(1)

À la lumière des conclusions du Conseil du 12 février 2016 sur la lutte contre le financement du terrorisme, de la communication de la Commission au Parlement européen et au Conseil du 2 février 2016 relative à un plan d’action destiné à renforcer la lutte contre le financement du terrorisme et de la directive (UE) 2017/541 du Parlement européen et du Conseil (2), il convient d’adopter des règles communes sur le commerce avec les pays tiers de manière à assurer une protection efficace contre le commerce illicite de biens culturels et leur perte ou destruction, à préserver le patrimoine culturel de l’humanité et à empêcher le financement du terrorisme et le blanchiment de capitaux par la vente de biens culturels pillés à des acheteurs dans l’Union.

(2)

L’exploitation de peuples et de territoires peut être à l’origine du commerce illicite de biens culturels, en particulier lorsque ce commerce illicite survient à la faveur d’une situation de conflit armé. À cet égard, il convient que le présent règlement tienne compte des caractéristiques régionales et locales des peuples et des territoires, plutôt que de la valeur marchande des biens culturels.

(3)

Les biens culturels font partie du patrimoine culturel et revêtent souvent une importance culturelle, artistique, historique et scientifique majeure. Le patrimoine culturel constitue l’un des éléments fondamentaux de la civilisation, comportant notamment une valeur symbolique et constituant la mémoire culturelle de l’humanité. Il enrichit la vie culturelle de tous les peuples et unit les personnes autour d’une mémoire partagée, de la connaissance et du développement de la civilisation. Il devrait dès lors être protégé de l’appropriation illicite et du pillage. Le pillage des sites archéologiques a toujours existé, mais se produit désormais à une échelle industrielle et constitue, avec le commerce de biens culturels exhumés de manière illicite, une forme grave de criminalité qui entraîne un préjudice considérable pour les personnes touchées directement ou indirectement. Le commerce illicite de biens culturels contribue dans de nombreux cas à l’imposition par la force d’une homogénéisation culturelle ou d’une perte d’identité culturelle, tandis que le pillage des biens culturels entraîne, entre autres, la désintégration des cultures. Tant qu’il sera possible de prendre part au commerce lucratif de biens culturels exhumés de manière illicite et d’en tirer profit sans risque notable, ces fouilles et ces pillages continueront. La valeur économique et artistique des biens culturels suscite une forte demande sur le marché international. L’absence de mesures législatives internationales solides et l’application inefficace des mesures qui existent ont pour conséquence que ces biens passent dans l’économie souterraine. Il convient par conséquent que l’Union interdise l’introduction sur son territoire douanier de biens culturels exportés illicitement depuis des pays tiers, en accordant une attention particulière aux biens culturels provenant de pays tiers touchés par des conflits armés, en particulier lorsque ces biens culturels ont été commercialisés illicitement par des organisations terroristes ou d’autres organisations criminelles. Bien que cette interdiction générale ne devrait pas entraîner des contrôles systématiques, les États membres devraient être autorisés à intervenir lorsqu’ils reçoivent des renseignements concernant des cargaisons suspectes et à prendre toutes les mesures appropriées pour intercepter les biens culturels exportés illicitement.

(4)

Étant donné que des règles différentes s’appliquent dans les États membres en ce qui concerne l’importation de biens culturels sur le territoire douanier de l’Union, il y a lieu d’adopter des mesures, en particulier pour veiller à ce que certaines importations de biens culturels soient soumises à des contrôles uniformes lors de leur entrée sur le territoire douanier de l’Union, sur la base des processus, procédures et outils administratifs existants visant à parvenir à une application uniforme du règlement (UE) no 952/2013 du Parlement européen et du Conseil (3).

(5)

La protection des biens culturels considérés comme des trésors nationaux des États membres est déjà régie par le règlement (CE) no 116/2009 du Conseil (4) et la directive 2014/60/UE du Parlement européen et du Conseil (5). Par conséquent, le présent règlement ne devrait pas s’appliquer aux biens culturels qui ont été créés ou découverts sur le territoire douanier de l’Union. Les règles communes introduites par le présent règlement devraient couvrir le traitement douanier des biens culturels non Union qui entrent sur le territoire douanier de l’Union. Aux fins du présent règlement, le territoire douanier pertinent devrait être le territoire douanier de l’Union au moment de l’importation.

(6)

Les mesures de contrôle à mettre en place au sujet des zones franches et des dénommés «ports francs» devraient avoir un champ d’application aussi vaste que possible pour ce qui est des régimes douaniers concernés, afin d’empêcher le contournement du présent règlement par l’exploitation de ces zones franches, qui peuvent être utilisées pour une prolifération constante du commerce illicite. Ces mesures devraient dès lors porter non seulement sur les biens culturels mis en libre pratique mais aussi sur les biens culturels placés sous un régime douanier particulier. Le champ d’application ne devrait toutefois pas aller au-delà de l’objectif consistant à empêcher l’entrée sur le territoire douanier de l’Union de biens culturels exportés illicitement. En conséquence, tout en intégrant la mise en libre pratique et certains régimes douaniers particuliers sous lesquels des biens entrant sur le territoire douanier de l’Union peuvent être placés, il y a lieu d’exclure le transit des mesures de contrôle systématique.

(7)

De nombreux pays tiers et la majorité des États membres sont familiarisés avec les définitions utilisées dans la convention de l’Unesco concernant les mesures à prendre pour interdire et empêcher l’importation, l’exportation et le transfert de propriété illicites des biens culturels, signée à Paris le 14 novembre 1970 (ci-après dénommée «convention de l’Unesco de 1970») à laquelle un grand nombre d’État membres sont parties, et dans la convention d’Unidroit sur les biens culturels volés ou illicitement exportés, signée à Rome le 24 juin 1995. Pour cette raison, les définitions utilisées dans le présent règlement se fondent sur ces définitions.

(8)

Il y a lieu d’examiner principalement la licéité des exportations de biens culturels au regard des dispositions législatives et réglementaires du pays où ces biens culturels ont été créés ou découverts. Toutefois, afin de ne pas entraver déraisonnablement le commerce légitime, une personne qui tente d’importer des biens culturels sur le territoire douanier de l’Union devrait, dans certains cas, être exceptionnellement autorisée à prouver plutôt l’exportation licite depuis un autre pays tiers dans lequel les biens culturels se situaient avant leur expédition vers l’Union. Cette exception devrait s’appliquer dans les cas où le pays dans lequel les biens culturels ont été créés ou découverts ne peut pas être déterminé de manière fiable ou lorsque l’exportation des biens culturels en question a eu lieu avant l’entrée en vigueur de la convention de l’Unesco de 1970, à savoir le 24 avril 1972. Afin d’empêcher que le présent règlement puisse être contourné par le simple envoi de biens culturels exportés illicitement dans un autre pays tiers avant leur importation dans l’Union, les exceptions devraient être applicables lorsque les biens culturels ont été situés dans un pays tiers pendant une période de plus de cinq ans à des fins autres que l’utilisation temporaire, le transit, la réexportation ou le transbordement. Lorsque ces conditions sont remplies pour plus d’un pays, le pays pertinent devrait être le dernier de ces pays dans lequel les biens culturels se sont trouvés avant d’être introduits sur le territoire douanier de l’Union.

(9)

L’article 5 de la convention de l’Unesco de 1970 demande aux États parties d’instituer un ou plusieurs services nationaux de protection des biens culturels contre l’importation, l’exportation et le transfert de propriété illicites. Ces services nationaux devraient être dotés d’un personnel qualifié et en nombre suffisant, afin d’assurer cette protection conformément à cette convention et devraient également permettre la collaboration active nécessaire entre les autorités compétentes des États membres qui sont parties à cette convention dans le domaine de la sécurité et de la lutte contre les importations illicites de biens culturels, en particulier des régions touchées par un conflit armé.

(10)

Afin de ne pas entraver de manière disproportionnée le commerce de biens culturels aux frontières extérieures de l’Union, il convient que le présent règlement s’applique uniquement aux biens culturels satisfaisant à un critère d’ancienneté donné, fixé par le présent règlement. En outre, il semble approprié de fixer un seuil financier afin d’exclure les biens culturels de moindre valeur de l’application de ces conditions et procédures à leur importation sur le territoire douanier de l’Union. Ces seuils garantiront que les mesures prévues dans le présent règlement se concentrent sur les biens culturels les plus susceptibles d’être convoités par les pilleurs dans les zones de conflits, sans pour autant exclure d’autres biens dont le contrôle est nécessaire en vue de protéger le patrimoine culturel.

(11)

Le commerce illicite de biens culturels pillés a été recensé comme une source possible des activités de financement du terrorisme et de blanchiment de capitaux dans le cadre d’une évaluation supranationale des risques de blanchiment de capitaux et de financement du terrorisme qui ont une incidence sur le marché intérieur.

(12)

Étant donné que certaines catégories de biens culturels, à savoir les objets archéologiques et éléments de monuments, sont particulièrement vulnérables face au pillage et à la destruction, il semble nécessaire de prévoir un système de contrôle renforcé avant que ces biens soient autorisés à entrer sur le territoire douanier de l’Union. Un tel système devrait exiger la présentation d’une licence d’importation délivrée par l’autorité compétente d’un État membre avant la mise en libre pratique de ces biens culturels dans l’Union ou leur placement sous un régime douanier particulier autre que le transit. Les personnes qui cherchent à obtenir un telle licence devraient être en mesure de prouver l’exportation licite depuis le pays dans lequel les biens culturels ont été créés ou découverts à l’aide des pièces justificatives et preuves appropriées, notamment des certificats d’exportation des titres de propriété, des factures, des contrats de vente, des documents d’assurance, des documents de transport et des expertises. Sur la base de demandes complètes et exactes, les autorités compétentes des États membres devraient décider de délivrer ou non une licence sans retard injustifié. Il y a lieu de conserver l’ensemble des licences d’importation dans un système électronique.

(13)

Le terme «icône» désigne une représentation d’une figure religieuse ou d’une manifestation religieuse. Elle peut être produite sur différents supports et en différentes tailles, tant monumentale que portable. Si une icône se trouvait auparavant, par exemple, à l’intérieur d’une église, d’un monastère, d’une chapelle, soit en tant qu’élément isolé, soit en tant que pièce constitutive d’un mobilier architectural, par exemple une iconostase ou un porte-icône, il s’agit d’un élément indispensable et inséparable du culte divin et de la vie liturgique et cette icône devrait être considérée comme faisant partie intégrante du monument religieux qui a été démembré. Même dans les cas où le monument spécifique auquel appartenait l’icône est inconnu, mais s’il existe des éléments de preuve indiquant que celle-ci faisait autrefois partie intégrante d’un monument, en particulier lorsqu’il y a des signes ou des éléments qui indiquent qu’elle faisait auparavant partie d’une iconostase ou d’un porte-icône, l’icône devrait toujours relever de la catégorie «éléments provenant du démembrement de monuments artistiques ou historiques ou de sites archéologiques» énumérée dans l’annexe.

(14)

Compte tenu de la nature particulière des biens culturels, le rôle des autorités douanières est extrêmement important, et elles devraient être en mesure, si elles le jugent nécessaire, d’exiger des informations supplémentaires de la part du déclarant et d’analyser les biens culturels en procédant à une expertise physique.

