, à Europol [et au Parquet européen] pour l’accomplissement de leurs missions statutaires. Toutefois, ces autorités compétentes ne devraient pas avoir accès à l’ECRIS pour demander les informations concernant les condamnations elles-mêmes, mais devraient recourir aux canaux établis avec les autorités nationales afin d’obtenir ces informations. Cette approche respecte les règles établies dans les instruments réglementaires relatifs à ces organismes en ce qui concerne leurs contacts avec les autorités des États membres.

L’article 16 énumère les responsabilités d’Eurojust, d’Europol [et du Parquet européen] concernant le système ECRIS-TCN.

L’article 17 régit la question de la sécurité des données.

L’article 18 concerne la responsabilité des États membres à l'égard des particuliers ou d’autres États membres en cas de traitement illicite ou d'action incompatible avec les dispositions du présent règlement. Il y a lieu de définir, au niveau national, des règles concernant la responsabilité des États membres en cas de dommage résultant du non-respect du présent règlement.

L’article 19 impose aux États membres de faire surveiller le respect du présent règlement à l’échelon national par leurs autorités centrales désignées. 

L’article 20 rend toute utilisation des données saisies dans le système ECRIS-TCN violant le présent règlement punissable en vertu du droit national.  

L’article 21 précise qui sont les responsables du traitement des données et le sous-traitant des données.

L’article 22 limite les finalités du traitement de données à caractère personnel dans le système central à l’identification du ou des État(s) membre(s) détenant des informations sur les casiers judiciaires de RPT.

L’article 23 donne aux ressortissants de pays tiers dont les données ont été saisies dans le système ECRIS-TCN le droit d’y accéder, de les corriger et de les faire supprimer lorsque cela est justifié par la loi.

L’article 24 régit la coopération entre les autorités centrales et les autorités de contrôle afin de garantir les droits en matière de protection des données.

L’article 25 concerne les recours juridiques dont disposent les ressortissants de pays tiers concernés.

Les articles 26 et 27 fixent les règles régissant la surveillance exercée par les autorités de contrôle et le Contrôleur européen de la protection des données. L’article 28 régit la coopération entre eux.

L’article 29 régit la question de la tenue de journaux par l’agence eu-LISA et les autorités compétentes.

L’article 30 porte sur l’utilisation des données à des fins de notification et d’établissement de statistiques et charge l’agence eu-LISA d'élaborer les statistiques relatives au système ECRIS-TCN et à l’application de référence d’ECRIS. Il impose également aux États membres de fournir à l’agence eu-LISA les données statistiques nécessaires à l'élaboration de ses compilations et analyses statistiques et de fournir à la Commission des statistiques sur le nombre de RPT condamnés ainsi que sur le nombre de condamnations prononcées à l’encontre de RPT sur leur territoire.

L’article 31 régit les coûts. Sans préjudice de la possibilité de recourir aux programmes financiers de l’Union conformément à la réglementation applicable, chaque État membre devrait supporter ses propres frais résultant de la mise en œuvre, de la gestion, de l’utilisation et de la maintenance de sa base de données relatives aux casiers judiciaires, ainsi que de la mise en œuvre, de la gestion, de l’utilisation et de la maintenance des adaptations techniques nécessaires pour pouvoir utiliser le système ECRIS-TCN.

L’article 32 impose aux États membres de notifier le nom de leurs autorités centrales à l’agence eu-LISA et à l’agence eu-LISA de publier ces données.

L’article 33 dispose que c’est la Commission qui détermine la date à laquelle le système ECRIS-TCN sera mis en service et énumère les conditions préalables à respecter pour cette mise en service.

L’article 34 concerne les obligations d’eu-LISA et de la Commission en matière de présentation de rapports et d'évaluations. Trois ans après le début de l’exploitation du système ECRIS-TCN et tous les quatre ans par la suite, la Commission procédera à une évaluation de son fonctionnement, y compris de son efficacité en ce qui concerne le renforcement de l’échange d’informations sur les RPT condamnés, ainsi que de toutes les questions techniques relatives à son efficience. En outre, la Commission réexaminera à ce stade si le système doit être développé pour y inclure d’autres données. Sur la base de cette évaluation, la Commission décidera du suivi éventuel à prévoir.

L’article 35 concerne la procédure de comitologie à utiliser, sur la base d’une disposition type.

L’article 36 prévoit la création, par l’agence eu-LISA, d’un groupe consultatif qui contribuera au développement et à l’exploitation du système ECRIS-TCN et de l'application de référence d’ECRIS.

L’article 37 indique les modifications apportées au règlement (UE) n° 1077/2011 en ce qui concerne les nouvelles responsabilités et tâches de l’agence eu-LISA.

L’article 38 impose aux États membres de mettre en œuvre le règlement au niveau national dans un délai de 24 mois après son entrée en vigueur. Les spécifications pour le développement et la mise en œuvre technique du système ECRIS-TCN seront définies dans les actes d’exécution.

L'article 39 dispose que le règlement entrera en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.

2017/0144 (COD)

Proposition de

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

portant création d’un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides, qui vise à compléter et à soutenir le système européen d’information sur les casiers judiciaires (système ECRIS-TCN), et modifiant le règlement (UE) n° 1077/2011

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 82, paragraphe 1, point d),

vu la proposition de la Commission européenne,

après transmission du projet d'acte législatif aux parlements nationaux,

statuant conformément à la procédure législative ordinaire,

considérant ce qui suit:

(1)L'Union s'est donné pour objectif d'offrir à ses citoyens un espace de liberté, de sécurité et de justice sans frontières intérieures, au sein duquel est assurée la libre circulation des personnes, assorti de mesures appropriées visant à prévenir et à combattre la criminalité.

(2)Cet objectif impose que les informations relatives aux décisions de condamnation prononcées dans les États membres puissent être prises en compte en dehors de l'État membre de condamnation, tant à l’occasion d’une nouvelle procédure pénale, conformément à la décision-cadre 2008/675/JAI du Conseil 19 , que pour prévenir de nouvelles infractions.

(3)Cet objectif suppose des échanges d’informations extraites des casiers judiciaires entre les autorités compétentes des États membres. Ces échanges d’informations sont organisés et facilités par les règles énoncées dans la décision-cadre 2009/315/JAI du Conseil 20 et par le système européen d’information sur les casiers judiciaires (ECRIS), créé par la décision 2009/316/JAI du Conseil 21 .

(4)Toutefois, le cadre juridique de l’ECRIS ne répond pas suffisamment aux particularités des demandes concernant des ressortissants de pays tiers. Bien qu’il soit désormais possible d'échanger des informations sur les ressortissants de pays tiers au moyen de l’ECRIS, il n’existe pas de procédure ni de mécanisme permettant de le faire de manière efficiente.

(5)Les informations relatives aux ressortissants de pays tiers ne sont pas rassemblées au sein de l’Union dans l’État membre de nationalité, comme cela est le cas pour les ressortissants des États membres, mais seulement conservées dans les États membres où les condamnations ont été prononcées. Il n'est donc possible d'avoir un aperçu complet des antécédents judiciaires d’un ressortissant de pays tiers qu'en demandant des informations à tous les États membres.

(6)De telles demandes générales imposent une charge administrative à tous les États membres, y compris à ceux qui ne détiennent pas d'informations sur le ressortissant de pays tiers concerné. Dans la pratique, ce fardeau dissuade les États membres de demander des informations sur les ressortissants de pays tiers et a pour résultat que les États membres se contentent des informations sur les casiers judiciaires conservées dans leur registre national.

(7)Pour remédier à ce problème, il convient de créer un système au moyen duquel l’autorité centrale d’un État membre peut déterminer rapidement et de manière efficiente dans quel(s) autre(s) État(s) membre(s) sont conservées des informations sur le casier judiciaire d’un ressortissant de pays tiers, de sorte que le cadre existant de l’ECRIS puisse ensuite être utilisé pour demander à cet État membre ou ces États membres des informations sur le casier judiciaire en question conformément à la décision-cadre 2009/315/JAI.

(8)Il convient dès lors que le présent règlement définisse les règles relatives à la création, à l’échelle de l’Union, d’un système centralisé contenant des données à caractère personnel et à la répartition des responsabilités entre l’État membre et l’organisme responsable du développement et de la maintenance du système, et qu'il fixe toutes les dispositions spécifiques en matière de protection des données qui sont nécessaires pour compléter les mesures existantes en matière de protection des données et garantir un niveau global approprié de protection et de sécurité des données. Il y a également lieu de protéger les droits fondamentaux des personnes concernées.

(9)L’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA), instituée par le règlement (UE) n° 1077/2011 du Parlement européen et du Conseil 22 pour identifier l’État membre ou les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers (système «ECRIS-TCN»), devrait être chargée de développer et d’exploiter le nouveau système centralisé ECRIS-TCN, compte tenu de son expérience dans la gestion d’autres systèmes d’information à grande échelle dans le domaine de la justice et des affaires intérieures. Son mandat devrait être modifié pour refléter ces nouvelles tâches.

(10)Compte tenu de la nécessité de créer des liens techniques étroits entre le système ECRIS-TCN et le système ECRIS actuel, eu-LISA devrait également être chargée de développer davantage l’application de référence d’ECRIS et d’en assurer la maintenance. Son mandat devrait être modifié en conséquence.

(11)Le système ECRIS-TCN devrait contenir uniquement les éléments d’identification des ressortissants de pays tiers ayant été condamnés par une juridiction pénale au sein de l’Union européenne. Ces éléments devraient inclure des données alphanumériques, des données dactyloscopiques conformément à la décision-cadre 2009/315/JAI et des images faciales, dans la mesure où elles sont enregistrées dans les bases de données nationales des États membres relatives aux casiers judiciaires.

(12)Dans le cas où il existe une concordance entre les données enregistrées dans le système central et celles utilisées par un État membre pour effectuer une recherche (résultat positif), les éléments d’identification pour lequel un résultat positif a été trouvé sont fournis en même temps que ce résultat. Ces éléments devraient servir uniquement à confirmer l’identité du ressortissant concerné d’un pays tiers. Il peut par exemple s'agir de pseudonymes de ressortissants de pays tiers enregistrés dans la base de données nationale relatives aux casiers judiciaires des États membres interrogeant le système central.

(13)Dans un premier temps, les images faciales introduites dans le système ECRIS-TCN ne devraient être utilisées qu’aux fins de la vérification de l’identité d'un ressortissant de pays tiers. À terme, il est possible qu’à la suite de l’évolution des logiciels de reconnaissance faciale, les images faciales puissent être utilisées pour l’établissement automatisé de correspondances biométriques, pour autant que les exigences techniques à cet égard aient été respectées.

(14)L’utilisation de la biométrie est nécessaire, car il s'agit de la méthode la plus fiable pour identifier les ressortissants de pays tiers sur le territoire des États membres - qui n’ont souvent pas de documents ni d’autre moyen d’identification à leur disposition - et pour recouper de manière plus fiable les données de ressortissants de pays tiers.