(15)

Pour les catégories de biens culturels dont l’importation ne nécessite pas de licence d’importation, les personnes cherchant à les importer sur le territoire douanier de l’Union devraient, au moyen d’une déclaration, certifier l’exportation licite des biens culturels depuis le pays tiers et en assumer la responsabilité, tout en fournissant suffisamment de renseignements pour permettre aux autorités douanières d’identifier ces biens culturels. Afin de faciliter la procédure et dans un souci de sécurité juridique, il convient que les informations relatives aux biens culturels soient transmises au moyen d’un document standardisé. La norme Object ID, recommandée par l’Unesco, pourrait être utilisée pour décrire les biens culturels. Il y a lieu que le détenteur des biens enregistre ces informations dans un système électronique, afin de faciliter l’identification par les autorités douanières, de permettre la réalisation d’une analyse des risques et de contrôles ciblés et de garantir la traçabilité des biens culturels après leur entrée sur le marché intérieur.

(16)

Dans le contexte de l’environnement de guichet unique pour les douanes, la Commission devrait être chargée de mettre en place un système électronique centralisé pour l’introduction des demandes de licences d’importation et des déclarations des importateurs, ainsi que pour le stockage et l’échange d’informations entre les autorités des États membres, en particulier pour ce qui est des déclarations des importateurs et des licences d’importation.

(17)

Le traitement des données en vertu du présent règlement devrait pouvoir couvrir également les données à caractère personnel et il devrait être effectué conformément au droit de l’Union. Les États membres et la Commission ne devraient traiter les données à caractère personnel qu’aux fins du présent règlement ou dans des circonstances dûment justifiées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Toute collecte, divulgation, transmission, communication et autre traitement de données à caractère personnel relevant du champ d’application du présent règlement devraient être soumis aux exigences des règlements (UE) 2016/679 (6) et (UE) 2018/1725 (7) du Parlement européen et du Conseil. Le traitement de données à caractère personnel aux fins du présent règlement devrait également respecter le droit au respect de la vie privée et familiale, reconnu à l’article 8 de la convention de sauvegarde des droits de l’homme et des libertés fondamentales du Conseil de l’Europe, ainsi que le droit au respect de la vie privée et familiale et le droit à la protection des données à caractère personnel, reconnus respectivement aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

(18)

Les biens culturels qui n’ont pas été créés ou découverts sur le territoire douanier de l’Union mais qui ont été exportés en tant que marchandises de l’Union ne devraient pas être subordonnés à la présentation d’une licence d’importation ou d’une déclaration de l’importateur lorsqu’ils sont réintroduits sur ce territoire en tant que marchandises en retour au sens du règlement (UE) no 952/2013.

(19)

L’admission temporaire de biens culturels à des fins pédagogiques, scientifiques, de conservation, de restauration, d’exposition ou de numérisation, dans le domaine des arts du spectacle, de recherches menées par des établissements universitaires ou d’une coopération entre musées ou institutions similaires ne devrait pas non plus être subordonnée à la présentation d’une licence d’importation ou d’une déclaration de l’importateur.

(20)

Le stockage de biens culturels en provenance de pays touchés par des conflits armés ou une catastrophe naturelle, dans le but exclusif de trouver un lieu sûr pour assurer leur conservation et leur préservation par une autorité publique ou sous la surveillance de celle-ci, ne devrait pas être soumis à la présentation d’une licence d’importation ou d’une déclaration de l’importateur.

(21)

Afin de faciliter la présentation de biens culturels lors des foires commerciales d’art, il ne devrait pas être nécessaire de présenter une licence d’importation lorsque les biens culturels en question sont placés sous le régime de l’admission temporaire, au sens de l’article 250 du règlement (UE) no 952/2013, et qu’une déclaration de l’importateur a été fournie à la place de la licence d’importation. La présentation d’une licence d’importation devrait toutefois être requise lorsque ces biens culturels restent dans l’Union après la foire d’art.

(22)

Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission afin d’adopter des modalités applicables aux biens culturels qui sont des marchandises en retour ou l’admission temporaire des biens culturels sur le territoire douanier de l’Union et leur conservation, les modèles pour les demandes de licences d’importation et les formulaires correspondants, les modèles pour les déclarations des importateurs et les documents qui les accompagnent, et d’autres règles de procédure concernant le dépôt et le traitement de ces pièces. Il convient également de conférer des compétences d’exécution à la Commission afin de prendre des dispositions en vue de la mise en place d’un système électronique pour l’introduction des demandes de licences d’importation et des déclarations des importateurs, ainsi que pour le stockage d’informations et l’échange d’informations entre les États membres. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (8).

(23)

Afin d’assurer une coordination efficace et d’éviter une duplication des efforts lors de l’organisation de formations, d’activités de renforcement des capacités et de campagnes de sensibilisation, ainsi que de demander la réalisation de travaux de recherche pertinents et l’élaboration de normes, le cas échéant, la Commission et les États membres devraient coopérer avec les organisations et instances internationales, telles que l’Unesco, Interpol, Europol, l’Organisation mondiale des douanes, le Centre international d’études pour la conservation et la restauration des biens culturels et le Conseil international des musées (ICOM).

(24)

Les informations utiles concernant les flux commerciaux de biens culturels devraient être recueillies et partagées par voie électronique par les États membres et la Commission, aux fins de la mise en œuvre efficace du présent règlement et de la constitution d’une base pour son évaluation future. Dans un souci de transparence et d’examen public, il convient de rendre publiques autant d’informations que possible. Un contrôle efficace des flux commerciaux de biens culturels ne peut reposer uniquement sur la valeur ou le poids des biens. Il est essentiel de collecter des informations par voie électronique sur le nombre d’articles déclarés. Aucune unité de mesure supplémentaire n’étant spécifiée dans la nomenclature combinée pour les biens culturels, il est nécessaire d’exiger que le nombre d’articles soit déclaré.

(25)

La stratégie et le plan d’action de l’Union européenne sur la gestion des risques en matière douanière visent, notamment, à renforcer les capacités des autorités douanières en vue d’accroître la capacité de réaction face aux risques dans le domaine des biens culturels. Il convient d’utiliser le cadre commun de gestion des risques établi dans le règlement (UE) no 952/2013 et de veiller à l’échange d’informations utiles en matière de risques entre les autorités douanières.

(26)

Afin de tirer parti de l’expertise des organisations et instances internationales qui jouent un rôle actif dans le domaine culturel ainsi que de leur expérience concernant le commerce illicite de biens culturels, les recommandations et orientations émises par ces organisations et instances devraient être prises en compte dans le cadre commun de gestion des risques lors de l’identification des risques liés aux biens culturels. Il convient en particulier de se référer aux listes rouges publiées par l’ICOM pour identifier les pays tiers dont le patrimoine est le plus menacé et les objets exportés à partir de ces pays qui sont les plus susceptibles de faire l’objet d’un commerce illicite.

(27)

Il y a lieu de lancer des campagnes visant à sensibiliser les acheteurs de biens culturels quant au risque de commerce illicite et d’aider les acteurs du marché à comprendre et à appliquer le présent règlement. Les États membres devraient associer les points de contact nationaux et les autres services d’information à la diffusion de ces informations.

(28)

Il y a lieu que la Commission s’assure que les micro-, petites et moyennes entreprises (PME) bénéficient d’une assistance technique adéquate et qu’elle facilite la communication d’informations à celles-ci en vue d’une mise en œuvre efficace du présent règlement. Les PME établies dans l’Union qui importent des biens culturels devraient par conséquent bénéficier des programmes actuels et futurs de l’Union qui visent à soutenir la compétitivité des petites et moyennes entreprises.

(29)

Afin d’encourager la conformité et d’empêcher tout contournement, il est opportun que les États membres introduisent des sanctions effectives, proportionnées et dissuasives en cas de non-respect des dispositions du présent règlement et qu’ils communiquent ces sanctions à la Commission. Les sanctions instaurées par les États membres quant au non-respect du présent règlement devraient avoir un effet dissuasif équivalent dans toute l’Union.

(30)

Les États membres devraient veiller à ce que les autorités douanières et les autorités compétentes s’accordent sur les mesures visées à l’article 198 du règlement (UE) no 952/2013. Les détails de ces mesures devraient être réglés par le droit national.

(31)

La Commission devrait adopter sans retard les modalités d’exécution du présent règlement, en particulier celles relatives aux formulaires électroniques standardisés appropriés à utiliser pour demander une licence d’importation ou établir une déclaration de l’importateur, et elle devrait ensuite mettre en place le système électronique dans les plus brefs délais. L’application des dispositions relatives aux licences d’importation et aux déclarations des importateurs devrait être reportée en conséquence.

(32)

Conformément au principe de proportionnalité, il est nécessaire et approprié afin de mettre en œuvre les objectifs fondamentaux du présent règlement de règlementer l’introduction de biens culturels et les conditions et procédures applicables à leur importation sur le territoire douanier de l’Union. Le présent règlement n’excède pas ce qui est nécessaire pour atteindre les objectifs poursuivis, conformément à l’article 5, paragraphe 4, du traité sur l’Union européenne,

(1)

Les réseaux et systèmes d’information et les réseaux et services de communications électroniques remplissent une fonction essentielle dans la société et sont devenus le nerf de la croissance économique. Les technologies de l’information et des communications (TIC) sont le fondement des systèmes complexes qui rendent possibles les activités sociales quotidiennes, permettent à nos économies de fonctionner dans des secteurs clés comme la santé, l’énergie, la finance et les transports, et soutiennent, en particulier, le fonctionnement du marché intérieur.

(2)

L’utilisation des réseaux et des systèmes d’information par les citoyens, les organisations et les entreprises s’est généralisée dans l’Union tout entière. La numérisation et la connectivité deviennent des caractéristiques essentielles d’un nombre toujours croissant de produits et de services et avec l’avènement de l’internet des objets (IdO), un nombre extrêmement élevé de dispositifs numériques connectés devrait être mis en service dans toute l’Union au cours de la prochaine décennie. Alors qu’un nombre croissant de dispositifs sont connectés à l’internet, leur conception n’intègre pas suffisamment la sécurité et la résilience, de sorte que la cybersécurité est insuffisante. Dans ce contexte, le recours limité à la certification conduit les utilisateurs — qu’ils soient des particuliers, des organisations ou des entreprises — à ne pas disposer de suffisamment d’informations sur les caractéristiques en matière de cybersécurité des produits TIC, services TIC et processus TIC, ce qui nuit à la confiance dans les solutions numériques. Les réseaux et systèmes d’information sont à même de nous assister dans tous les aspects de notre vie et constituent le moteur de la croissance économique de l’Union. Ils constituent le pilier de la réalisation du marché unique numérique.

(3)

Une numérisation et une connectivité accrues augmentent les risques liés à la cybersécurité, ce qui rend l’ensemble de la société plus vulnérable aux cybermenaces et exacerbe les dangers auxquels sont confrontés les individus, notamment les personnes vulnérables telles que les enfants. Afin d’atténuer ces risques, il convient de prendre toutes les mesures nécessaires pour améliorer la cybersécurité dans l’Union afin que les réseaux et systèmes d’information, les réseaux de communication, les produits, services et appareils numériques utilisés par les citoyens, les organisations et les entreprises — depuis les petites et moyennes entreprises (PME), telles qu’elles sont définies dans la recommandation 2003/361/CE de la Commission (4), jusqu’aux opérateurs d’infrastructures critiques — soient mieux protégés contre les cybermenaces.

(4)

En mettant les informations utiles à la disposition du public, l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA), instituée par le règlement (UE) no 526/2013 du Parlement européen et du Conseil (5), contribue au développement du secteur de la cybersécurité dans l’Union, en particulier les PME et les start-ups. L’ENISA devrait s’efforcer d’établir une coopération plus étroite avec les universités et les entités de recherche afin de contribuer à réduire la dépendance à l’égard des les produits et services de cybersécurité provenant de l’extérieur de l’Union et de renforcer les chaînes d’approvisionnement à l’intérieur de l’Union.

(5)

Les cyberattaques sont en augmentation, et une économie et une société connectées qui sont plus vulnérables aux cybermenaces et aux cyberattaques ont besoin de dispositifs de défense renforcés. Cependant, alors que les cyberattaques sont souvent de nature transfrontière, les compétences des autorités chargées de la cybersécurité et des autorités chargées de l’application de la loi ainsi que les réponses politiques qu’elles y apportent sont surtout nationales. Des incidents majeurs pourraient perturber la fourniture de services essentiels dans l’ensemble de l’Union. Cela nécessite de mettre en place des réponses efficaces et coordonnées et une gestion de la crise à l’échelon de l’Union, sur la base de politiques spécifiques et d’instruments élargis aux fins de la solidarité européenne et de l’assistance mutuelle. En outre, il est important pour les décideurs, les entreprises du secteur et les utilisateurs que la situation en matière de cybersécurité et de résilience dans l’Union soit régulièrement évaluée, sur la base de données de l’Union fiables et d’une anticipation systématique des évolutions, défis et menaces futurs au niveau de l’Union et à l’échelle mondiale.

(6)

Compte tenu de l’augmentation des enjeux auxquels l’Union est confrontée dans le domaine de la cybersécurité, il est nécessaire de disposer d’un ensemble complet de mesures qui s’appuieraient sur les actions déjà menées par l’Union et favoriseraient des objectifs complémentaires. Ces objectifs comprennent la poursuite du renforcement des capacités et de l’état de préparation des États membres et des entreprises, ainsi qu’une amélioration de la coopération, du partage d’informations et de la coordination entre les États membres et les institutions, organes et organismes de l’Union. En outre, étant donné que les cybermenaces ignorent les frontières, il est nécessaire d’augmenter, au niveau de l’Union, les capacités susceptibles de compléter l’action des États membres, notamment dans les cas d’incidents et de crises transfrontières majeurs, tout en prenant en compte l’importance de préserver et de renforcer les capacités nationales de réaction en cas de cybermenaces de tous types.

(7)

Des efforts supplémentaires sont également nécessaires pour sensibiliser davantage les citoyens, les organisations et les entreprises aux questions de cybersécurité. En outre, étant donné que les incidents nuisent à la confiance dans les fournisseurs de services numériques et dans le marché unique numérique lui-même, en particulier chez les consommateurs, cette confiance devrait être encore renforcée par la communication, en toute transparence, d’informations sur le niveau de sécurité qui caractérise les produits TIC, services TIC et processus TIC, qui précisent que la certification de cybersécurité, aussi élevée soit-elle, ne peut garantir qu’un produit TIC, service TIC ou processus TIC soit complètement sécurisé. Un renforcement de la confiance peut être facilité par une certification mise en œuvre à l’échelle de l’Union prévoyant des exigences et des critères d’évaluation communs en matière de cybersécurité dans l’ensemble des marchés nationaux et des secteurs.

(8)

La cybersécurité n’est pas qu’une question liée à la technologie, mais une question pour laquelle le comportement humain est tout aussi important. C’est pourquoi il convient d’encourager vivement les citoyens, les organisations et les entreprises à adopter une «hygiène informatique», à savoir des mesures simples, de routine qui, lorsqu’ils les mettent en œuvre et les effectuent régulièrement, réduisent au minimum leur exposition aux risques liés aux cybermenaces.

(9)

En vue de renforcer les structures de cybersécurité de l’Union, il est important de préserver et de développer les capacités de réaction globale des États membres en cas de cybermenaces, y compris en cas d’incidents transfrontières.

(10)

Les entreprises et les consommateurs individuels devraient disposer d’informations précises sur le niveau d’assurance auquel la sécurité de leurs produits TIC, services TIC et processus TIC a été certifiée. Dans le même temps, aucun produit TIC ou service TIC n’est totalement sécurisé sur le plan de la cybersécurité, et des règles fondamentales d’hygiène informatique doivent être promues et privilégiées. Compte tenu de la disponibilité croissante de dispositifs IdO, le secteur privé peut prendre une série de mesures volontaires dans l’optique de renforcer la sécurité des produits TIC, services TIC et processus TIC.

(11)

Souvent, les produits et systèmes TIC modernes intègrent une ou plusieurs technologies et composants tiers et reposent sur ceux-ci, par exemple des modules logiciels, des bibliothèques ou des interfaces de programmation d’applications. Ce rapport dit de «dépendance» pourrait présenter des risques supplémentaires liés à la cybersécurité car les vulnérabilités des composants tiers pourraient aussi affecter la sécurité des produits TIC, services TIC et processus TIC. Dans bon nombre de cas, recenser et documenter ces dépendances permet aux utilisateurs finaux des produits TIC, services TIC et processus TIC d’optimiser leurs activités de gestion des risques liés à la cybersécurité en améliorant, par exemple, les procédures qu’ils mettent en œuvre pour gérer les vulnérabilités liées à la cybersécurité et y remédier.

(12)

Les organisations, les fabricants ou les fournisseurs impliqués dans la conception et le développement de produits TIC, services TIC ou processus TIC devraient être encouragés à mettre en œuvre, aux stades les plus précoces de la conception et du développement, des mesures permettant de protéger au mieux la sécurité de ces produits, services et processus, de manière que la survenue de cyberattaques soit présumée et que leur incidence soit anticipée et minimisée («sécurité dès le stade de la conception»). La sécurité devrait être prise en charge tout au long du cycle de vie du produit TIC, service TIC ou processus TIC par les processus de conception et de développement qui évoluent constamment pour réduire le risque de préjudice causé par une utilisation malveillante.

(13)

Les entreprises, les organisations et le secteur public devraient configurer les produits TIC, services TIC ou processus TIC qu’ils conçoivent de manière à assurer un niveau de sécurité plus élevé, ce qui permettrait au premier utilisateur de recevoir une configuration par défaut avec les paramétrages les plus sûrs possibles (ci-après dénommée «sécurité par défaut»), réduisant ainsi la charge qui pèse sur les utilisateurs de devoir configurer un produit TIC, service TIC ou processus TIC de manière adéquate. Pour fonctionner, la sécurité par défaut ne devrait pas nécessiter une configuration approfondie, ou une compréhension des détails techniques spécifique, ou encore un comportement non intuitif de la part de l’utilisateur, et devrait fonctionner facilement et de façon fiable lorsqu’elle est mise en œuvre. Si, au cas par cas, une analyse des risques et de la facilité d’utilisation aboutit à la conclusion qu’une configuration par défaut n’est pas réalisable, les utilisateurs devraient être incités à choisir le paramétrage le plus sécurisé.

(14)

Le règlement (CE) no 460/2004 du Parlement européen et du Conseil (6) a institué l’ENISA aux fins de contribuer à la réalisation des objectifs visant à assurer un niveau élevé et efficace de sécurité des réseaux et de l’information au sein de l’Union et à favoriser l’émergence d’une culture de la sécurité des réseaux et de l’information dans l’intérêt des citoyens, des consommateurs, des entreprises et des administrations publiques. Le règlement (CE) no 1007/2008 du Parlement européen et du Conseil (7) a prorogé le mandat de l’ENISA jusqu’en mars 2012. Le règlement (UE) no 580/2011 du Parlement européen et du Conseil (8) a prorogé le mandat de l’ENISA une nouvelle fois jusqu’au 13 septembre 2013. Le règlement (UE) no 526/2013 a prorogé le mandat de l’ENISA jusqu’au 19 juin 2020.

(15)

L’Union a déjà pris d’importantes mesures pour garantir la cybersécurité et renforcer la confiance dans les technologies numériques. En 2013, la stratégie de cybersécurité de l’Union européenne a été adoptée afin d’orienter la politique que l’Union entendait mener en réaction aux cybermenaces et aux risques liés à la cybersécurité. Dans le but de mieux protéger les citoyens en ligne, l’Union a adopté en 2016 son premier acte juridique dans le domaine de la cybersécurité sous la forme de la directive (UE) 2016/1148 du Parlement européen et du Conseil (9). La directive (UE) 2016/1148 a instauré des exigences concernant les capacités nationales dans le domaine de la cybersécurité, a établi les premiers mécanismes destinés à améliorer la coopération stratégique et opérationnelle entre les États membres, et a introduit des obligations concernant les mesures de sécurité et la notification des incidents dans différents secteurs qui revêtent une importance vitale pour l’économie et la société tels que l’énergie, les transports, la fourniture et la distribution d’eau potable, les banques, les infrastructures des marchés financiers, les soins de santé, les infrastructures numériques ainsi que les fournisseurs de services numériques fondamentaux (moteurs de recherche, services d’informatique en nuage et places de marché en ligne).

L’ENISA s’est vu attribuer un rôle essentiel d’appui à la mise en œuvre de ladite directive. En outre, lutter efficacement contre la cybercriminalité est une priorité importante du programme européen en matière de sécurité et contribue à l’objectif global consistant à atteindre un niveau élevé de cybersécurité. D’autres actes juridiques tels que le règlement (UE) 2016/679 du Parlement européen et du Conseil (10) et les directives 2002/58/CE (11) et (UE) 2018/1972 (12) du Parlement européen et du Conseil contribuent également à un niveau élevé de cybersécurité dans le marché unique numérique.

(16)

Depuis l’adoption de la stratégie de cybersécurité de l’Union européenne en 2013 et la dernière révision du mandat de l’ENISA, le cadre d’action général a considérablement évolué en raison d’un environnement mondial devenu plus incertain et moins sécurisé. Dans ce contexte, et compte tenu de l’évolution positive du rôle que l’ENISA joue en tant que point de référence par ses conseils et ses compétences, et en tant que facilitatrice de coopération et de renforcement des capacités, ainsi que dans le cadre de la nouvelle politique de cybersécurité de l’Union, il est nécessaire de réviser le mandat de l’ENISA pour définir son rôle dans le nouvel écosystème de la cybersécurité et faire en sorte qu’elle contribue efficacement à la réponse apportée par l’Union aux défis en matière de cybersécurité qui résultent de la transformation radicale de la situation en ce qui concerne les cybermenaces, à l’égard desquels le mandat actuel de l’ENISA est insuffisant ainsi qu’il est apparu lors de l’évaluation de l’ENISA.

(17)

L’ENISA instituée par le présent règlement devrait succéder à l’ENISA instituée par le règlement (UE) no 526/2013. L’ENISA devrait remplir les tâches qui lui sont confiées par le présent règlement et par les autres actes juridiques de l’Union dans le domaine de la cybersécurité, notamment en fournissant des conseils et en apportant des compétences, ainsi qu’en jouant le rôle de centre d’information et de connaissance de l’Union. Elle devrait promouvoir l’échange de bonnes pratiques entre les États membres et les parties prenantes du secteur privé, proposer des actions politiques à la Commission et aux États membres, agir en tant que point de référence pour les initiatives politiques sectorielles au niveau de l’Union en ce qui concerne les questions de cybersécurité, et favoriser la coopération opérationnelle à la fois entre les États membres et entre ceux-ci et les institutions, organes et organismes de l’Union.