(15)Il y a lieu que les États membres créent, dans le système ECRIS-TCN, un enregistrement de données concernant les ressortissants de pays tiers condamnés dès que possible après l’inscription de la condamnation dans le casier judiciaire national.

(16)Il convient aussi que les États membres créent des enregistrements dans le système ECRIS-TCN au sujet des ressortissants de pays tiers condamnés avant l’entrée en vigueur du règlement, afin de garantir l’efficacité maximale du système. Toutefois, les États membres ne devraient pas être obligés, à cette fin, de recueillir des informations qui ne figuraient pas dans leurs casiers judiciaires avant l’entrée en vigueur du présent règlement.

(17)L’amélioration de la diffusion des informations sur les condamnations pénales devrait aider les États membres à mettre en œuvre la décision-cadre 2008/675/JAI, qui oblige les États membres à prendre en compte les condamnations antérieures à l’occasion d’une nouvelle procédure pénale.

(18)Il y a lieu d'obliger les États membres à utiliser le système ECRIS-TCN chaque fois qu’ils reçoivent une demande d’information sur les condamnations antérieures de ressortissants de pays tiers conformément à la législation nationale et à assurer le suivi des résultats positifs avec les États membres identifiés au moyen du système ECRIS. Il convient de ne pas limiter cette obligation aux seules demandes formulées dans le cadre d’enquêtes pénales.

(19)Un résultat positif signalé par le système ECRIS-TCN ne devrait pas signifier nécessairement que le ressortissant concerné d’un pays tiers a fait l’objet d’une condamnation dans l’État membre ou les États membres indiqué(s), ni que l’État membre ou les États membres en question détiennent des informations sur le casier judiciaire de ce ressortissant de pays tiers. L’existence de condamnations antérieures devrait être confirmée uniquement sur la base des informations provenant des casiers judiciaires des États membres concernés.

(20)Sans préjudice de la possibilité de recourir aux programmes financiers de l’Union conformément à la réglementation applicable, chaque État membre devrait supporter ses propres frais résultant de la mise en œuvre, de la gestion, de l’utilisation et de la maintenance de sa base de données relative aux casiers judiciaires et de ses bases de données dactyloscopiques nationales, ainsi que de la mise en œuvre, de la gestion, de l’utilisation et de la maintenance des adaptations techniques nécessaires pour pouvoir utiliser le système ECRIS-TCN, y compris les connexions au point d'accès central national.

(21)L’Agence de l’Union européenne pour la coopération des services répressifs (Europol), instituée par le règlement (UE) 2016/794 du Parlement européen et du Conseil 23 , ainsi qu’Eurojust, institué par la décision 2002/187/JAI du Conseil 24 , [et le Parquet européen, institué par le règlement (UE) n°.../... 25 ] devraient avoir accès au système ECRIS-TCN pour identifier l’État membre ou les États membres détenant des informations sur le casier judiciaire d’un ressortissant de pays tiers, aux fins de l'accomplissement de leurs missions statutaires.

(22)Le présent règlement établit des règles d’accès strictes au système ECRIS-TCN ainsi que les garanties nécessaires, y compris en ce qui concerne la responsabilité des États membres en matière de collecte et d’utilisation des données. Il indique également que les personnes physiques doivent bénéficier d’un droit à indemnisation ainsi que de droits d’accès, de rectification, d’effacement et de recours, en particulier du droit à un recours effectif, et que la surveillance des opérations de traitement doit être assurée par des autorités publiques indépendantes. Il respecte dès lors les libertés et les droits fondamentaux, tout comme les principes reconnus, en particulier, par la charte des droits fondamentaux de l’Union européenne, tels que le droit à la protection des données à caractère personnel, le principe de l’égalité en droit et l’interdiction générale de toute discrimination.

(23)La directive (UE) 2016/680 du Parlement européen et du Conseil 26 devrait s'appliquer au traitement des données à caractère personnel par les autorités nationales compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Le règlement (UE) 2016/679 du Parlement européen et du Conseil 27 devrait s’appliquer au traitement des données à caractère personnel par les autorités nationales, pour autant que les dispositions nationales transposant la directive (UE) 2016/680 ne soient pas applicables. Il convient d’assurer une surveillance coordonnée, conformément à l’article 62 du [nouveau règlement sur la protection des données concernant les institutions et les organes de l’Union].

(24)Il y a lieu de définir des règles concernant la responsabilité des États membres en cas de dommage résultant du non-respect du présent règlement.

(25)Étant donné que l'objectif du présent règlement, à savoir permettre l’échange rapide et efficient d'informations sur les casiers judiciaires de ressortissants de pays tiers, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison de la synergie et de l'interopérabilité nécessaires, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

(26)Afin d'assurer des conditions uniformes pour la création et la gestion opérationnelle du système ECRIS-TCN, des compétences d’exécution devraient être conférées à la Commission. Ces compétences devraient être exercées conformément au règlement (UE) nº 182/2011 du Parlement européen et du Conseil 28 .

(27)Conformément aux articles 1er et 2 du protocole n° 22 sur la position du Danemark, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, cet État ne participe pas à l'adoption du présent règlement et n'est pas lié par celui-ci ni soumis à son application.

(28)Conformément aux articles 1er et 2 ainsi qu’à l’article 4 bis, paragraphe 1, du protocole nº 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, et sans préjudice de l’article 4 dudit protocole, ces États membres ne participent pas à l’adoption de la présente directive et ne sont pas liés par celle-ci ni soumis à son application.

[ou]

Conformément à l’article 3 et à l’article 4 bis, paragraphe 1, du protocole nº 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, ces États membres ont notifié leur souhait de participer à l’adoption et à l’application de la présente directive.

(29)Étant donné que le Royaume-Uni a notifié, le 29 mars 2017, son intention de quitter l'Union, conformément à l'article 50 du traité sur l'Union européenne, les traités cesseront de s'appliquer au Royaume-Uni à partir de la date d'entrée en vigueur de l'accord de retrait ou, à défaut, deux ans après la notification, sauf si le Conseil européen, en accord avec le Royaume-Uni, décide de proroger ce délai. En conséquence, et sans préjudice des dispositions de l’accord de retrait, la description précitée de la participation du Royaume-Uni à la proposition ne s’applique que jusqu’à ce que le Royaume-Uni cesse d’être un État membre.

(30)Le Contrôleur européen de la protection des données a été consulté conformément à l'article 28, paragraphe 2, du règlement (CE) n° 45/2001 du Parlement européen et du Conseil 29 et a rendu un avis le … 30 , 

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE PREMIER
Dispositions générales

Article premier
Objet

Le présent règlement:

(a)crée un système permettant d’identifier le ou les États membres détenant des informations sur les condamnations antérieures prononcées à l’encontre de ressortissants de pays tiers (le «système ECRIS-TCN»);

(b)fixe les conditions dans lesquelles le système ECRIS-TCN est utilisé par les autorités compétentes pour obtenir des informations sur ces condamnations antérieures au moyen du système européen d'information sur les casiers judiciaires (ECRIS) créé par la décision 2009/316/JAI. 

Article 2
Champ d'application

Le présent règlement s’applique au traitement des données d'identification des ressortissants de pays tiers qui ont fait l’objet de décisions définitives rendues à leur encontre par des juridictions pénales des États membres, aux fins d’identifier le ou les États membres dans lesquels ces décisions ont été prononcées.

Article 3
Définitions

Aux fins du présent règlement, on entend par:

(a)«condamnation»: toute décision définitive d'une juridiction pénale rendue à l'encontre d'une personne physique en raison d'une infraction pénale, pour autant que cette décision soit inscrite dans le casier judiciaire de l'État membre de condamnation;

(b)«procédure pénale»: la phase préalable au procès pénal, le procès pénal lui-même et la phase d'exécution de la condamnation;

(c)«casier judiciaire»: le registre national ou les registres nationaux regroupant les condamnations conformément au droit national;

(d)«État membre de condamnation», l’État membre dans lequel une condamnation est prononcée;

(e)«autorité centrale»: l’autorité ou les autorités désignées conformément à l’article 3, paragraphe 1, de la décision-cadre 2009/315/JAI;

(f)«autorités compétentes»: les autorités centrales et les organes de l’Union compétents pour accéder au système ECRIS-TCN en vertu du présent règlement;

(g)«ressortissant de pays tiers», tout ressortissant d’un pays autre qu’un État membre, que cette personne ait ou non la nationalité d’un État membre, ou un apatride ou une personne dont la nationalité n’est pas connue de l'État membre de condamnation;

(h)«système central»: la ou les bases de données contenant les données d’identification des ressortissants de pays tiers qui ont fait l’objet de décisions définitives rendues à leur encontre par des juridictions pénales des États membres; le développement et la maintenance de ce système sont assurés par eu-LISA;

(i)«logiciel d’interface»: le logiciel hébergé par les autorités compétentes qui leur permet d’accéder au système central au moyen de l’infrastructure de communication visée à l’article 4;

(j)«identification»: le processus consistant à déterminer l’identité d’une personne par interrogation d’une base de données et comparaison avec plusieurs séries de données;

(k)«données alphanumériques»: les données représentées par des lettres, des chiffres, des caractères spéciaux, des espaces et des signes de ponctuation;

(l)«données dactyloscopiques»: les données relatives aux impressions simultanées et roulées des empreintes digitales des dix doigts;

(m)«image faciale»: une image numérique du visage d'une personne;

(n)«résultat positif»: une ou des concordances constatées en comparant les données enregistrées dans le système central et celles utilisées par un État membre pour effectuer la recherche;

(o)«point d'accès central national»: le point national de connexion à l’infrastructure de communication visée à l’article 4;

(p)«l’application de référence d’ECRIS»: le logiciel développé par la Commission et mis à la disposition des États membres pour les échanges d’informations sur les casiers judiciaires au moyen d’ECRIS.

Article 4
Architecture technique du système ECRIS-TCN

1.Le système ECRIS-TCN se compose des éléments suivants:

(a)un système central au sein duquel sont conservées les données d’identification des ressortissants de pays tiers condamnés;

(b)un point d'accès central national dans chaque État membre;

(c)un logiciel d’interface permettant aux autorités centrales de se connecter au système central, par l'intermédiaire du point d'accès central national et de l’infrastructure de communication;

(d)une infrastructure de communication entre le système central et le point d’accès central national.

2.Le système central est hébergé par eu-LISA sur ses deux sites techniques.

3.Le logiciel d’interface est compatible avec l’application de référence d’ECRIS. Les États membres utilisent cette dernière pour interroger le système ECRIS-TCN, ainsi que pour envoyer les demandes ultérieures d’informations sur les casiers judiciaires.