(18)

Dans le cadre de la décision 2004/97/CE, Euratom prise d’un commun accord entre les représentants des États membres réunis au niveau des chefs d’État ou de gouvernement (13), les représentants des États membres ont décidé que l’ENISA aurait son siège dans une ville en Grèce qui serait désignée par le gouvernement grec. L’État membre d’accueil de l’ENISA devrait offrir les meilleures conditions possibles pour un fonctionnement harmonieux et efficace de l’ENISA. Il est impératif, pour l’exécution correcte et efficace de ses tâches, pour le recrutement et la fidélisation du personnel et pour une plus grande efficacité des activités de mise en réseau, que l’ENISA soit établie dans un lieu approprié, offrant, entre autres, des liaisons de transport et des aménagements appropriés pour les conjoints et enfants accompagnant les membres du personnel de l’ENISA. Les dispositions nécessaires devraient être arrêtées dans un accord conclu entre l’ENISA et l’État membre d’accueil, après approbation du conseil d’administration de l’ENISA.

(19)

Compte tenu de l’aggravation des risques et des défis liés à la cybersécurité auxquels l’Union est confrontée, il faudrait augmenter les ressources financières et humaines allouées à l’ENISA pour tenir compte du renforcement de son rôle et de ses tâches, ainsi que de sa position critique parmi les organisations qui défendent l’écosystème numérique de l’Union, pour lui permettre d’exécuter efficacement les tâches qui lui sont confiées en vertu du présent règlement.

(20)

L’ENISA devrait acquérir et maintenir un niveau élevé de compétence et servir de point de référence qui instaure la confiance dans le marché intérieur du fait de son indépendance, de la qualité des conseils qu’elle fournit et des informations qu’elle diffuse, de la transparence de ses procédures, de la transparence de ses modes de fonctionnement et de sa diligence à exécuter ses tâches. L’ENISA devrait soutenir activement les efforts déployés au niveau national et devrait contribuer de manière anticipée aux efforts consentis par l’Union, tout en s’acquittant de ses missions en totale coopération avec les institutions, organes et organismes de l’Union et avec les États membres, en évitant les doubles emplois et en favorisant les synergies. De plus, l’ENISA devrait s’appuyer sur les informations fournies par le secteur privé et les autres parties prenantes concernées et travailler en coopération avec ceux-ci. Un ensemble de tâches devrait déterminer la manière dont l’ENISA doit atteindre ses objectifs tout en lui laissant une certaine souplesse de fonctionnement.

(21)

Pour être en mesure d’apporter un soutien adéquat à la coopération opérationnelle entre les États membres, l’ENISA devrait renforcer davantage ses capacités et aptitudes techniques et humaines. Elle devrait accroître son savoir-faire et ses capacités. Sur une base volontaire, l’ENISA et les États membres pourraient élaborer des programmes visant à détacher des experts nationaux auprès de l’ENISA, en créant des groupes d’experts et des programmes d’échanges de personnel.

(22)

L’ENISA devrait assister la Commission au moyen de conseils, d’avis et d’analyses sur toutes les questions de l’Union liées à l’élaboration, l’actualisation et la révision des politiques et de la législation dans le domaine de la cybersécurité et de ses aspects sectoriels spécifiques, afin d’améliorer la pertinence des politiques et de la législation de l’Union ayant une dimension liée à la cybersécurité et de permettre la mise en œuvre cohérente de ces politiques et législations au niveau national. L’ENISA devrait agir comme point de référence, par ses conseils et ses compétences, pour les initiatives politiques et législatives sectorielles spécifiques au niveau de l’Union lorsque des questions liées à la cybersécurité sont en jeu. L’ENISA devrait tenir le Parlement européen régulièrement informé de ses activités.

(23)

Le noyau public de l’internet ouvert, à savoir ses principaux protocoles et ses principales infrastructures, qui constituent un bien public mondial, joue un rôle essentiel dans la fonction de l’internet en général et soutient son fonctionnement normal. L’ENISA devrait soutenir la sécurité du noyau public de l’internet ouvert et la stabilité de son fonctionnement, y compris, sans s’y limiter, ses protocoles clés (notamment DNS, BGP et IPv6), le fonctionnement du système des noms de domaines (tel que le fonctionnement de tous les domaines de premier niveau) et le fonctionnement de la zone racine.

(24)

La principale tâche de l’ENISA consiste à promouvoir la mise en œuvre cohérente du cadre juridique applicable, et notamment la mise en œuvre effective de la directive (UE) 2016/1148 ainsi que des autres instruments juridiques pertinents comportant des aspects liés à la cybersécurité, ce qui est essentiel pour renforcer la cyber-résilience. Compte tenu de l’évolution rapide de la situation en ce qui concerne les cybermenaces, il est clair que les États membres doivent s’appuyer sur une approche plus globale, transsectorielle, du développement de la cyber-résilience.

(25)

L’ENISA devrait assister les États membres et les institutions, organes et organismes de l’Union dans leurs efforts pour mettre en place et développer les capacités et la préparation requises aux fins de prévenir et de détecter les cybermenaces et incidents et d’y réagir, et en ce qui concerne la sécurité des réseaux et des systèmes d’information. L’ENISA devrait notamment soutenir le développement et l’amélioration des centres de réponse aux incidents de sécurité informatique (CSIRT) nationaux et de l’Union prévus par la directive (UE) 2016/1148, afin qu’ils atteignent un niveau de maturité commun élevé dans l’ensemble de l’Union. Les activités entreprises par l’ENISA concernant les capacités opérationnelles des États membres devraient soutenir activement les mesures prises par les États membres pour respecter les obligations qui leur incombent au titre de la directive (UE) 2016/1148 et ne devraient donc pas s’y substituer.

(26)

L’ENISA devrait également contribuer à l’élaboration et à la mise à jour des stratégies en matière de sécurité des réseaux et systèmes d’information au niveau de l’Union et, sur demande, au niveau des États membres, notamment en matière de cybersécurité, et devrait promouvoir la diffusion de telles stratégies et suivre les progrès de leur mise en œuvre. L’ENISA devrait en outre contribuer à couvrir les besoins en matière de formations et de matériel pédagogique, y compris les besoins des organismes publics et, le cas échéant, dans une large mesure, «former les formateurs» en s’appuyant sur le cadre de compétences numériques pour les citoyens, en vue d’aider les États membres ainsi que les institutions, organes et organismes de l’Union à mettre en place leurs propres capacités de formation.

(27)

L’ENISA devrait soutenir les États membres dans le domaine de la sensibilisation et de l’éducation à la cybersécurité en favorisant une coordination plus étroite et l’échange de bonnes pratiques entre les États membres. Un tel soutien pourrait consister à développer un réseau de points de contact nationaux en matière d’éducation ainsi qu’une plateforme de formation à la cybersécurité. Le réseau de points de contact nationaux en matière d’éducation pourrait fonctionner au sein du réseau des agents de liaison nationaux et être un point de départ pour une future coordination au sein des États membres.

(28)

L’ENISA devrait aider le groupe de coopération créé par la directive (UE) 2016/1148 à exécuter ses tâches, notamment en le faisant bénéficier de ses conseils et de ses compétences, et en facilitant l’échange de bonnes pratiques en matière de risques et d’incidents, entre autres en ce qui concerne l’identification des opérateurs de services essentiels par les États membres, ainsi que les dépendances transfrontalières.

(29)

Afin de stimuler la coopération entre le secteur public et le secteur privé et au sein de ce dernier, notamment pour soutenir la protection des infrastructures critiques, l’ENISA devrait soutenir le partage d’informations au sein des secteurs et entre ceux-ci, en particulier les secteurs énumérés à l’annexe II de la directive (UE) 2016/1148, en proposant des bonnes pratiques et des orientations sur les outils disponibles et sur les procédures, ainsi qu’en proposant des orientations sur la manière de traiter les questions de réglementation liées au partage d’informations, par exemple en facilitant la mise en place de centres de partage et d’analyse d’informations sectoriels.

(30)

Comme l’incidence négative potentielle des vulnérabilités des produits TIC, services TIC et processus TIC croît constamment, il importe de détecter ces vulnérabilités et d’y remédier pour réduire le risque global en matière de cybersécurité. Il est prouvé que la coopération entre les organisations, les fabricants de produits TIC vulnérables ou les fournisseurs de services et processus TIC vulnérables ainsi que les acteurs du secteur de la recherche en matière de cybersécurité et les autorités qui détectent les vulnérabilités permet d’améliorer sensiblement le taux de détection et le rythme de l’élimination des vulnérabilités dans les produits TIC, services TIC et processus TIC. La divulgation coordonnée des vulnérabilités consiste en un processus structuré de coopération dans lequel les vulnérabilités sont signalées au propriétaire du système d’information, ce qui donne à l’organisation la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. Ce processus prévoit en outre une coordination entre la partie qui a procédé à la détection et l’organisation en ce qui concerne la publication de ces vulnérabilités. Les politiques coordonnées de divulgation des vulnérabilités pourraient jouer un rôle important dans le cadre des efforts que les États membres déploient pour renforcer la cybersécurité.

(31)

L’ENISA devrait agréger et analyser les rapports nationaux partagés volontairement et qui émanent des CSIRT et de l’équipe d’intervention en cas d’urgence informatique pour les institutions, organes et organismes de l’Union interinstitutionnelle instituée en vertu de l’accord entre le Parlement européen, le Conseil européen, le Conseil de l’Union européenne, la Commission européenne, la Cour de justice de l’Union européenne, la Banque centrale européenne, la Cour des comptes européenne, le Service européen pour l’action extérieure, le Comité économique et social européen, le Comité européen des régions et la Banque européenne d’investissement relatif à l’organisation et au fonctionnement d’une équipe d’intervention en cas d’urgence informatique pour les institutions, organes et organismes de l’Union (CERT-UE) (14) afin de contribuer à établir des procédures, un langage et une terminologie communs pour l’échange d’informations. Dans ce contexte, l’ENISA devrait impliquer le secteur privé, dans le cadre de la directive (UE) 2016/1148, laquelle fixe les bases de l’échange volontaire d’informations techniques à l’échelon opérationnel au sein du réseau des centres de réponse aux incidents de sécurité informatique (ci-après dénommé «réseau des CSIRT») institué par ladite directive.

(32)

L’ENISA devrait contribuer à l’élaboration de réponses au niveau de l’Union en cas d’incidents et de crises transfrontières majeurs liés à la cybersécurité. Cette tâche devrait être effectuée conformément au mandat de l’ENISA en application du présent règlement, ainsi qu’à une approche devant faire l’objet d’un accord des États membres dans le cadre de la recommandation (UE) 2017/1584 de la Commission (15) et des conclusions du Conseil du 26 juin 2018 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs de l’Union. Cette tâche pourrait comprendre la collecte d’informations pertinentes et un rôle de facilitateur entre le réseau des CSIRT et la communauté technique, ainsi qu’entre les décideurs chargés de la gestion des crises. En outre, l’ENISA devrait soutenir la coopération opérationnelle entre les États membres si un ou plusieurs États membres le demandent, pour le traitement des incidents sur le plan technique, en facilitant les échanges de solutions techniques pertinents entre les États membres et en contribuant à l’élaboration des communications au public. L’ENISA devrait soutenir la coopération opérationnelle en testant les modalités de cette coopération grâce à des exercices réguliers de cybersécurité.