CHAPITRE II
Saisie et utilisation des données par les autorités centrales

Article 5
Saisie des données dans le système ECRIS-TCN

1.Pour chaque ressortissant de pays tiers condamné, l’autorité centrale de l’État membre de condamnation crée un enregistrement de données dans le système central. Cet enregistrement contient les données suivantes:

(e)    le nom de famille; le ou les prénoms; la date et le lieu de naissance (ville et pays); la ou les nationalités; le sexe; le nom des parents; s’il y a lieu, les nom et prénoms précédents, le ou les pseudonymes et/ou noms d’emprunt; le code de l’État membre de condamnation;

(f)les données dactyloscopiques, conformément à la décision-cadre 2009/315/JAI 31 et aux spécifications concernant la résolution et l’utilisation des empreintes digitales prévues à l’article 10, paragraphe 1, point b); le numéro de référence des données dactyloscopiques de la personne condamnée incluant le code de l’État membre de condamnation.

2.L’enregistrement de données peut également contenir des images faciales du ressortissant de pays tiers condamné.

3.L’État membre de condamnation crée l’enregistrement de données dès que possible après l’inscription de la condamnation dans le casier judiciaire national.

4.Les États membres de condamnation créent des enregistrements de données également pour les condamnations prononcées avant le [date d’entrée en vigueur du présent règlement], dès lors que ces données sont conservées dans leurs casiers judiciaires nationaux ou leur base de données dactyloscopiques.

Article 6
Règles spécifiques applicables aux images faciales

1.Les images faciales mentionnées à l’article 5, paragraphe 2, ne sont utilisées que pour confirmer l’identité d’un ressortissant de pays tiers identifié à la suite d’une consultation alphanumérique ou d’une recherche sur la base des empreintes digitales.

2.Dès que cela est possible d'un point de vue technique, les images faciales peuvent aussi être utilisées pour identifier un ressortissant de pays tiers sur la base de ces identificateurs biométriques. Avant l'introduction de cette fonctionnalité dans le système ECRIS-TCN, la Commission présente un rapport précisant si la technique requise est disponible et prête à être employée et consulte le Parlement européen sur ce rapport.

Article 7
Utilisation du système ECRIS-TCN pour identifier le ou les États membres détenant des informations sur le casier judiciaire

1.Lorsque des informations sur le casier judiciaire d’un ressortissant de pays tiers sont demandées dans un État membre aux fins d’une procédure pénale à l’encontre de cette personne ou à des fins autres qu'une procédure pénale conformément à la législation nationale, l’autorité centrale de cet État membre utilise le système ECRIS-TCN pour identifier le ou les États membres détenant des informations sur le casier judiciaire de la personne en question afin d’obtenir des informations sur ses condamnations précédentes par l’intermédiaire du système ECRIS.

2.Europol, Eurojust [et le Parquet européen] ont accès au système ECRIS-TCN pour identifier le ou les États membres détenant des informations sur le casier judiciaire d'un ressortissant de pays tiers conformément aux articles 14, 15 et 16.

3.Les autorités compétentes peuvent interroger le système ECRIS-TCN en utilisant les données énumérées à l’article 5, paragraphe 1.

4.Les autorités compétentes peuvent également interroger le système ECRIS-TCN sur la base des images faciales mentionnées à l’article 5, paragraphe 2, pour autant que cette fonctionnalité soit introduite conformément à l’article 6, paragraphe 2.

5.En cas de résultat positif, le système central indique automatiquement à l’autorité compétente le ou les États membres détenant des informations sur le casier judiciaire du ressortissant de pays tiers concerné, ainsi que le ou les numéros de référence associés et toute donnée d’identification correspondante. Ces données d’identification ne sont utilisées qu’à des fins de vérification de l’identité du ressortissant de pays tiers concerné.

6.Si le système central ne détecte aucun résultat positif, il en informe automatiquement l’autorité compétente.

CHAPITRE III
Conservation et modification des données

Article 8
Durée de conservation des données stockées

1.Chaque enregistrement de données individuel est conservé dans le système central tant que les données relatives aux condamnations de la personne concernée sont conservées dans le casier judiciaire national.

2.À l’expiration de la durée de conservation prévue au paragraphe 1, l’autorité centrale de l’État membre de condamnation procède à l’effacement de l’enregistrement de données individuel du système central sans délai, et en tout état de cause au plus tard un mois après l’expiration de la durée de conservation.

Article 9
Modification et effacement de données

1.Les États membres ont le droit de modifier ou d’effacer les données qu’ils ont introduites dans le système ECRIS-TCN.

2.Toute modification ultérieure, dans le casier judiciaire national, des informations ayant conduit à la création d’un enregistrement de données conformément à l’article 5 entraîne une modification identique, par l’État membre de condamnation, des informations conservées dans l’enregistrement de données en question dans le système central.

3.Si un État membre a des raisons de penser que les données qu’il a enregistrées dans le système central sont erronées ou que leur traitement dans le système central est contraire au présent règlement, il vérifie les données en question et, si nécessaire, procède sans délai à leur modification ou à leur effacement du système central.

4.Si un État membre autre que celui qui a saisi les données a des raisons de penser que les données enregistrées dans le système central sont erronées ou que leur traitement dans le système central est contraire au présent règlement, il prend contact, sans délai, avec l’autorité centrale de l’État membre de condamnation. L'État membre de condamnation vérifie l'exactitude des données ainsi que la licéité de leur traitement dans un délai d'un mois.

CHAPITRE IV
Développement, fonctionnement et responsabilités

Article 10
Adoption d’actes d’exécution par la Commission

1.La Commission adopte les actes nécessaires au développement et à la mise en œuvre technique du système ECRIS-TCN et arrête en particulier les règles concernant:

(g)les spécifications techniques pour le traitement des données alphanumériques;

(h)les spécifications techniques pour la résolution et le traitement des empreintes digitales dans le système ECRIS-TCN;

(i)les spécifications techniques du logiciel d’interface prévu à l'article 4, paragraphe 1, point c);

(j)les spécifications techniques pour le traitement des images faciales;

(k)la qualité des données, y compris un dispositif et des procédures de contrôle de la qualité des données;

(l)la saisie des données conformément à l’article 5;

(m)la consultation des données conformément à l’article 7;

(n)la modification et l’effacement des données conformément aux articles 8 et 9;

(o)l’établissement des journaux et l’accès à ceux-ci, conformément à l’article 29;

(p)la mise à disposition de statistiques, conformément à l’article 30;

(q)les exigences en matière de performance et de disponibilité du système ECRIS-TCN.

2.Les actes d'exécution prévus au paragraphe 1 sont adoptés conformément à la procédure d'examen prévue à l'article 35, paragraphe 2.

Article 11
Développement et gestion opérationnelle

1.eu-LISA est responsable du développement et de la gestion opérationnelle du système ECRIS-TCN. Le développement consiste en l’élaboration et la mise en œuvre des spécifications techniques, en la réalisation d’essais et en la coordination générale du projet.

2.eu-LISA est également responsable de la poursuite du développement et de la maintenance de l’application de référence d’ECRIS.

3.eu-LISA définit la conception de l’architecture matérielle du système ECRIS-TCN, notamment ses spécifications techniques et leur évolution en ce qui concerne le système central prévu à l’article 4, paragraphe 1, point a), le point d'accès central national prévu à l’article 4, paragraphe 1, point b), et le logiciel d’interface prévu à l’article 4, paragraphe 1, point c). Cette conception est adoptée par son conseil d’administration, sous réserve de l’avis favorable de la Commission.

4.eu-LISA développe et met en place le système ECRIS-TCN avant le [deux ans après la date d’entrée en vigueur du présent règlement] et après l’adoption par la Commission des mesures prévues à l’article 10.

5.Avant la phase de conception et de développement, un conseil de gestion du programme, composé d’un maximum de dix membres, est créé par le conseil d’administration d’eu-LISA. Il est constitué de huit représentants désignés par le conseil d’administration, du président du groupe consultatif sur le système ECRIS-TCN prévu à l’article 36 et d’un membre désigné par la Commission. Les membres désignés par le conseil d’administration sont issus exclusivement des États membres qui sont pleinement liés, en vertu du droit de l’Union, par les instruments législatifs régissant le système ECRIS et qui participeront au système ECRIS-TCN. Le conseil d’administration veille à ce que les représentants qu’il désigne disposent de l’expérience et de l’expertise nécessaires en matière de développement et de gestion des systèmes informatiques utilisés par les autorités judiciaires et celles gérant les casiers judiciaires. Le conseil de gestion du programme se réunit au moins une fois tous les trois mois, et plus souvent si nécessaire. Il veille à la bonne gestion de la phase de conception et de développement du système ECRIS-TCN. Le conseil de gestion du programme présente chaque mois au conseil d’administration d’eu-LISA un rapport écrit sur l’état d’avancement du projet. Il n’a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter les membres du conseil d’administration.

6.Le conseil de gestion du programme définit son règlement intérieur, qui comprend notamment des règles sur:

(r)la présidence;

(s)les lieux de réunion;

(t)la préparation des réunions;

(u)l’admission d’experts aux réunions;

(v)des plans de communication assurant l’information exhaustive des membres du conseil d’administration non participants.

7.La présidence est exercée par l’État membre qui exerce la présidence du Conseil de l’Union européenne, à condition que cet État membre soit pleinement lié, en vertu du droit de l’Union, par les instruments législatifs régissant le système ECRIS et qu’il participe au système ECRIS-TCN. Si ce critère n’est pas rempli, la présidence est exercée par l’État membre qui exercera la présidence de l’UE suivante et qui répond à ce critère.

8.Tous les frais de voyage et de séjour exposés par les membres du conseil de gestion du programme sont pris en charge par l’Agence et l’article 10 du règlement intérieur d’eu-LISA s’applique mutatis mutandis. Le secrétariat du conseil de gestion du programme est assuré par l’eu-LISA.

9.Pendant la phase de conception et de développement, le groupe consultatif sur le système ECRIS-TCN prévu à l’article 36 se compose des gestionnaires de projets nationaux du système ECRIS-TCN. Pendant la phase de conception et de développement, il se réunit au moins une fois par mois jusqu’à la mise en service du système ECRIS-TCN. Après chaque réunion, il rend compte au conseil d’administration d’eu-LISA. Il fournit l’expertise technique nécessaire à l’appui des tâches du conseil d’administration et suit l'état de préparation des États membres.

10.eu-LISA veille, en coopération avec les États membres, à l’utilisation permanente de la meilleure technologie disponible, sous réserve d’une analyse coûts/avantages.

11.eu-LISA est également responsable des tâches suivantes, liées à l'infrastructure de communication prévue à l’article 4, paragraphe1, point d):

(w)la supervision;

(x)la sécurité;

(y)la coordination des relations entre les États membres et le fournisseur.

12.La Commission est chargée de toutes les autres tâches liées à l'infrastructure de communication, en particulier:

(``)les tâches relatives à l’exécution du budget;

(aa)l’acquisition et le renouvellement;

(bb)les questions contractuelles.

13.eu-LISA élabore et gère un dispositif et des procédures de contrôle de la qualité des données dans le système ECRIS-TCN et présente des rapports aux États membres à intervalles réguliers. Elle présente à la Commission, à intervalles réguliers, un rapport indiquant les problèmes rencontrés et les États membres concernés.

14.La gestion opérationnelle du système ECRIS-TCN comprend toutes les tâches nécessaires au fonctionnement du système conformément au présent règlement, en particulier les travaux de maintenance et les perfectionnements techniques indispensables pour que le système fonctionne à un niveau satisfaisant de qualité opérationnelle, conformément aux spécifications techniques.

15.eu-LISA s’acquitte des tâches liées à la fourniture d’une formation relative à l’utilisation technique du système ECRIS-TCN et de l’application de référence d’ECRIS.

16.Sans préjudice de l’article 17 du statut des fonctionnaires de l’Union européenne, eu-LISA applique des règles appropriées en matière de secret professionnel ou impose des obligations de confidentialité équivalentes à tous les membres de son personnel appelés à travailler avec les données enregistrées dans le système central. Cette obligation continue de s’appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leur activité.

Article 12
Responsabilités des États membres

1.Chaque État membre est responsable:

(cc)de l’établissement d’une connexion sûre entre ses bases de données relatives aux casiers judiciaires, ses bases de données d'empreintes digitales et son point d’accès central national;

(dd)du développement, du fonctionnement et de la maintenance de la connexion visée au point a);

(ee)de l’établissement d’une connexion entre ses systèmes nationaux et l’application de référence d’ECRIS;

(ff)de la gestion et des modalités de l’accès au système ECRIS-TCN dont bénéficie le personnel dûment autorisé des autorités centrales, conformément au présent règlement, ainsi que de l’établissement d’une liste de ce personnel et de ses profils et de la mise à jour régulière de cette liste.

2.Chaque État membre veille à ce que le personnel de ses autorités ayant un droit d’accès au système ECRIS-TCN reçoive, avant d’être autorisé à traiter des données stockées dans le système central, une formation appropriée, en particulier en ce qui concerne les règles en matière de sécurité et de protection des données ainsi que les droits fondamentaux pertinents.

Article 13

Responsabilité en matière d'utilisation des données

1.Conformément à la directive (UE) 2016/680, chaque État membre veille à ce que les données saisies dans le système ECRIS-TCN soient traitées de manière licite, et en particulier à ce que:

(gg)seul le personnel dûment autorisé ait accès aux données pour l’accomplissement de ses tâches;

(hh)les données soient collectées de manière licite et dans le plein respect de la dignité humaine du ressortissant de pays tiers concerné;

(ii)les données soient introduites de manière licite dans le système ECRIS-TCN;

(jj)les données soient exactes et à jour lors de leur introduction dans le système ECRIS-TCN.

2.eu-LISA veille à ce que le système ECRIS-TCN soit utilisé conformément au présent règlement et aux actes d’exécution visés à l’article 10, ainsi qu’au règlement (CE) n° 45/2001 [ou au règlement qui lui succède]. En particulier, eu-LISA prend les mesures nécessaires pour assurer la sécurité du système central et de l’infrastructure de communication entre le système central et le point d’accès central national, sans préjudice des responsabilités incombant à chaque État membre.

3.eu-LISA informe le Parlement européen, le Conseil et la Commission, ainsi que le Contrôleur européen de la protection des données, des mesures qu’elle prend, en vertu du paragraphe 2, en vue de la mise en service du système ECRIS-TCN.

4.La Commission met les informations mentionnées au paragraphe 3 à la disposition des États membres et du public, par l’intermédiaire d’un site web public régulièrement actualisé.

Article 14
Point de contact pour les pays tiers et les organisations internationales

1.Les pays tiers et les organisations internationales peuvent adresser leurs demandes d’information sur les condamnations antérieures de ressortissants de pays tiers à Eurojust.

2.Lorsqu’une demande visée au paragraphe 1 lui est adressée, Eurojust utilise le système ECRIS-TCN pour identifier le ou les États membres détenant des informations sur le ressortissant de pays tiers concerné, et, lorsqu’un ou plusieurs États membres sont identifiés, transmet la demande immédiatement à leurs autorités centrales. Les États membres concernés sont responsables de la suite du traitement de ces demandes, conformément à leur droit national.

3.Ni Eurojust, ni Europol, [ni le Parquet européen,] ni aucune autorité centrale d’un État membre ne peut transférer à un pays tiers, à une organisation internationale ou à une entité privée, ni mettre à leur disposition, des informations obtenues du système ECRIS-TCN concernant les condamnations antérieures d’un ressortissant de pays tiers ou des informations sur le ou les États membres qui pourraient détenir de telles informations.

Article 15
Droit d'accès d’Eurojust, d’Europol [et du Parquet européen]

1.Eurojust dispose d’un accès direct au système ECRIS-TCN aux fins de la mise en œuvre de l’article 14, ainsi que de l’accomplissement de ses missions statutaires.

2.Europol [et le Parquet européen] dispose[nt] d’un accès direct au système ECRISTCN aux fins de l’accomplissement de ses [leurs] missions statutaires.

3.À la suite d'un résultat positif indiquant le ou les États membres détenant des informations sur le casier judiciaire d’un ressortissant de pays tiers, Eurojust, Europol [et le Parquet européen] peuvent utiliser les contacts qu’ils ont établis avec les autorités nationales de ces États membres conformément à leurs instruments juridiques constitutifs respectifs pour demander les informations sur les condamnations.

4.Chacun des organes visés au présent article est responsable de la gestion et des modalités de l’accès au système ECRIS-TCN du personnel dûment autorisé, conformément au présent règlement, ainsi que de l’établissement d’une liste de ce personnel et de ses qualifications et de la mise à jour régulière de cette liste.

Article 16
Responsabilités d’Eurojust, d’Europol [et du Parquet européen]

1.Europol, Eurojust [et le Parquet européen] mettent en place les moyens techniques permettant la connexion au système ECRIS-TCN et sont chargés du maintien de cette connexion.

2.Les organes visés au paragraphe 1 veillent à ce que les membres de leur personnel ayant un droit d’accès au système ECRIS-TCN reçoivent, avant d’être autorisés à traiter des données stockées dans le système central, une formation appropriée, en particulier en ce qui concerne les règles en matière de sécurité et de protection des données ainsi que les droits fondamentaux pertinents.

3.Les organes visés au paragraphe 1 veillent à ce que les données à caractère personnel traitées par ce personnel en vertu du présent règlement soient protégées conformément aux dispositions applicables en matière de protection des données.

Article 17
Sécurité des données

1.eu-LISA prend les mesures nécessaires pour assurer la sécurité du système ECRISTCN, sans préjudice des responsabilités incombant à chaque État membre, en tenant compte des mesures de sécurité prévues au paragraphe 3.

2.En ce qui concerne le fonctionnement du système ECRIS-TCN, eu-LISA prend les mesures nécessaires à la réalisation des objectifs fixés au paragraphe 3, y compris l’adoption d’un plan de sécurité, d’un plan de continuité des activités et d’un plan de rétablissement après sinistre.

3.Les États membres assurent la sécurité des données avant et pendant leur transmission au point d’accès central national et leur réception depuis ce même point d'accès central. En particulier, chaque État membre veille à:

(kk)assurer la protection physique des données, notamment en élaborant des plans d’urgence pour la protection des infrastructures critiques;

(ll)empêcher l’accès de toute personne non autorisée aux installations nationales dans lesquelles sont effectuées les opérations qui incombent à l’État membre en lien avec le système ECRIS-TCN;

(mm)empêcher toute lecture, copie, modification ou suppression non autorisées de supports de données;

(nn)empêcher l’introduction non autorisée de données et le contrôle, la modification ou l’effacement non autorisés de données à caractère personnel stockées;

(oo)empêcher le traitement non autorisé de données dans le système ECRIS-TCN ainsi que toute modification ou tout effacement non autorisés de données traitées dans le système ECRIS-TCN;

(pp)garantir que les personnes autorisées à avoir accès au système ECRIS-TCN n’aient accès qu’aux données couvertes par leur autorisation d’accès, uniquement grâce à l’attribution d’identifiants individuels et à des modes d’accès confidentiels;

(qq)faire en sorte que toutes les autorités ayant un droit d’accès au système ECRIS-TCN créent des profils décrivant les fonctions et les responsabilités des personnes autorisées à saisir les données, à les modifier, à les effacer, à les consulter et à y faire des recherches, et qu’elles communiquent sans délai ces profils aux autorités de contrôle nationales visées à l’article 25, lorsque ces dernières en font la demande;

(rr)garantir la possibilité de vérifier et de déterminer à quelles autorités les données à caractère personnel peuvent être transmises au moyen de matériel de transmission de données;

(ss)garantir la possibilité de vérifier et d’établir quelles données ont été traitées dans le système ECRIS-TCN, à quel moment, par qui et dans quel but;

(tt)empêcher toute lecture, copie, modification ou tout effacement non autorisés de données à caractère personnel pendant leur transmission à partir du système ECRIS-TCN ou vers celui-ci, ou durant le transport de supports de données, en particulier par des techniques de cryptage adaptées;

(uu)contrôler l’efficacité des mesures de sécurité prévues au présent paragraphe et prendre les mesures organisationnelles nécessaires en matière d’autosurveillance pour assurer le respect du présent règlement.

Article 18
Responsabilité

1.Toute personne ou tout État membre ayant subi un dommage du fait d’un traitement illicite ou de toute action incompatible avec les dispositions du présent règlement a le droit d’obtenir réparation de l’État membre responsable du dommage subi. Cet État est exonéré partiellement ou totalement de sa responsabilité s’il prouve que le fait générateur du dommage ne lui est pas imputable.

2.Si le non-respect, par un État membre, des obligations qui lui incombent en vertu du présent règlement cause un dommage au système ECRIS-TCN, cet État membre en est tenu responsable, sauf si eu-LISA ou un autre État membre participant au système ECRIS-TCN n’a pas pris de mesures raisonnables pour prévenir le dommage ou en atténuer les effets.

3.Les actions en réparation intentées contre un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par le droit interne de l’État membre défendeur.

Article 19
Autocontrôle

Les États membres veillent à ce que chaque autorité centrale prenne les mesures nécessaires pour se conformer au présent règlement et coopère, s’il y a lieu, avec l'autorité de contrôle et l’autorité de contrôle nationale.

Article 20
Sanctions

Les États membres prennent les mesures nécessaires pour que toute utilisation de données saisies dans le système ECRIS-TCN non conforme au présent règlement soit passible de sanctions conformément au droit national, qui soient effectives, proportionnées et dissuasives.

CHAPITRE V
Droits et surveillance en matière de protection des données

Article 21
Responsable du traitement des données et sous-traitant des données

1.Chaque autorité centrale d'un État membre doit être considérée comme le responsable du traitement conformément à la directive (UE) 2016/680 pour ce qui est du traitement des données à caractère personnel effectué par ledit État membre en vertu du présent règlement.