(33)

Pour soutenir la coopération opérationnelle, l’ENISA devrait recourir aux compétences techniques et opérationnelles disponibles de la CERT-UE grâce à une coopération structurée. Une telle coopération structurée pourrait s’appuyer sur les compétences de l’ENISA. Le cas échéant, des accords dédiés entre les deux entités devraient être conclus afin de définir les modalités pratiques de la mise en œuvre de cette coopération et d’éviter la duplication des activités.

(34)

En exécutant sa tâche consistant à soutenir la coopération opérationnelle au sein du réseau des CSIRT, l’ENISA devrait être en mesure de fournir un appui aux États membres, à leur demande, par exemple en fournissant des conseils sur la manière d’améliorer leurs capacités de prévention et de détection des incidents et de réaction aux incidents, en facilitant la gestion technique des incidents ayant un impact significatif ou substantiel, ou en assurant l’analyse des cybermenaces et des incidents. L’ENISA devrait faciliter la gestion technique des incidents ayant un impact significatif ou substantiel, en particulier en soutenant le partage volontaire de solutions techniques entre États membres ou en produisant des informations techniques combinées, telles que des solutions techniques partagées volontairement par les États membres. La recommandation (UE) 2017/1584 recommande aux États membres de coopérer de bonne foi et de partager sans retard indu, entre eux et avec l’ENISA, les informations relatives aux incidents et crises de cybersécurité majeurs. Ces informations devraient apporter une aide supplémentaire à l’ENISA dans l’exécution de sa tâche de soutien à la coopération opérationnelle.

(35)

Dans le cadre de la coopération régulière sur le plan technique menée pour étayer l’appréciation de la situation au niveau de l’Union, l’ENISA devrait préparer à intervalles réguliers, en coopération étroite avec les États membres, un rapport approfondi de situation technique en matière de cybersécurité sur les incidents et cybermenaces dans l’Union, sur la base d’informations du domaine public, de sa propre analyse et de rapports que lui communiquent les CSIRT des États membres ou les points de contact nationaux uniques en matière de sécurité des réseaux et des systèmes d’information (ci-après dénommés «points de contact uniques») prévus par la directive (UE) 2016/1148, sur une base volontaire dans les deux cas, le Centre européen de lutte contre la cybercriminalité (EC3) au sein d’Europol, la CERT-UE et, le cas échéant, le Centre de l’Union européenne pour l’analyse du renseignement (INTCEN UE) au sein du Service européen pour l’action extérieure. Ce rapport devrait être mis à la disposition du Conseil, de la Commission, du haut représentant de l’Union pour les affaires étrangères et la politique de sécurité et du réseau des CSIRT.

(36)

Le soutien apporté par l’ENISA aux enquêtes techniques ex post sur les incidents ayant un impact significatif ou substantiel, effectuées à la demande des États membres concernés, devrait être axé sur la prévention des incidents futurs. Les États membres concernés devraient fournir les informations et l’assistance nécessaires pour permettre à l’ENISA de soutenir efficacement l’enquête technique ex post.

(37)

Les États membres peuvent inviter les entreprises concernées par l’incident à coopérer en fournissant les renseignements et l’assistance nécessaires à l’ENISA, sans préjudice de leur droit de protéger les informations commercialement sensibles et les informations pertinentes du point de vue de la sécurité publique.

(38)

Pour mieux comprendre les défis dans le domaine de la cybersécurité, et en vue de fournir aux États membres et aux institutions, organes et organismes de l’Union des conseils stratégiques à long terme, l’ENISA devrait analyser les risques actuels et émergents liés à la cybersécurité. À cet effet, l’ENISA devrait, en coopération avec les États membres et, le cas échéant, avec des organismes de statistique et d’autres organismes, recueillir des informations pertinentes du domaine public ou partagées volontairement sur les technologies émergentes, les soumettre à des analyses et fournir des évaluations thématiques spécifiques sur les effets sociétaux, juridiques, économiques et réglementaires à attendre des innovations technologiques sur la sécurité des réseaux et de l’information, notamment sur la cybersécurité. L’ENISA devrait en outre aider les États membres et les institutions, organes et organismes de l’Union à recenser les risques émergents liés à la cybersécurité et à prévenir les incidents, en procédant à l’analyse des cybermenaces, des vulnérabilités et des incidents.

(39)

Afin de renforcer la résilience de l’Union, l’ENISA devrait développer des compétences dans le domaine de la cybersécurité des infrastructures, en soutenant en particulier les secteurs énumérés à l’annexe II de la directive (UE) 2016/1148 et ceux utilisés par les fournisseurs des services numériques énumérés à l’annexe III de ladite directive, en fournissant des conseils et des lignes directrices et en échangeant de bonnes pratiques. En vue de faciliter l’accès à des informations mieux structurées sur les risques liés à la cybersécurité et les solutions possibles, l’ENISA devrait mettre sur pied et gérer le «pôle d’information» de l’Union, un portail servant de guichet unique fournissant au public des informations sur la cybersécurité en provenance des institutions, organes et organismes de l’Union et nationaux. Faciliter l’accès à des informations mieux structurées sur les risques liés à la cybersécurité et les solutions possibles pourrait aussi aider les États membres à consolider leurs capacités, à harmoniser leurs pratiques et, partant, à améliorer leur résilience générale face aux cyberattaques.

(40)

L’ENISA devrait contribuer à sensibiliser le public aux risques liés à la cybersécurité, y compris en organisant une campagne de sensibilisation à l’échelle de l’Union en favorisant l’éducation, et à fournir, à l’intention des citoyens, des organisations et des entreprises des orientations sur les bonnes pratiques à adopter par les utilisateurs individuels. L’ENISA devrait également contribuer à promouvoir les meilleures pratiques et solutions, y compris en matière d’hygiène informatique et d’habileté numérique au niveau des citoyens, des organisations et des entreprises en collectant et en analysant des informations du domaine public sur les incidents significatifs, et en rédigeant et en publiant des rapports et des orientations à l’intention des citoyens, des organisations et des entreprises en vue d’améliorer leur niveau global de préparation et de résilience. L’ENISA devrait également s’efforcer de fournir aux consommateurs des informations pertinentes concernant les schémas de certification en vigueur, par exemple en fournissant des lignes directrices et des recommandations. L’ENISA devrait en outre organiser, conformément au plan d’action en matière d’éducation numérique établi par la communication de la Commission du 17 janvier 2018 et en coopération avec les États membres et les institutions, organes et organismes de l’Union, des campagnes d’information régulières et des campagnes publiques d’éducation s’adressant aux utilisateurs finaux, en vue de promouvoir une navigation en ligne plus sûre pour les particuliers et l’habileté numérique, de sensibiliser aux cybermenaces potentielles, y compris les activités criminelles en ligne telles que le hameçonnage, les réseaux zombies, les fraudes financières et bancaires, la falsification de données, et de favoriser la fourniture de conseils de base en matière d’authentification multifacteurs, de mises à jour de sécurité, de chiffrement, d’anonymisation et de protection des données.

(41)

L’ENISA devrait jouer un rôle central dans l’accélération de la sensibilisation des utilisateurs finaux à la sécurité des appareils et à la sécurité de l’utilisation des services, et devrait promouvoir les concepts de sécurité dès la conception et de protection de la vie privée dès la conception au niveau de l’Union. En poursuivant cet objectif, l’ENISA devrait utiliser les meilleures pratiques et les compétences disponibles, en particulier les meilleures pratiques et les compétences développées par le monde universitaire et par les chercheurs en sécurité informatique.

(42)

Afin de soutenir les entreprises actives dans le secteur de la cybersécurité, ainsi que les utilisateurs qui recourent aux solutions de cybersécurité, l’ENISA devrait mettre sur pied et gérer un «observatoire du marché» en procédant à des analyses régulières et en diffusant des informations sur les principales tendances observées sur le marché de la cybersécurité, tant du côté de la demande que du côté de l’offre.

(43)

L’ENISA devrait contribuer aux efforts que l’Union déploie en vue de coopérer avec les organisations internationales ainsi qu’au sein des cadres internationaux de coopération concernés dans le domaine de la cybersécurité. En particulier, l’ENISA devrait contribuer, s’il y a lieu, à une coopération avec des organisations telles que l’OCDE, l’OSCE et l’OTAN. Une telle coopération pourrait comprendre des exercices conjoints dans le domaine de la cybersécurité ainsi qu’une coordination conjointe de la réponse à apporter aux incidents. Ces activités doivent se dérouler dans le plein respect des principes d’inclusion, de réciprocité et d’autonomie décisionnelle de l’Union, sans préjudice du caractère particulier de la politique de sécurité et de défense de tout État membre.

(44)

Afin de réaliser pleinement ses objectifs, l’ENISA devrait se concerter avec les autorités de contrôle de l’Union compétentes et avec d’autres autorités compétentes de l’Union ainsi qu’avec les institutions, organes et organismes de l’Union, notamment la CERT-UE, l’EC3, l’Agence européenne de défense (AED), l’Agence du système global de navigation par satellite (GNSS — Global Navigation Satellite Systems) européen (ci-après dénommée «Agence du GNSS européen»), l’Organe des régulateurs européens des communications électroniques (ORECE), l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA), la Banque centrale européenne (BCE), l’Autorité bancaire européenne (ABE), le comité européen de la protection des données, l’Agence de coopération des régulateurs de l’énergie (ACER), l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et toute autre agence de l’Union jouant un rôle dans le domaine de la cybersécurité. L’ENISA devrait aussi se concerter avec les autorités chargées de la protection des données en vue de procéder à des échanges de savoir-faire et de bonnes pratiques et devrait leur fournir des conseils sur les questions liées à la cybersécurité qui sont susceptibles d’avoir une incidence sur leurs travaux. Les représentants des autorités chargées de l’application de la loi et des autorités chargées de la protection des données au niveau national et à l’échelon de l’Union devraient pouvoir être représentés au sein du groupe consultatif de l’ENISA. Dans ses relations avec les autorités chargées de l’application de la loi concernant les questions de sécurité des réseaux et de l’information susceptibles d’avoir une incidence sur leurs travaux, l’ENISA devrait respecter les canaux d’information existants et les réseaux établis.

(45)

Des partenariats pourraient être noués avec des établissements universitaires menant des initiatives de recherche dans les domaines en question, et il convient que les organisations de consommateurs et autres disposent de canaux adéquats pour leurs contributions, lesquelles devraient être prises en compte.

(46)

L’ENISA, dans son rôle de secrétariat du réseau des CSIRT, devrait soutenir les CSIRT des États membres et la CERT-UE dans le cadre de la coopération opérationnelle en rapport avec les tâches pertinentes du réseau des CSIRT, telles qu’elles sont visées dans la directive (EU) 2016/1148. En outre, l’ENISA devrait promouvoir et soutenir la coopération entre les CSIRT concernés en cas d’incidents, d’attaques ou de perturbations sur les réseaux ou infrastructures dont les CSIRT assurent la gestion ou la protection et impliquant, ou susceptibles d’impliquer, au moins deux CSIRT, tout en tenant dûment compte des procédures opératoires standard du réseau des CSIRT.