2.eu-LISA est considérée comme le sous-traitant des données conformément au règlement (CE) n° 45/2001 pour ce qui est des données à caractère personnel saisies dans le système central par les États membres.

Article 22
Finalité du traitement des données à caractère personnel

1.Les données figurant dans le système central ne font l’objet d’un traitement qu’aux fins de l’identification du ou des État(s) membre(s) détenant des informations sur les casiers judiciaires de ressortissants de pays tiers.

2.L’accès au système ECRIS-TCN aux fins de la saisie, de la modification, de l’effacement et de la consultation des données énumérées à l’article 5 est exclusivement réservé au personnel dûment autorisé des autorités centrales, tandis que le personnel dûment autorisé des organes visés à l’article 15 ne peut y accéder qu’à des fins de consultation des données. Cet accès se limite à ce qui est nécessaire à l'accomplissement des tâches, conformément aux finalités mentionnées au paragraphe 1, et est proportionné aux objectifs poursuivis.

Article 23
Droits d’accès, de rectification et d’effacement

1.Les demandes des ressortissants de pays tiers portant sur les droits énoncés aux articles 14 et 16 de la directive (UE) 2016/680 peuvent être adressées à l’autorité centrale de tout État membre.

2.Si une demande est adressée à un État membre autre que l’État membre de condamnation, les autorités de l’État membre auquel la demande a été présentée vérifient l’exactitude des données et la licéité de leur traitement dans le système ECRIS-TCN dans un délai d’un mois s'il n'est pas nécessaire de consulter l’État membre de condamnation pour procéder à cette vérification. Dans le cas contraire, l’État membre autre que l’État membre de condamnation prend contact avec les autorités de l’État membre de condamnation dans un délai de quatorze jours et ce dernier vérifie l’exactitude des données et la licéité de leur traitement dans un délai d’un mois à compter de la prise de contact.

3.S'il apparaît que les données enregistrées dans le système ECRIS-TCN sont matériellement erronées ou qu'elles y ont été enregistrées de façon illicite, l'État membre de condamnation les rectifie ou les efface conformément à l'article 9. L’État membre de condamnation ou, le cas échéant, l’État membre auquel la demande a été présentée confirme par écrit et sans délai à la personne concernée que des mesures ont été prises pour rectifier ou effacer des données la concernant.

4.Si l’État membre auquel la demande a été présentée n’estime pas que les données enregistrées dans le système ECRIS-TCN sont matériellement erronées ou qu'elles y ont été enregistrées de façon illicite, il adopte une décision administrative indiquant par écrit et sans délai à la personne concernée les raisons pour lesquelles il n’est pas disposé à rectifier ou à effacer les données la concernant.

5.L’État membre qui a adopté la décision administrative conformément au paragraphe 4 fournit également à la personne concernée des précisions quant aux mesures qu’elle peut prendre si elle n’accepte pas l’explication fournie. Il s’agit notamment d’informations sur les modalités de recours ou de plainte devant les autorités ou les juridictions compétentes de cet État membre, ainsi que sur toute aide, y compris de la part des autorités de contrôle, dont la personne concernée peut disposer en vertu de la législation de cet État membre.

6.Toute demande présentée en vertu des paragraphes 1 et 2 comporte toutes les informations nécessaires à l’identification de la personne concernée. Ces informations ne sont utilisées que pour permettre l’exercice des droits prévus aux paragraphes 1 et 2 et sont ensuite immédiatement effacées.

7.Lorsqu’une personne demande la communication de données la concernant en vertu du paragraphe 2, l’autorité centrale conserve la trace de cette demande, dans un document écrit, lequel précise la façon dont la demande a été traitée et par quelle autorité, et transmet ce document aux autorités de contrôle sans délai.

Article 24
Coopération en vue de garantir les droits en matière de protection des données

1.Les autorités centrales des États membres coopèrent en vue de permettre l'exercice des droits prévus à l’article 23.

2.Dans chaque État membre, l’autorité de contrôle assiste et conseille, sur demande, la personne concernée dans l’exercice de son droit de faire rectifier ou effacer les données la concernant.

3.Afin d’atteindre ces objectifs, l’autorité de contrôle de l’État membre qui a transmis les données et les autorités de contrôle des États membres auxquels la demande a été présentée coopèrent entre elles.

Article 25
Voies de recours

1.Dans chaque État membre, toute personne a le droit de former un recours ou de déposer une plainte dans l’État membre qui lui a refusé le droit d’accès aux données la concernant ou le droit de rectification ou d’effacement de ces données prévus à l’article 23.

2.L’assistance des autorités de contrôle demeure acquise pendant toute la durée de la procédure.

Article 26
Surveillance assurée par l'autorité de contrôle nationale

1.Chaque État membre veille à ce que l’autorité ou les autorités de contrôle, désignées conformément à l’article 41 de la directive (UE) 2016/680, contrôlent la licéité du traitement, effectué par l’État membre en question, des données à caractère personnel énumérées à l’article 6, y compris de leur transmission à partir du système ECRIS-TCN et vers celui-ci.

2.L’autorité de contrôle veille à ce qu’un audit des activités de traitement des données figurant dans les casiers judiciaires et les bases de données dactyloscopiques nationaux, répondant aux normes internationales d’audit applicables, soit réalisé tous les quatre ans au minimum à compter de la mise en service du système ECRIS-TCN.

3.Les États membres veillent à ce que leur autorité de contrôle dispose de ressources suffisantes pour s’acquitter des tâches qui lui sont confiées en vertu du présent règlement.

4.Chaque État membre communique toutes les informations demandées par les autorités de contrôle et leur fournit, en particulier, les informations relatives aux activités menées conformément aux articles 12, 13 et 17. Chaque État membre permet aux autorités de contrôle d'accéder aux relevés mentionnés à l’article 29 et, à tout moment, à l’ensemble de ses locaux liés au système ECRIS-TCN.

Article 27
Surveillance assurée par le Contrôleur européen de la protection des données

1.Le Contrôleur européen de la protection des données veille à ce que les activités de traitement des données à caractère personnel menées par eu-LISA qui concernent le système ECRIS-TCN soient effectuées conformément au présent règlement.

2.Le Contrôleur européen de la protection des données veille à ce que soit réalisé, tous les quatre ans au minimum, un audit des activités de traitement des données à caractère personnel menées par l’agence, répondant aux normes d'audit internationales applicables. Un rapport de cet audit est transmis au Parlement européen, au Conseil, à eu-LISA, à la Commission, aux autorités de contrôle et aux autorités de contrôle nationales. eu-LISA a la possibilité de formuler des observations avant l'adoption dudit rapport.

3.eu-LISA fournit au Contrôleur européen de la protection des données les renseignements qu’il demande et lui donne accès à tous les documents et aux relevés mentionnés à l’article 29 et, à tout moment, à l’ensemble de ses locaux.

Article 28
Coopération entre les autorités de contrôle et le Contrôleur européen de la protection des données

Il convient d’assurer une surveillance coordonnée, conformément à l’article 62 du [nouveau règlement sur la protection des données concernant les institutions et les organes de l’Union].

Article 29
Tenue de journaux

1.eu-LISA et les autorités compétentes veillent, conformément à leurs responsabilités respectives, à ce que toutes les activités de traitement des données dans le système ECRIS-TCN soient consignées dans un journal aux fins de la vérification de la recevabilité de la demande et du contrôle de la licéité du traitement des données et de l’intégrité et de la sécurité des données, ainsi qu'à des fins d’autocontrôle.

2.Le journal ou les traces documentaires mentionnent:

(vv)    la finalité de la demande d’accès aux données du système ECRIS-TCN;

(ww)les données transmises, telles qu'énumérées à l'article 5;

(xx)    la référence du fichier national;

(yy)    la date et l'heure précise de l’opération;

(```)    les données utilisées pour la demande;

(aaa)    les données d’identification de l’agent qui a effectué la recherche et celles de l’agent qui l’a ordonnée.

3.Les journaux des opérations de consultation et de transmission des données permettent d'établir le motif de telles opérations.

4.Les journaux et les traces documentaires ne sont utilisés que pour contrôler la licéité du traitement des données et pour garantir l’intégrité et la sécurité de celles-ci. Seuls les journaux contenant des données à caractère non personnel peuvent être utilisés aux fins du suivi et de l’évaluation prévus à l’article 34. Ces journaux doivent être protégés par des mesures appropriées contre tout accès non autorisé et effacés au bout d'un an s'ils ne sont plus nécessaires à une procédure de contrôle déjà engagée.

5.Sur demande, eu-LISA met les journaux de ses opérations de traitement à la disposition des autorités centrales sans délai.

6.Les autorités de contrôle nationales compétentes chargées de vérifier la recevabilité de la demande et de contrôler la licéité du traitement des données ainsi que l’intégrité et la sécurité des données ont accès à ces journaux à leur demande aux fins de l’accomplissement des tâches qui leur incombent. Sur demande, les autorités centrales mettent les journaux de leurs opérations de traitement à la disposition des autorités de contrôle compétentes dans un délai raisonnable.

CHAPITRE VI
Dispositions finales

Article 30
Utilisation des données à des fins d’établissement de rapports et de statistiques

1.Le personnel d’eu-LISA dûment autorisé, les autorités compétentes et la Commission n’ont accès aux données traitées dans le système ECRIS-TCN qu’à des fins statistiques et d’établissement de rapports ne permettant aucune identification individuelle.

2.Aux fins du paragraphe 1, eu-LISA crée, met en place et héberge sur son ou ses sites techniques un fichier central contenant les données mentionnées au paragraphe 1, qui, sans permettre l’identification des individus, permet d’obtenir des rapports et des statistiques personnalisables. L’accès au fichier central est accordé de manière sécurisée, moyennant un contrôle de l’accès et des profils d’utilisateur spécifiques utilisés exclusivement aux fins de l’établissement de rapports et de statistiques.

3.Les règles détaillées concernant le fonctionnement du fichier central et les règles relatives à la protection et à la sécurité des données applicables au fichier central sont adoptées conformément à la procédure d’examen prévue à l’article 35, paragraphe 2.

4.Les procédures mises en place par eu-LISA pour suivre le fonctionnement du système ECRIS-TCN, mentionnées à l’article 34, ainsi que l’application de référence d’ECRIS prévoient la possibilité de produire régulièrement des statistiques aux fins de ce suivi.

Chaque mois, eu-LISA soumet à la Commission des statistiques anonymes concernant l’enregistrement, le stockage et l'échange d'informations extraites des casiers judiciaires au moyen du système ECRIS-TCN et de l’application de référence d’ECRIS. À la demande de la Commission, eu-LISA fournit à cette dernière des statistiques relatives à certains aspects spécifiques ayant trait à la mise en œuvre du présent règlement.

5.Les États membres fournissent à eu-LISA les statistiques dont elle a besoin pour s'acquitter de ses obligations prévues par le présent article. Ils procurent à la Commission des statistiques sur le nombre de ressortissants de pays tiers condamnés, de même que sur le nombre de condamnations de ressortissants de pays tiers prononcées sur leur territoire.

Article 31
Coûts

1.Les coûts afférents à la création et au fonctionnement du système central, de l’infrastructure de communication, du logiciel d’interface et de l’application de référence d’ECRIS sont à la charge du budget général de l’Union.

2.Les coûts de connexion d’Eurojust, d’Europol [et du Parquet européen] au système ECRIS-TCN sont imputés au budget de ces organes.

3.Les autres coûts sont pris en charge par les États membres, en particulier les coûts afférents à la connexion des casiers judiciaires nationaux existants, des bases de données dactyloscopiques et des autorités centrales au système ECRIS-TCN, ainsi que les coûts liés à l’hébergement de l’application de référence d’ECRIS.

Article 32
Notifications

Les États membres notifient à eu-LISA le nom de leurs autorités centrales qui bénéficient d’un accès pour saisir, modifier, effacer, consulter des données ou effectuer des recherches dans celles-ci. eu-LISA publie régulièrement une liste de ces autorités centrales.

Article 33
Mise en service

1.La Commission détermine la date de mise en service du système ECRIS-TCN, lorsque les conditions suivantes sont remplies:

(bbb)    les mesures prévues à l’article 10 ont été adoptées;

(ccc)    eu-LISA a déclaré concluants les essais complets du système ECRIS-TCN qu'elle a menés en coopération avec les États membres;

(ddd)    les États membres ont validé les aménagements techniques et juridiques nécessaires pour recueillir et transmettre au système ECRIS-TCN les données énumérées à l’article 5 et ils les ont notifiés à la Commission;

2.eu-LISA informe la Commission des résultats concluants des essais prévus au paragraphe 1, point b). La Commission informe le Parlement européen et le Conseil des résultats des essais effectués conformément au paragraphe 1, point b).

3.La décision de la Commission prévue au paragraphe 1 est publiée au Journal officiel.

4.Les États membres commencent à utiliser le système ECRIS-TCN à partir de la date fixée par la Commission conformément au paragraphe 1.

Article 34
Suivi et évaluation

1.eu-LISA veille à ce que des procédures soient mises en place pour suivre le développement du système ECRIS-TCN par rapport aux objectifs fixés en matière de planification et de coûts et suivre le fonctionnement du système ECRIS-TCN et de l’application de référence d’ECRIS par rapport aux objectifs fixés en matière de résultats techniques, de coût-efficacité, de sécurité et de qualité du service.

2.Aux fins du suivi du fonctionnement du système et de sa maintenance technique, eu-LISA a accès aux informations nécessaires concernant les opérations de traitement de données effectuées dans le système ECRIS-TCN et l’application de référence d’ECRIS.

3.Au plus tard [six mois après l'entrée en vigueur du présent règlement], puis tous les six mois pendant la phase de développement, eu-LISA présente un rapport au Parlement européen et au Conseil sur l'état d'avancement du développement du système ECRIS-TCN. Une fois le développement achevé, un rapport est présenté au Parlement européen et au Conseil, qui explique la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et justifie les éventuels écarts.

4.Deux ans après le début de l’exploitation du système ECRIS-TCN et chaque année par la suite, eu-LISA présente à la Commission un rapport sur le fonctionnement technique du système ECRIS-TCN et de l’application de référence d’ECRIS, y compris sur la sécurité de ceux-ci, fondé notamment sur les statistiques relatives au fonctionnement et à l’utilisation du système ECRIS-TCN, ainsi que sur l’échange, par l'intermédiaire de l’application de référence d’ECRIS, d’informations extraites des casiers judiciaires.

5.Trois ans après le début de l’exploitation du système ECRIS-TCN, puis tous les quatre ans, ensuite, la Commission réalise une évaluation globale du système ECRIS-TCN et de l’application de référence d’ECRIS. Cette évaluation globale comprend une évaluation de l’application du règlement et un examen des résultats obtenus par rapport aux objectifs fixés ainsi que de l’incidence sur les droits fondamentaux, et détermine si les principes de base restent valables, apprécie la mise en œuvre du règlement et la sécurité du système, en tire toutes les conséquences pour le fonctionnement futur et formule les éventuelles recommandations nécessaires. La Commission transmet le rapport d'évaluation au Parlement européen et au Conseil.

6.Les États membres, Eurojust, Europol [et le Parquet européen] fournissent à eu-LISA et à la Commission les informations nécessaires à l’établissement des rapports prévus dans le présent article, dans le respect des indicateurs quantitatifs prédéfinis par la Commission et/ou eu-LISA. Ces informations ne peuvent porter préjudice aux méthodes de travail ni comprendre des indications sur les sources, les membres du personnel ou les enquêtes des autorités désignées.

7.eu-LISA fournit à la Commission les informations nécessaires pour réaliser les évaluations globales prévues au paragraphe 5.

Article 35
Procédure de comité

1.La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) nº 182/2011 32 .

2.Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) nº 182/2011 s'applique.

Article 36
Groupe consultatif

Un groupe consultatif est créé par eu-LISA et lui apporte son expertise en rapport avec le système ECRIS-TCN et l’application de référence d’ECRIS, notamment dans le contexte de l’élaboration de son programme de travail annuel et de son rapport annuel d’activités. Durant la phase de conception et de développement, l'article 11 s'applique.

Article 37
Modification du règlement (UE) n° 1077/2011

Le règlement (UE) n° 1077/2011 est modifié comme suit:

(31)À l'article 1er, le paragraphe 2 est remplacé par le texte suivant:

«2. L'agence est chargée de la gestion opérationnelle du système d'information, du système d'information sur les visas, d'Eurodac, [du système d'entrée/sortie] [de l’ETIAS] [du système automatisé pour l’enregistrement et le suivi des demandes, et pour le mécanisme d'attribution des demandes de protection internationale] du système ECRIS-TCN et de l’application de référence d’ECRIS.

(32)L'article suivant est inséré:

«Article 5 bis

Tâches liées au système ECRIS-TCN

En ce qui concerne le système ECRIS-TCN et l’application de référence d’ECRIS, l’agence s’acquitte:

(a)des tâches qui lui sont confiées par le règlement (UE) n° XXX/20XX du Parlement européen et du Conseil*;

(b)des tâches liées à une formation relative à l’utilisation technique du système ECRIS-TCN et de l’application de référence d’ECRIS.

__________

*    Règlement (UE) n° XXX/20XX du Parlement européen et du Conseil* du X.X.X portant création d'un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides, qui vise à compléter et à soutenir le système européen d’information sur les casiers judiciaires (système ECRIS-TCN), et modifiant le règlement (UE) n° 1077/2011 (JO L …).»

(33)À l’article 7, le paragraphe 5 est remplacé par le texte suivant:

«5. Les tâches liées à la gestion opérationnelle de l'infrastructure de communication peuvent être confiées à des entités ou organismes extérieurs de droit privé, conformément au règlement (CE, Euratom) n° 966/2012. Dans ce cas, le fournisseur de réseau est tenu de respecter les mesures de sécurité visées au paragraphe 4 et n’a aucunement accès aux données opérationnelles du SIS II, du VIS, d’Eurodac, [de l’EES] [de l’ETIAS] [du système automatisé pour l’enregistrement et le suivi des demandes, et pour le mécanisme d'attribution des demandes de protection internationale] et du système ECRIS-TCN, ni aux échanges Sirene relatifs au SIS II.

(34)À l’article 8, le paragraphe 1 est remplacé par le texte suivant:

«1. L'agence suit les progrès de la recherche présentant de l'intérêt pour la gestion opérationnelle du SIS II, du VIS, d’Eurodac, [de l’EES] [de l’ETIAS] [du système automatisé pour l’enregistrement et le suivi des demandes, et pour le mécanisme d'attribution des demandes de protection internationale], du système ECRIS-TCN et d’autres systèmes d’information à grande échelle.»

(35)À l'article 12, le paragraphe 1 est modifié comme suit:

(a)un point sa) est inséré après le point s):

«sa) adopte les rapports sur le développement du système ECRIS-TCN, conformément à l’article 34, paragraphe 3, du règlement (UE) n° XXX/20XX du Parlement européen et du Conseil du X.X.X portant création d’un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides, qui vise à compléter et à soutenir le système européen d’information sur les casiers judiciaires (système ECRIS-TCN), et modifiant le règlement (UE) n° 1077/2011 (JO L …)».

(b)le point t) est remplacé par le texte suivant:

«t) adopte les rapports sur le fonctionnement technique du SIS II, au titre, respectivement, de l’article 50, paragraphe 4, du règlement (CE) n° 1987/2006 et de l’article 66, paragraphe 4, de la décision 2007/533/JAI [ou de l’article 54, paragraphe 7, du règlement XX du Parlement européen et du Conseil du XX sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine des vérifications aux frontières, modifiant le règlement (UE) n° 515/2014 et abrogeant le règlement (CE) n° 1987/2006, et de l’article 71, paragraphe 7, du règlement XX du Parlement européen et du Conseil du XX sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière en matière pénale, modifiant le règlement (UE) n° 515/2014 et abrogeant le règlement (CE) n° 1986/2006, la décision 2007/533/JAI du Conseil et la décision 2010/261/UE de la Commission], et du VIS, au titre de l’article 50, paragraphe 3, du règlement (CE) n° 767/2008 et de l’article 17, paragraphe 3, de la décision 2008/633/JAI, [de l'EES, au titre de l’article 64, paragraphe 4, du règlement (UE) XX/XX du XXX, et de l’ETIAS, au titre de l’article 81, paragraphe 4, du règlement (UE) XX/XX du XXX, ainsi que du système ECRIS-TCN et de l’application de référence d’ECRIS, au titre de l’article 34, paragraphe 4, du règlement (UE) XX/XXX;»

(c)le point v) est remplacé par le texte suivant:

«v)    formule des observations formelles sur les rapports établis par le Contrôleur européen de la protection des données concernant les audits réalisés au titre de l'article 45, paragraphe 2, du règlement (CE) n° 1987/2006, de l'article 42, paragraphe 2, du règlement (CE) n° 767/2008 et de l'article 31, paragraphe 2, du règlement (UE) n° 603/2013, de l'article 50, paragraphe 2, du règlement (UE) XX/XX du XXX [portant création de l'EES], de l'article 57 du règlement (UE) XX/XX du XXX [portant création de l’ETIAS] et de l'article 27, paragraphe 2, du règlement (UE) XX/XXXX [portant création du système ECRIS-TCN] et veille à ce qu'il soit donné dûment suite à ces audits;».

(d)le point suivant est inséré après le point xa):

«xb) publie des statistiques sur le système ECRIS-TCN et l’application de référence d’ECRIS, au titre de l’article 30 du règlement XXXX/XX;».