(47)

Afin que l’Union soit mieux préparée pour réagir aux incidents, l’ENISA devrait organiser régulièrement des exercices de cybersécurité au niveau de l’Union et aider les États membres et les institutions, organes et organismes de l’Union à organiser de tels exercices s’ils en font la demande. Il convient d’organiser tous les deux ans des exercices globaux à grande échelle incluant des éléments techniques, opérationnels ou stratégiques. En outre, l’ENISA devrait pouvoir organiser régulièrement des exercices moins globaux avec le même objectif, à savoir celui de faire en sorte que l’Union soit mieux préparée pour répondre à des incidents.

(48)

L’ENISA devrait continuer à développer et maintenir ses compétences en matière de certification de cybersécurité en vue de soutenir la politique de l’Union dans ce domaine. L’ENISA devrait s’appuyer sur les meilleures pratiques existantes et promouvoir l’adoption de la certification de cybersécurité dans l’Union, notamment en contribuant à l’établissement et au maintien d’un cadre de certification de cybersécurité au niveau de l’Union (ci-après dénommé «cadre européen de certification de cybersécurité»), en vue d’accroître la transparence de l’assurance en matière de cybersécurité des produits TIC, services TIC et processus TIC et, partant, de renforcer la confiance dans le marché intérieur numérique ainsi que sa compétitivité.

(49)

Des politiques de cybersécurité efficaces devraient reposer sur des méthodes d’évaluation des risques bien élaborées, dans le secteur public comme dans le secteur privé. Les méthodes d’évaluation des risques sont utilisées à différents niveaux, et il n’existe pas de pratiques communes en ce qui concerne leur application efficace. La promotion et le développement des meilleures pratiques en matière d’évaluation des risques et de solutions interopérables de gestion des risques dans les organisations des secteurs public et privé relèveront le niveau de cybersécurité dans l’Union. À cette fin, l’ENISA devrait favoriser la coopération entre parties prenantes au niveau de l’Union et contribuer à leurs efforts concernant l’établissement et l’adoption de normes européennes et internationales en matière de gestion des risques et de sécurité mesurable des produits, systèmes, réseaux et services électroniques, lesquels, conjointement avec les logiciels, constituent les réseaux et systèmes d’information.

(50)

L’ENISA devrait encourager les États membres, les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC à renforcer leurs normes de sécurité générales afin que tous les utilisateurs d’internet puissent prendre les mesures nécessaires pour garantir leur propre cybersécurité et devraient inciter à le faire. En particulier, les fabricants et les fournisseurs de produits TIC, services TIC ou processus TIC devraient fournir les mises à jour nécessaires et devraient rappeler, retirer ou recycler les produits TIC, services TIC ou processus TIC qui ne satisfont pas aux normes de cybersécurité, tandis que les importateurs et les distributeurs devraient veiller à ce que les produits TIC, services TIC et processus TIC qu’ils mettent sur le marché de l’Union respectent les exigences applicables et ne présentent pas de risque pour les consommateurs de l’Union.

(51)

En coopération avec les autorités compétentes, l’ENISA devrait pouvoir diffuser des informations sur le niveau de cybersécurité des produits TIC, services TIC et processus TIC offerts sur le marché intérieur, et devrait émettre des alertes visant des fabricants ou fournisseurs de produits TIC, services TIC ou processus TIC et les contraignant à améliorer la sécurité de leurs produits TIC, services TIC et processus TIC, y compris la cybersécurité.

(52)

L’ENISA devrait prendre pleinement en compte les activités en cours en matière de recherche, de développement et d’évaluation technologique, et plus particulièrement les activités menées dans le cadre des différentes initiatives de recherche de l’Union, pour fournir des conseils aux institutions, organes et organismes de l’Union et, le cas échéant, aux États membres, s’ils en font la demande, sur les besoins et les priorités en matière de recherche dans le domaine de la cybersécurité. Pour recenser les besoins et les priorités en matière de recherche, l’ENISA devrait également consulter les groupes d’utilisateurs concernés. Plus spécifiquement, une coopération pourrait être établie avec le Conseil européen de la recherche, l’Institut européen d’innovation et de technologie et l’Institut d’études de sécurité de l’Union européenne.

(53)

L’ENISA devrait consulter régulièrement les organismes de normalisation, en particulier les organismes européens de normalisation, lors de l’élaboration des schémas européens de certification de cybersécurité.

(54)

Les cybermenaces constituent un problème mondial. Il est nécessaire de renforcer la coopération internationale pour améliorer les normes de cybersécurité, y compris en ce qui concerne la nécessité de définir des normes de comportement communes, d’adopter des codes de conduite, de recourir à des normes internationales, et de partager des informations, d’encourager une collaboration internationale plus rapide en réponse aux problèmes de sécurité des réseaux et de l’information et de favoriser une approche globale commune de ces problèmes. À cette fin, l’ENISA devrait aider l’Union à poursuivre son engagement et sa coopération avec les pays tiers et les organisations internationales en mettant les compétences et l’analyse nécessaires au service des institutions, organes et organismes de l’Union concernés, le cas échéant.

(55)

L’ENISA devrait être en mesure de répondre aux demandes de conseil et d’assistance ad hoc qui sont formulées par les États membres et les institutions, organes et organismes de l’Union sur des questions qui relèvent du mandat de l’ENISA.

(56)

Il est raisonnable et recommandé de mettre en œuvre certains principes relatifs à la gouvernance de l’ENISA afin de se conformer à la déclaration commune et à l’approche commune convenues par le groupe de travail interinstitutionnel sur les agences décentralisées de l’Union en juillet 2012, dont l’objectif est de rationaliser les activités des agences décentralisées et d’améliorer leur efficacité. Il convient par ailleurs de tenir compte, s’il y a lieu, des recommandations figurant dans la déclaration commune et de l’approche commune dans les programmes de travail de l’ENISA, les évaluations de l’ENISA ainsi que les pratiques de l’ENISA en matière d’établissement de rapports et ses pratiques administratives.

(57)

Le conseil d’administration, composé de représentants des États membres et de la Commission, devrait fixer l’orientation générale des activités de l’ENISA et veiller à ce qu’elle exécute ses tâches conformément au présent règlement. Le conseil d’administration devrait être doté des pouvoirs nécessaires pour établir le budget, vérifier l’exécution du budget, adopter des règles financières appropriées, instaurer des procédures de travail transparentes pour la prise de décisions par l’ENISA, adopter le document unique de programmation de l’ENISA, adopter son propre règlement intérieur, nommer le directeur exécutif et statuer sur la prorogation et la cessation du mandat du directeur exécutif.

(58)

Pour assurer le fonctionnement correct et efficace de l’ENISA, la Commission et les États membres devraient veiller à ce que les personnes nommées au conseil d’administration soient dotées de compétences professionnelles et d’une expérience appropriées. La Commission et les États membres devraient également s’efforcer de limiter le roulement de leurs représentants respectifs au sein du conseil d’administration, afin de garantir la continuité des travaux de ce dernier.

(59)

Le bon fonctionnement de l’ENISA exige que le directeur exécutif de celle-ci soit nommé sur la base de son mérite et de ses aptitudes attestées dans le domaine de l’administration et de la gestion, ainsi que de ses compétences et de son expérience pertinentes en matière de cybersécurité. Il convient que le directeur exécutif exerce ses fonctions en toute indépendance. Le directeur exécutif devrait élaborer une proposition de programme de travail annuel pour l’ENISA, après consultation préalable de la Commission, et prendre toutes les mesures nécessaires pour garantir la bonne mise en œuvre de ce programme de travail. Le directeur exécutif devrait préparer un rapport annuel à soumettre au conseil d’administration, portant sur la mise en œuvre du programme de travail annuel de l’ENISA, établir un projet d’état prévisionnel des recettes et des dépenses de l’ENISA et exécuter le budget. Le directeur exécutif devrait, en outre, avoir la possibilité de créer des groupes de travail ad hoc pour traiter de questions spécifiques, en particulier de questions de nature scientifique, technique, juridique ou socio-économique. La création d’un groupe de travail ad hoc est notamment jugée nécessaire pour la préparation d’un schéma européen de certification de cybersécurité candidat spécifique (ci-après dénommé «schéma candidat»). Le directeur exécutif devrait veiller à ce que les membres des groupes de travail ad hoc soient sélectionnés selon les critères de compétence les plus élevés, visant à assurer un équilibre hommes-femmes et un équilibre adéquat, en fonction des questions spécifiques concernées, entre les administrations publiques des États membres, les institutions, organes et organismes de l’Union et le secteur privé, y compris les entreprises du secteur, les utilisateurs et les experts universitaires en matière de sécurité des réseaux et de l’information.

(60)

Le conseil exécutif devrait contribuer au fonctionnement efficace du conseil d’administration. Dans le cadre de ses travaux préparatoires liés aux décisions du conseil d’administration, le conseil exécutif devrait examiner de manière approfondie les informations pertinentes, étudier les options disponibles et proposer des conseils et des solutions afin de préparer les décisions du conseil d’administration.

(61)

L’ENISA devrait disposer, à titre d’organe consultatif, d’un groupe consultatif de l’ENISA pour assurer un dialogue régulier avec le secteur privé, les organisations de consommateurs et d’autres parties prenantes concernées. Le groupe consultatif de l’ENISA, institué par le conseil d’administration sur proposition du directeur exécutif, devrait s’attacher à examiner des questions pertinentes pour les parties prenantes et devrait les porter à l’attention de l’ENISA. Le groupe consultatif de l’ENISA devrait être consulté en particulier au sujet du projet de programme de travail annuel de l’ENISA. La composition du groupe consultatif de l’ENISA et les tâches assignées à ce groupe devraient assurer une représentation suffisante des parties prenantes dans les travaux de l’ENISA.

(62)

Le groupe des parties prenantes pour la certification de cybersécurité devrait être institué pour aider l’ENISA et la Commission à faciliter la consultation des parties prenantes concernées. Le groupe des parties prenantes pour la certification de cybersécurité devrait être composé de membres représentant le secteur dans des proportions équilibrées, du côté tant de la demande que de l’offre de produits TIC et services TIC, y compris, en particulier, les PME, les fournisseurs de services numériques, les organismes européens et internationaux de normalisation, les organismes d’accréditation nationaux, les autorités de contrôle de la protection des données, les organismes d’évaluation de la conformité en application du règlement (CE) no 765/2008 du Parlement européen et du Conseil (16), et les universités ainsi que les organisations de consommateurs.

(63)

L’ENISA devrait disposer de règles en matière de prévention et de gestion des conflits d’intérêts. L’ENISA devrait aussi appliquer les dispositions pertinentes du droit de l’Union en ce qui concerne l’accès du public aux documents prévu par le règlement (CE) no 1049/2001 du Parlement européen et du Conseil (17). Le traitement des données à caractère personnel devrait être régi par le règlement (UE) 2018/1725 du Parlement européen et du Conseil (18). L’ENISA devrait respecter les dispositions applicables aux institutions, organes et organismes de l’Union et la législation nationale concernant le traitement des informations, notamment les informations non classifiées sensibles et les informations classifiées de l’Union européenne (ICUE).