(e) le point y) est remplacé par le texte suivant:

«y)    veille à la publication annuelle de la liste des autorités compétentes autorisées à consulter directement les données introduites dans le SIS II au titre de l’article 31, paragraphe 8, du règlement (CE) n° 1987/2006 et de l’article 46, paragraphe 8, de la décision 2007/533/JAI, ainsi que de la liste des offices des systèmes nationaux de SIS II (N.SIS II) et des bureaux Sirene visés, respectivement, à l’article 7, paragraphe 3, du règlement (CE) n° 1987/2006 et à l’article 7, paragraphe 3, de la décision 2007/533/JAI [ou à l’article 36, paragraphe 8, du règlement XX du Parlement européen et du Conseil du XX sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine des vérifications aux frontières, modifiant le règlement (UE) n° 515/2014 et abrogeant le règlement (CE) n° 1987/2006, et à l’article 53, paragraphe 8, du règlement XX du Parlement européen et du Conseil du XX sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière en matière pénale, modifiant le règlement (UE) n° 515/2014 et abrogeant le règlement (CE) n° 1986/2006, la décision 2007/533/JAI du Conseil et la décision 2010/261/UE de la Commission, ainsi que de la liste des offices des systèmes nationaux de SIS II (N.SIS II) et des bureaux Sirene visés, respectivement, à l’article 7, paragraphe 3, du règlement XX du Parlement européen et du Conseil du XX sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine des vérifications aux frontières et à l’article 7, paragraphe 3, du règlement XX du Parlement européen et du Conseil du XX sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière en matière pénale; [et de la liste des autorités compétentes au titre de l'article 8, paragraphe 2, du règlement (UE) XXXX/XX portant création de l'EES]; [de la liste des autorités compétentes au titre de l'article 11 du règlement (UE) XXXX/XX portant création de l’ETIAS] et [de la liste des autorités centrales au titre de l’article 32 du règlement XX/XXX portant création du système ECRIS-TCN];»

(36)À l’article 15, le paragraphe 4 est remplacé par le texte suivant:

«4.    Europol et Eurojust peuvent assister aux réunions du conseil d’administration en tant qu’observateurs lorsqu’une question concernant le SIS II, liée à l’application de la décision 2007/533/JAI, figure à l’ordre du jour. [L'Agence européenne de garde-frontières et de garde-côtes peut assister aux réunions du conseil d'administration en tant qu'observateur lorsqu'une question concernant le SIS, liée à l'application du règlement (UE) 2016/1624 ou du règlement XXX du XXX, est à l'ordre du jour]. Europol peut également assister aux réunions du conseil d'administration en tant qu'observateur lorsqu'une question concernant le VIS, liée à l'application de la décision 2008/633/JAI, ou lorsqu'une question concernant Eurodac, liée à l'application du règlement (UE) n° 603/2013, est à l'ordre du jour. [Europol peut également assister aux réunions du conseil d’administration en tant qu’observateur lorsqu’une question concernant l’EES, liée à l’application du règlement XX/XXXX (portant création de l'EES), est à l'ordre du jour ou lorsqu'une question concernant l’ETIAS, liée à l'application du règlement XX/XXXX (portant création de l’ETIAS), est à l'ordre du jour. L'Agence européenne de garde-frontières et de garde-côtes peut également assister aux réunions du conseil d'administration lorsqu'une question concernant l'ETIAS, liée à l'application du règlement XX/XX du XXX, est à l'ordre du jour.] [L’EASO peut également assister aux réunions du conseil d’administration en tant qu’observateur lorsqu’une question concernant le système automatisé pour l’enregistrement et le suivi des demandes, et pour le mécanisme d'attribution des demandes de protection internationale visé à l’article 44 du règlement (UE) établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite dans l’un des États membres par un ressortissant de pays tiers ou un apatride (refonte) COM(2016) 270 final-2016/0133(COD) est à l'ordre du jour.] [Eurojust, Europol et le Parquet européen peuvent également assister aux réunions du conseil d’administration en tant qu’observateurs lorsqu’une question concernant le règlement XX/XXXX portant création d’un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides, qui vise à compléter et à soutenir le système européen d’information sur les casiers judiciaires (système ECRIS-TCN), et modifiant le règlement (UE) n° 1077/2011) est à l'ordre du jour.]. Le conseil d’administration peut inviter toute autre personne dont l’avis peut présenter un intérêt à assister à ses réunions en qualité d’observateur.

(37)À l'article 17, paragraphe 5, le point g) est remplacé par le texte suivant:

«g) sans préjudice de l’article 17 du statut, fixe les exigences de confidentialité à respecter pour se conformer à l’article 17 du règlement (CE) n° 1987/2006, à l’article 17 de la décision 2007/533/JAI, à l’article 26, paragraphe 9, du règlement (CE) n° 767/2008, à l’article 4, paragraphe 4, du règlement (UE) n° 603/2013 [ainsi qu’à l’article 34, paragraphe 4, du règlement (UE) XX/XX du XX (portant création de l'EES)] 33 , à l’article 64, paragraphe 2, du règlement XX/XXXX (portant création de l’ETIAS) et à l’article 11, paragraphe 16, du règlement (UE) XX/XX du XXX portant création du système ECRIS-TCN].»

(38)À l’article 19, le paragraphe 1 est remplacé par le texte suivant:

«1. Les groupes consultatifs suivants apportent au conseil d'administration une expertise en ce qui concerne les systèmes d'information à grande échelle et, en particulier, dans le contexte de l'élaboration du programme de travail annuel et du rapport annuel d'activités:

(a)le groupe consultatif sur le SIS II;

(b)le groupe consultatif sur le VIS;

(c)le groupe consultatif sur Eurodac;

(d)le groupe consultatif sur [l'EES-ETIAS];

(e)le groupe consultatif sur le système ECRIS-TCN;

(f)tout autre groupe consultatif sur un système d’information à grande échelle prévu par l’instrument législatif correspondant régissant le développement, la création, le fonctionnement et l’utilisation de ce système d’information à grande échelle.»

Article 38
Mise en œuvre et dispositions transitoires

1.Les États membres prennent les mesures nécessaires pour se conformer aux dispositions du présent règlement dans les 24 mois suivant son entrée en vigueur.

2.Pour les condamnations prononcées avant le [date d’entrée en vigueur du présent règlement], les autorités centrales créent les enregistrements de données individuels dans le système central au plus tard 24 mois après l’entrée en vigueur du présent instrument, dès lors que ces données sont conservées dans leurs casiers judiciaires nationaux ou leur(s) base(s) de données dactyloscopiques nationale(s).

Article 39
Entrée en vigueur et applicabilité

Le présent règlement entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne. Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.

Fait à Bruxelles, le

FICHE FINANCIÈRE LÉGISLATIVE

1.CADRE DE LA PROPOSITION/DE L’INITIATIVE

1.1.Dénomination de la proposition/de l’initiative

1.2.Domaine(s) politique(s) concerné(s) dans la structure ABM/ABB

1.3.Nature de la proposition/de l’initiative

1.4.Objectif(s)

1.5.Justification(s) de la proposition/de l’initiative

1.6.Durée et incidence financière

1.7.Mode(s) de gestion prévu(s)

2.MESURES DE GESTION

2.1.Dispositions en matière de suivi et de compte rendu

2.2.Système de gestion et de contrôle

2.3.Mesures de prévention des fraudes et irrégularités

3.INCIDENCE FINANCIÈRE ESTIMÉE DE LA PROPOSITION/DE L’INITIATIVE

3.1.Rubrique(s) du cadre financier pluriannuel et ligne(s) budgétaire(s) de dépenses concernée(s)

3.2.Incidence estimée sur les dépenses

3.2.1.Synthèse de l’incidence estimée sur les dépenses

3.2.2.Incidence estimée sur les crédits opérationnels

3.2.3.Incidence estimée sur les crédits de nature administrative

3.2.4.Compatibilité avec le cadre financier pluriannuel actuel

3.2.5.Participation de tiers au financement

3.3.Incidence estimée sur les recettes

1.CADRE DE LA PROPOSITION/DE L’INITIATIVE

1.1.Dénomination de la proposition/de l’initiative

1.2.Domaine(s) politique(s) concerné(s) dans la structure ABM/ABB 34

1.3.Nature de la proposition/de l’initiative

◻ La proposition/l’initiative porte sur une action nouvelle

◻ La proposition/l’initiative porte sur une action nouvelle suite à un projet pilote/une action préparatoire 35

⌧ La proposition/l’initiative est relative à la prolongation d’une action existante

◻ La proposition/l’initiative porte sur une action réorientée vers une nouvelle action

1.4.Objectif(s)

1.4.1.Objectif(s) stratégique(s) pluriannuel(s) de la Commission visé(s) par la proposition/l’initiative

1.4.2.Objectif(s) spécifique(s) et activité(s) ABM/ABB concernée(s)

1.4.3.Résultat(s) et incidence(s) attendus

Préciser les effets que la proposition/l’initiative devrait avoir sur les bénéficiaires/la population visée.

1.4.4.Indicateurs de résultats et d’incidences

Préciser les indicateurs permettant de suivre la réalisation de la proposition/de l’initiative.

1.5.Justification(s) de la proposition/de l’initiative

1.5.1.Besoin(s) à satisfaire à court ou à long terme

1.5.2.Valeur ajoutée de l’intervention de l’UE

1.5.3.Leçons tirées d’expériences similaires

1.5.4.Compatibilité et synergie éventuelle avec d’autres instruments appropriés

1.6.Durée et incidence financière

◻ Proposition/initiative à durée limitée

–◻    Proposition/initiative en vigueur à partir de [JJ/MM]AAAA jusqu’en [JJ/MM]AAAA

–◻    Incidence financière de AAAA jusqu’en AAAA

⌧ Proposition/initiative à durée illimitée

–Mise en œuvre avec une période de montée en puissance de 2018 jusqu’en 2020, puis un fonctionnement en rythme de croisière au-delà.

1.7.Mode(s) de gestion prévu(s) 36

⌧ Gestion directe par la Commission

–⌧ dans ses services, y compris par l’intermédiaire de son personnel dans les délégations de l’Union;

–⌧    par les agences exécutives 37

◻ Gestion partagée avec les États membres

◻ Gestion indirecte en confiant des tâches d’exécution budgétaire:

–◻ à des pays tiers ou aux organismes qu’ils ont désignés;

–◻ à des organisations internationales et à leurs agences (à préciser);

–◻à la BEI et au Fonds européen d’investissement;

–◻ aux organismes visés aux articles 208 et 209 du règlement financier;

–◻ à des organismes de droit public;

–◻ à des organismes de droit privé investis d’une mission de service public, pour autant qu’ils présentent les garanties financières suffisantes;

–◻ à des organismes de droit privé d’un État membre qui sont chargés de la mise en œuvre d’un partenariat public-privé et présentent les garanties financières suffisantes;

–◻à des personnes chargées de l’exécution d’actions spécifiques relevant de la PESC, en vertu du titre V du traité sur l’Union européenne, identifiées dans l’acte de base concerné.

–Si plusieurs modes de gestion sont indiqués, veuillez donner des précisions dans la partie «Remarques».

2.MESURES DE GESTION

2.1.Dispositions en matière de suivi et de compte rendu

Préciser la fréquence et les conditions de ces dispositions.

2.2.Système de gestion et de contrôle

2.2.1.Risque(s) identifié(s)

2.2.2.Informations concernant le système de contrôle interne mis en place

2.2.3.Estimation du coût et des avantages des contrôles et évaluation du niveau attendu de risque d’erreur

2.3.Mesures de prévention des fraudes et irrégularités

Préciser les mesures de prévention et de protection existantes ou envisagées.

3.INCIDENCE FINANCIÈRE ESTIMÉE DE LA PROPOSITION/DE L’INITIATIVE

3.1.Rubrique(s) du cadre financier pluriannuel et ligne(s) budgétaire(s) de dépenses concernée(s)

• Lignes budgétaires existantes

Dans l’ordre des rubriques du cadre financier pluriannuel et des lignes budgétaires.

3.2.Incidence estimée sur les dépenses

3.2.1.Synthèse de l’incidence estimée sur les dépenses

En Mio EUR (à la 3e décimale)

3.2.2. Incidence estimée sur les crédits opérationnels

3.2.2.1.Incidence estimée sur le budget de eu-LISA, dépenses opérationnelles

–◻    La proposition/l’initiative n’engendre pas l’utilisation de crédits opérationnels

–⌧    La proposition/l’initiative engendre l’utilisation de crédits opérationnels, comme expliqué ci-après:

Crédits d’engagement en Mio EUR (à la 3e décimale)

3.2.3.Incidence estimée sur les ressources humaines

3.2.3.1.Estimation des dépenses de personnel de eu-LISA: synthèse

–◻    La proposition/l’initiative n’engendre pas l’utilisation de crédits de nature administrative.

–⌧    La proposition/l’initiative engendre l’utilisation de crédits de nature administrative, comme expliqué ci-après:

Estimation à exprimer en équivalents temps plein

Les cinq agents contractuels dont le recrutement est prévu au cours de la phase de mise en œuvre interviendront dans la gestion du projet, le suivi du développement, l’assurance de la qualité et les tests du système. À partir de 2021, un personnel désormais réduit devrait assumer la gestion du projet et quelques tâches de maintenance et d’assistance liées au système.

3.2.4.Incidence estimée sur les crédits de nature administrative

3.2.4.1. DG Justice et consommateurs

–◻    La proposition/l’initiative n’engendre pas l’utilisation de crédits de nature administrative.

–⌧    La proposition/l’initiative engendre l’utilisation de crédits de nature administrative, comme expliqué ci-après:

En Mio EUR (à la 3e décimale)

3.2.4.2.Besoins estimés en ressources humaines

–◻    La proposition/l’initiative n’engendre pas l’utilisation de ressources humaines.

–⌧    La proposition/l’initiative engendre l’utilisation de ressources humaines, comme expliqué ci-après:

Estimation à exprimer en équivalents temps plein

       XX est le domaine politique ou le titre concerné

Les besoins en ressources humaines seront couverts par les effectifs de la DG déjà affectés à la gestion de l’action et/ou redéployés en interne au sein de la DG, complétés le cas échéant par toute dotation additionnelle qui pourrait être allouée à la DG gestionnaire dans le cadre de la procédure d’allocation annuelle et compte tenu des contraintes budgétaires existantes.    

Description des tâches à effectuer:

3.2.5.Compatibilité avec le cadre financier pluriannuel actuel

–⌧    La proposition/l’initiative est compatible avec le cadre financier pluriannuel actuel.

–◻    La proposition/l’initiative nécessite une reprogrammation de la rubrique concernée du cadre financier pluriannuel.

–◻    La proposition/l’initiative nécessite le recours à l’instrument de flexibilité ou la révision du cadre financier pluriannuel.

3.2.6.Participation de tiers au financement

–⌧ La proposition/l’initiative ne prévoit pas de cofinancement par des tierces parties.

–◻ La proposition/l’initiative prévoit un cofinancement estimé ci-après:

Crédits en Mio EUR (à la 3e décimale)

3.3.Incidence estimée sur les recettes

–⌧    La proposition/l’initiative est sans incidence financière sur les recettes.

–◻    La proposition/l’initiative a une incidence financière décrite ci-après:

–◻    sur les ressources propres

–◻    sur les recettes diverses

En Mio EUR (à la 3e décimale)

Pour les recettes diverses qui seront «affectées», préciser la (les) ligne(s) budgétaire(s) de dépenses concernée(s).

Préciser la méthode de calcul de l’incidence sur les recettes.

(1) JO L 93 du 7.4.2009, p. 23 et 33.

(2) Conformément à la proposition de la Commission de 2016 [COM(2016) 7 final), la présente proposition s’applique aussi aux ressortissants de pays tiers ayant aussi la nationalité d’un État membre, afin que les informations puissent être trouvées même si l’autre nationalité n’est pas connue. Voir la page 12 de l’exposé des motifs concernant cette proposition.

(3) Rapport de la Commission concernant l’échange, au moyen du système européen d’information sur les casiers judiciaires (ECRIS), d’informations extraites de casiers judiciaires entre les États membres.

(4) «Programme européen en matière de sécurité» - Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, 28 avril 2015, COM(2015) 185 final.

(5) La proposition était accompagnée d’une analyse d’impact [SWD(2016) 4]. Elle fait encore l’objet de négociations au sein du Conseil. La commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a adopté son rapport sur la proposition de directive de la Commission de 2016 le 27 juin 2016.

(6) Dans l’analyse d’impact qui accompagne la proposition de la Commission de 2016, l’idée de créer une base de données entièrement centralisée contenant les éléments d’identification des personnes condamnées, ainsi que les informations complètes sur les condamnations, a été brièvement examinée, mais rapidement rejetée. La raison en était qu’il était apparu clairement, après consultation des États membres, en particulier lors de la réunion des experts ECRIS de septembre 2014, que cette option n’était pas politiquement réalisable, étant donné qu’elle n’était soutenue que par quelques États membres.

(7) COM(2016) 205 final du 6.4.2016.

(8) Le rapport final du groupe d’experts de haut niveau a été publié le 11 mai. Il est disponible à l’adresse suivante: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetailDoc&id=32600&no=1

(9) Voir l’article 3 de la décision 2009/316 du Conseil.

(10) COM(2017) 261 final du 16.5.2017.

(11) Décision-cadre 2008/675/JAI du Conseil du 24 juillet 2008 relative à la prise en compte des décisions de condamnation entre les États membres de l’Union européenne à l’occasion d’une nouvelle procédure pénale, JO L 220 du 15.8.2008, p. 32.

(12) JO L 286 du 1.11.2011, p. 1.

(13) COM(2016) 6 final du 19.1.2016.

(14) http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=82547

(15) http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=82551

(16) SDW(2016) 4 final.

(17) Tant que le règlement portant création du Parquet européen n’est pas adopté, les références à cet organe figureront entre crochets.

(18) JO L 55 du 28.2.2011, p. 13.

(19) Décision-cadre 2008/675/JAI du Conseil du 24 juillet 2008 relative à la prise en compte des décisions de condamnation entre les États membres de l’Union européenne à l’occasion d’une nouvelle procédure pénale (JO L 220 du 15.8.2008, p. 32).

(20) Décision-cadre 2009/315/JAI du Conseil du 26 février 2009 concernant l'organisation et le contenu des échanges d'informations extraites du casier judiciaire entre les États membres (JO L 93 du 7.4.2009, p. 23).

(21) Décision 2009/316/JAI du Conseil du 6 avril 2009 relative à la création du système européen d'information sur les casiers judiciaires (ECRIS), en application de l'article 11 de la décision-cadre 2009/315/JAI (JO L 93 du 7.4.2009, p. 33).

(22) Règlement (UE) n° 1077/2011 du Parlement européen et du Conseil du 25 octobre 2011 portant création d'une agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (JO L 286 du 1.11.2011, p. 1).

(23) Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).

(24) Décision 2002/187/JAI du Conseil du 28 février 2002 instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité (JO L 63 du 6.3.2002, p. 1).

(25) Règlement (UE).../... (JO L …).

(26) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

(27) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(28) Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(29) Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(30) JO C …

(31) Modifiée par la directive du Parlement européen et du Conseil modifiant la décision-cadre 2009/315/JAI du Conseil en ce qui concerne les échanges d’informations relatives aux ressortissants de pays tiers ainsi que le système européen d’information sur les casiers judiciaires (ECRIS), et remplaçant la décision 2009/316/JAI du Conseil [...].

(32) Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(33) Règlement relatif à l’EES

(34) ABM: activity-based management (gestion par activité); ABB: activity-based budgeting (établissement du budget par activité).

(35) Tel(le) que visé(e) à l’article 54, paragraphe 2, point a) ou b), du règlement financier.

(36) Les explications sur les modes de gestion ainsi que les références au règlement financier sont disponibles sur le site BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

(37) Le budget sera alloué à eu-LISA au moyen d’un virement budgétaire à partir du budget du programme «Justice» jusqu’en 2020 inclus. À partir de 2021, les coûts seront pris en compte dans le budget de eu-LISA, après adoption du nouveau cadre financier pluriannuel.

(38) CD = crédits dissociés / CND = crédits non dissociés.

(39) AELE: Association européenne de libre-échange.

(40) Pays candidats et, le cas échéant, pays candidats potentiels des Balkans occidentaux.

(41) Le budget sera alloué à eu-LISA au moyen d’un virement budgétaire à partir du budget du programme «Justice» jusqu’en 2020. À partir de 2021, le système sera opérationnel et les coûts se réduiront désormais aux coûts récurrents liés à l’entretien du système, qui seront pris en compte dans le budget de eu-LISA quand le nouveau cadre financier pluriannuel aura été adopté.

(42) Les réalisations se réfèrent aux produits et services qui seront fournis (par exemple: nombre d’échanges d’étudiants financés, nombre de km de routes construites, etc.).

(43) Tel que décrit dans la partie 1.4.2. «Objectif(s) spécifique(s)…».

(44) Assistance technique et/ou administrative et dépenses d’appui à la mise en œuvre de programmes et/ou d’actions de l’UE (anciennes lignes «BA»), recherche indirecte, recherche directe.

(45) Sous-plafonds de personnel externe financés sur crédits opérationnels (anciennes lignes «BA»).

(46) En ce qui concerne les ressources propres traditionnelles (droits de douane, cotisations sur le sucre), les montants indiqués doivent être des montants nets, c’est-à-dire des montants bruts après déduction de 25 % de frais de perception.