(64)

Pour garantir l’autonomie et l’indépendance complètes de l’ENISA et lui permettre d’exécuter des tâches supplémentaires, y compris des tâches urgentes imprévues, il convient de la doter d’un budget suffisant et autonome dont l’essentiel des recettes devrait provenir d’une contribution de l’Union et de contributions des pays tiers participant aux travaux de l’ENISA. Doter l’ENISA d’un budget adéquat est primordial pour garantir qu’elle dispose d’une capacité suffisante pour exécuter l’ensemble de ses tâches toujours plus nombreuses et atteindre ses objectifs. La majeure partie des effectifs de l’ENISA devrait se consacrer directement à la mise en œuvre opérationnelle du mandat de l’ENISA. L’État membre d’accueil et tout autre État membre devrait être autorisé à apporter des contributions volontaires au budget de l’ENISA. La procédure budgétaire de l’Union devrait rester applicable en ce qui concerne toute subvention imputable sur le budget général de l’Union. En outre, la Cour des comptes devrait contrôler les comptes de l’ENISA afin de garantir la transparence et la responsabilité.

(65)

La certification de cybersécurité joue un rôle important dans l’amélioration de la sécurité des produits TIC, services TIC et processus TIC et le renforcement de la confiance qui leur est accordée. Le marché unique numérique, et en particulier l’économie des données et l’IdO, ne peuvent prospérer que si le grand public est convaincu que ces produits, services et processus offrent un certain niveau de cybersécurité. Les voitures connectées et automatisées, les dispositifs médicaux électroniques, les systèmes de contrôle-commande industriels et les réseaux intelligents ne sont que quelques exemples de secteurs dans lesquels la certification est déjà largement utilisée ou est susceptible de l’être dans un avenir proche. Les secteurs régis par la directive (UE) 2016/1148 sont également des secteurs où la certification de cybersécurité joue un rôle critique.

(66)

Dans la communication de 2016 intitulée «Renforcer le système européen de cyber-résilience et promouvoir la compétitivité et l’innovation dans le secteur européen de la cybersécurité», la Commission a souligné le besoin de produits et de solutions de très bonne qualité, abordables et interopérables en matière de cybersécurité. L’offre de produits TIC, services TIC et processus TIC au sein du marché unique reste très fragmentée sur le plan géographique. Cela est dû au fait que le secteur de la cybersécurité en Europe s’est développé principalement en fonction de la demande des gouvernements nationaux. En outre, le manque de solutions interopérables (normes techniques), de pratiques et de dispositifs de certification à l’échelle de l’Union constitue l’une des autres lacunes affectant le marché unique dans le domaine de la cybersécurité. Il en résulte que les entreprises européennes ont des difficultés à être concurrentielles au niveau national, à l’échelon de l’Union et au niveau mondial. Cela restreint également le choix des technologies viables et utilisables en matière de cybersécurité qui s’offre aux particuliers et aux entreprises. De la même façon, dans la communication de 2017 sur la révision à mi-parcours de la mise en œuvre de la stratégie pour le marché unique numérique — Un marché unique numérique connecté pour tous, la Commission a insisté sur le besoin de produits et systèmes connectés qui soient sûrs, et a indiqué que la création d’un cadre européen de la sécurité des TIC fixant des règles sur les modalités d’organisation de la certification de sécurité des TIC dans l’Union pourrait à la fois préserver la confiance dans l’internet et permettre de lutter contre la fragmentation actuelle du marché intérieur.

(67)

Actuellement, la certification de cybersécurité des produits TIC, services TIC et processus TIC n’est utilisée que de façon limitée. Lorsqu’elle existe, elle intervient essentiellement au niveau des États membres ou dans le cadre de schémas pilotés par les entreprises du secteur. Dans ce contexte, un certificat délivré par une autorité nationale de certification de cybersécurité n’est pas, en principe, reconnu dans d’autres États membres. Il arrive donc que les entreprises doivent certifier leurs produits TIC, services TIC et processus TIC dans les différents États membres où elles exercent leurs activités, par exemple pour participer à des procédures nationales de passation de marchés, ce qui implique des coûts supplémentaires. En outre, alors que de nouveaux schémas voient le jour, il ne semble pas exister d’approche cohérente et globale des questions de cybersécurité transversales, par exemple dans le domaine de l’IoD. Les schémas existants présentent des lacunes importantes et des différences en termes de couverture des produits, de niveaux d’assurance, de critères de fond et d’utilisation effective, ce qui entrave les mécanismes de reconnaissance mutuelle au sein de l’Union.

(68)

Des efforts ont été réalisés pour garantir une reconnaissance mutuelle des certificats dans l’Union. Cependant, ils n’ont que partiellement abouti. L’exemple le plus marquant à cet égard est l’accord de reconnaissance mutuelle (ARM) du groupe des hauts fonctionnaires pour la sécurité des systèmes d’information (SOG-IS). Même s’il est le modèle le plus remarquable en ce qui concerne la coopération et la reconnaissance mutuelle dans le domaine de la certification de sécurité, le SOG-IS ne réunit que certains États membres. De ce fait, l’ARM du SOG-IS n’a eu qu’une efficacité limitée dans la perspective du marché intérieur.

(69)

Dès lors, il est nécessaire d’adopter une approche commune et d’établir un cadre européen de certification de cybersécurité établissant les principales exigences horizontales pour les schémas européens de certification de cybersécurité à développer, et permettant la reconnaissance et l’utilisation dans tous les États membres des certificats de cybersécurité européens et des déclarations de conformité de l’Union européenne pour les produits TIC, services TIC ou processus TIC. Ce faisant, il est essentiel de s’appuyer sur des schémas nationaux et internationaux existants, ainsi que sur des systèmes de reconnaissance mutuelle, en particulier le SOG-IS, et de créer les conditions d’une transition en douceur des schémas existants relevant de ces systèmes vers les schémas relevant du nouveau cadre européen de certification de cybersécurité. Le cadre européen de certification de cybersécurité devrait poursuivre un double objectif. Tout d’abord, il devrait contribuer à renforcer la confiance dans les produits TIC, services TIC et processus TIC qui ont été certifiés au titre des schémas européens de certification de cybersécurité. Ensuite, il devrait aider à éviter la multiplication de schémas de certification de cybersécurité nationales contradictoires ou faisant double emploi, réduisant ainsi les coûts à la charge des entreprises exerçant leurs activités sur le marché unique numérique. Les schémas européens de certification de cybersécurité devraient être non discriminatoires et fondés sur des normes européennes ou internationales, sauf si ces normes sont inefficaces ou inappropriées pour remplir les objectifs légitimes de l’Union à cet égard.

(70)

Le cadre européen de certification de cybersécurité devrait être établi de manière homogène dans tous les États membres afin d’éviter la pratique du «shopping de certifications» en raison des différents niveaux d’exigence dans les différents États membres.

(71)

Les schémas européens de certification de cybersécurité devraient reposer sur les éléments déjà existants au niveau international et national et, au besoin, sur les spécifications techniques des forums et consortiums, en tirant les leçons des points forts actuels et en évaluant et en corrigeant les points faibles.

(72)

Des solutions de cybersécurité flexibles sont nécessaires pour que les entreprises du secteur gardent une longueur d’avance sur les cybermenaces; dès lors, tout schéma de certification devrait être conçu de manière à éviter le risque d’obsolescence rapide.

(73)

La Commission devrait être habilitée à adopter des schémas européens de certification de cybersécurité concernant des groupes spécifiques de produits TIC, services TIC et processus TIC. Ces schémas devraient être mis en œuvre et contrôlés par des autorités nationales de certification de cybersécurité, et les certificats délivrés au titre de ces schémas devraient être valables et reconnus sur tout le territoire de l’Union. Les schémas de certification gérés par les entreprises du secteur ou d’autres organismes privés devraient être exclus du champ d’application du présent règlement. Toutefois, les organismes qui gèrent de tels schémas devraient pouvoir proposer que la Commission les prenne pour base en vue de les approuver en tant que schéma européen de certification de cybersécurité.

(74)

Les dispositions du présent règlement devraient être sans préjudice du droit de l’Union qui prévoit des règles spécifiques concernant la certification des produits TIC, services TIC et processus TIC. En particulier, le règlement (UE) 2016/679 fixe des dispositions en vue de la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent ledit règlement. Ces mécanismes de certification et ces labels et marques en matière de protection des données devraient permettre aux personnes concernées d’évaluer rapidement le niveau de protection des données offert par les produits TIC, services TIC et processus TIC en question. Le présent règlement est sans préjudice de la certification des opérations de traitement des données au titre du règlement (UE) 2016/679, y compris lorsque ces opérations sont intégrées dans des produits TIC, services TIC et processus TIC.

(75)

Les schémas européens de certification de cybersécurité devraient avoir pour finalité de garantir que les produits TIC, services TIC et processus TIC certifiés selon de tels schémas respectent les exigences définies qui visent à protéger la disponibilité, l’authenticité, l’intégrité et la confidentialité de données stockées, transmises ou traitées, ou des fonctions connexes de ces produits, services et processus tout au long de leur cycle de vie, ou des services qu’ils offrent ou qui sont accessibles par leur intermédiaire. Il n’est pas possible d’exposer en détail les exigences de cybersécurité se rapportant à tous les produits TIC, services TIC et processus TIC dans le présent règlement. Les produits TIC, services TIC et processus TIC et les besoins de cybersécurité relatifs à ces produits, services et processus sont si divers qu’il est très difficile d’élaborer des exigences de cybersécurité générales qui soient valables en toutes circonstances. Il est donc nécessaire d’adopter, aux fins de la certification, une notion large et générale de la cybersécurité, laquelle devrait être complétée par une série d’objectifs spécifiques en matière de cybersécurité à prendre en compte lors de la conception de schémas européens de certification de cybersécurité. Les modalités selon lesquelles ces objectifs doivent être atteints pour des produits TIC, services TIC et processus TIC spécifiques devraient ensuite être précisées en détail au niveau de chaque schéma de certification adopté par la Commission, par exemple en faisant référence à des normes ou à des spécifications techniques s’il n’existe aucune norme appropriée.

(76)

Les spécifications techniques à utiliser dans les schémas européens de certification de cybersécurité devraient respecter les exigences énoncées à l’annexe II du règlement (UE) no 1025/2012 du Parlement européen et du Conseil (19). Il pourrait toutefois être jugé nécessaire de s’écarter quelque peu de ces exigences dans des cas dûment justifiés, lorsque ces spécifications techniques doivent être utilisées dans un schéma européen de certification de cybersécurité renvoyant à un niveau d’assurance dit «élevé». Les motifs de ces écarts devraient être rendus publics.

(77)

L’évaluation de la conformité est une procédure consistant à évaluer s’il est satisfait aux exigences relatives à un produit TIC, service TIC ou processus TIC qui ont été définies. Cette procédure est réalisée par un tiers indépendant, autre que le fabricant ou le fournisseur des produits TIC, services TIC ou processus TIC qui font l’objet de l’évaluation. Un certificat de cybersécurité européen devrait être délivré à l’issue d’une procédure d’évaluation d’un produit TIC, service TIC ou processus TIC réussie. Il convient de considérer le certificat de cybersécurité européen comme une confirmation que l’évaluation a été dûment réalisée. En fonction du niveau d’assurance, le schéma européen de certification de cybersécurité devrait indiquer si le certificat de cybersécurité européen doit être délivré par un organisme privé ou public. L’évaluation de la conformité et la certification ne peuvent en soi garantir que les produits TIC, services TIC et processus TIC certifiés sont sécurisés du point de vue de la cybersécurité. Il s’agit plutôt de procédures et de méthodologies techniques visant à attester que des produits TIC, services TIC et processus TIC ont été soumis à des essais et qu’ils respectent certaines exigences de cybersécurité établies par ailleurs, par exemple dans des normes techniques.

(78)

Le choix, par les utilisateurs de certificats de cybersécurité européens, de la certification appropriée et des exigences de sécurité correspondantes devrait se fonder sur une analyse des risques associés à l’utilisation des produits TIC, services TIC ou processus TIC. En conséquence, le niveau d’assurance devrait correspondre au niveau de risque associé à l’utilisation prévue d’un produit TIC, service TIC ou processus TIC.

(79)

Les schémas européens de certification de cybersécurité pourraient prévoir une évaluation de la conformité devant être effectuée sous la seule responsabilité du fabricant ou du fournisseur de produits TIC, services TIC ou processus TIC (ci-après dénommée «autoévaluation de la conformité»). En pareils cas, il devrait suffire que le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC effectue lui-même tous les contrôles pour garantir que les produits TIC, services TIC ou processus TIC sont conformes au schéma européen de certification de cybersécurité. L’autoévaluation de la conformité devrait être considérée comme appropriée pour les produits TIC et services TIC de faible complexité ou pour les processus TIC qui présentent un risque faible pour le public, tels que des mécanismes de conception et de production simples. En outre, l’autoévaluation de la conformité ne devrait être autorisée pour les produits TIC, services TIC ou processus TIC que lorsqu’ils correspondent à un niveau d’assurance dit «élémentaire».

(80)

Les schémas européens de certification de cybersécurité pourraient permettre à la fois les autoévaluations de la conformité et les certifications de produits TIC, services TIC ou processus TIC. Dans ce cas, le schéma devrait prévoir des moyens clairs et compréhensibles pour les consommateurs ou les autres utilisateurs de distinguer entre les produits TIC, services TIC ou processus TIC à l’égard desquels le fabricant ou le fournisseur des produits TIC, services TIC ou processus TIC est responsable de l’évaluation, et les produits TIC, services TIC et processus TIC qui sont certifiés par un tiers.

(81)

Le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC qui effectue une autoévaluation de la conformité devrait pouvoir délivrer et signer la déclaration de conformité de l’Union européenne dans le cadre de la procédure d’évaluation de la conformité. Une déclaration de conformité de l’Union européenne est un document qui indique qu’un produit TIC, service TIC ou processus TIC spécifique respecte les exigences du schéma européen de certification de cybersécurité. En délivrant et en signant la déclaration de conformité de l’Union européenne, le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC assume la responsabilité du respect par le produit TIC, service TIC ou processus TIC des exigences légales du schéma européen de certification de cybersécurité. Une copie de la déclaration de conformité de l’Union européenne devrait être soumise à l’autorité nationale de certification de cybersécurité et à l’ENISA.

(82)

Le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC devrait mettre à la disposition de l’autorité nationale de certification de cybersécurité compétente, pour une durée fixée dans le schéma européen de certification de cybersécurité concerné, la déclaration de conformité de l’Union européenne, la documentation technique et toutes les autres informations pertinentes relatives à la conformité des produits TIC, services TIC ou processus TIC avec un schéma européen de certification de cybersécurité. La documentation technique devrait préciser les exigences applicables au titre du schéma et devrait couvrir la conception, la fabrication et le fonctionnement du produit TIC, service TIC ou processus TIC dans la mesure nécessaire à l’autoévaluation de la conformité. La documentation technique devrait être compilée de façon à permettre d’évaluer si un produit TIC ou un service TIC respecte les exigences applicables au titre de ce schéma.

(83)

La gouvernance du cadre européen de certification de cybersécurité prend en compte la participation des États membres ainsi qu’une participation appropriée des parties prenantes, et définit le rôle de la Commission pendant la planification et la proposition, la demande, l’élaboration, l’adoption ainsi que l’évaluation des schémas européens de certification de cybersécurité.

(84)

La Commission devrait préparer, avec le soutien du groupe européen de certification de cybersécurité (GECC) et du groupe des parties prenantes pour la certification de cybersécurité et à la suite d’une large consultation ouverte, un programme de travail glissant de l’Union pour les schémas européens de certification de cybersécurité et devrait le publier sous la forme d’un instrument non contraignant. Le programme de travail glissant de l’Union devrait consister en un document stratégique permettant aux entreprises du secteur, aux autorités nationales et aux organismes de normalisation, en particulier, de se préparer à l’avance dans la perspective des futurs schémas européens de certification de cybersécurité. Le programme de travail glissant de l’Union devrait comporter un aperçu pluriannuel des demandes de schémas candidats que la Commission compte adresser à l’ENISA pour préparation, sur la base de motifs spécifiques. La Commission devrait tenir compte du programme de travail glissant de l’Union lors de la préparation de son plan glissant pour la normalisation des TIC et des demandes de normalisation adressées à des organismes européens de normalisation. Compte tenu de la rapidité de l’introduction et de l’adoption des nouvelles technologies, de l’apparition de risques liés à la cybersécurité auparavant inconnus et de l’évolution de la législation et des marchés, la Commission ou le GECC devrait être habilité(e) à demander à l’ENISA de préparer des schémas candidats qui n’ont pas été prévus dans le programme de travail glissant de l’Union. En pareils cas, la Commission et le GECC devraient en outre évaluer le bien-fondé d’une telle demande en tenant compte des finalités et objectifs généraux du présent règlement et de la nécessité d’assurer la continuité en ce qui concerne la planification et l’utilisation des ressources par l’ENISA.

À la suite d’une telle demande, l’ENISA devrait préparer les schémas candidats pour des produits TIC, services TIC et processus TIC spécifiques sans retard injustifié. La Commission devrait évaluer l’incidence positive et négative de sa demande sur le marché spécifique en question, en particulier son impact sur les PME, l’innovation, les obstacles à l’entrée sur ce marché et les coûts pour les utilisateurs finaux. Sur la base du schéma candidat préparé par l’ENISA, la Commission devrait alors être habilitée à adopter le schéma européen de certification de cybersécurité par voie d’actes d’exécution. Compte tenu de la finalité générale du présent règlement et des objectifs de sécurité qui y sont fixés, les schémas européens de certification de cybersécurité adoptés par la Commission devraient préciser un ensemble minimal d’éléments relatifs à l’objet, au champ d’application et au fonctionnement du schéma considéré. Ces éléments devraient notamment comprendre le champ d’application et l’objet de la certification de cybersécurité, y compris l’indication des catégories de produits TIC, services TIC et processus TIC couverts, la description détaillée des exigences de cybersécurité, par exemple par référence à des normes ou des spécifications techniques, les critères et méthodes d’évaluation spécifiques, ainsi que le niveau d’assurance visé («élémentaire», «substantiel» ou «élevé»), et les niveaux d’évaluation s’il y a lieu. L’ENISA devrait pouvoir refuser une demande adressée par le GECC. De telles décisions devraient être prises par le conseil d’administration et devraient être dûment motivées.

(85)

L’ENISA devrait maintenir un site internet fournissant des informations sur les schémas européens de certification de cybersécurité et leur donnant une visibilité, qui devrait, entre autres, comprendre les demandes de préparation d’un schéma candidat ainsi que les retours d’information reçus lors du processus de consultation réalisé par l’ENISA au cours de la phase préparatoire. Le site internet devrait en outre fournir des informations sur les certificats de cybersécurité européens et les déclarations de conformité de l’Union européenne délivrés en application du présent règlement, notamment des informations concernant le retrait et l’expiration de tels certificats de cybersécurité européens et déclarations de conformité de l’Union européenne. Le site internet devrait en outre indiquer les schémas nationaux de certification de cybersécurité qui ont été remplacés par un schéma européen de certification de cybersécurité.

(86)

Le niveau d’assurance d’un schéma européen de certification constitue le fondement permettant de garantir qu’un produit TIC, service TIC ou processus TIC satisfait aux exigences de sécurité d’un schéma européen de certification de cybersécurité spécifique. Pour assurer la cohérence du cadre européen de certification de cybersécurité, un schéma européen de certification de cybersécurité devrait pouvoir préciser les niveaux d’assurance pour les certificats de cybersécurité européens et les déclarations de conformité de l’Union européenne délivrés dans le cadre de ce schéma. Chaque certificat de cybersécurité européen pourrait renvoyer à l’un des niveaux d’assurance, à savoir «élémentaire», «substantiel» ou «élevé», tandis que la déclaration de conformité de l’Union européenne pourrait ne renvoyer qu’au niveau d’assurance dit «élémentaire». Les niveaux d’assurance prévoiraient la rigueur et l’ampleur correspondantes de l’évaluation du produit TIC, du service TIC ou du processus TIC et seraient déterminés par référence aux spécifications techniques, normes et procédures qui y sont liées, y compris les contrôles techniques, dont l’objectif est de limiter les incidents ou de les prévenir. Chaque niveau d’assurance devrait être cohérent dans les différents domaines sectoriels dans lesquels la certification s’applique.

(87)

Un schéma européen de certification de cybersécurité pourrait préciser plusieurs niveaux d’évaluation, en fonction de la rigueur et de l’ampleur de la méthode d’évaluation utilisée. Les niveaux d’évaluation devraient correspondre à l’un des niveaux d’assurance et être associés à une combinaison appropriée de composantes d’assurance. Pour tous les niveaux d’assurance, le produit TIC, service TIC ou processus TIC devrait contenir un certain nombre de fonctions sécurisées, telles qu’elles sont définies par le schéma, pouvant comprendre: une configuration sécurisée prête à l’emploi, un code signé, une mise à jour sécurisée, ainsi que la limitation de l’exploitation de failles et des protections complètes («full stack») ou du tas de la mémoire. Ces fonctions devraient faire l’objet d’un développement et d’une maintenance fondés sur des approches de développement mettant l’accent sur la sécurité et des outils associés, afin de garantir que des mécanismes efficaces au niveau tant du logiciel que du matériel sont incorporés de manière fiable.

(88)

Pour le niveau d’assurance dit «élémentaire», l’évaluation devrait au moins porter sur les composantes d’assurance suivantes: l’évaluation devrait comprendre au moins un examen, par l’organisme d’évaluation de la conformité, de la documentation technique accompagnant le produit TIC, service TIC ou processus TIC. Lorsque la certification inclut des processus TIC, le processus de conception, de développement et de maintenance d’un produit TIC ou service TIC devrait également être soumis à l’examen technique. Lorsqu’un schéma européen de certification de cybersécurité prévoit une autoévaluation de la conformité, il devrait suffire que le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC ait effectué une autoévaluation de la conformité du produit TIC, service TIC ou processus TIC avec le schéma de certification.

(89)

Pour le niveau d’assurance dit «substantiel», l’évaluation devrait au moins porter sur, outre les exigences liées au niveau d’assurance dit «élémentaire», la vérification de la conformité des fonctionnalités de sécurité du produit TIC, service TIC ou processus TIC avec sa documentation technique.

(90)

Pour le niveau d’assurance dit «élevé», l’évaluation devrait au moins porter sur, outre les exigences liées au niveau d’assurance dit «substantiel», un test d’efficacité évaluant la résistance des fonctionnalités de sécurité du produit TIC, service TIC ou processus TIC face à des cyberattaques élaborées lancées par des personnes aux aptitudes solides et aux ressources importantes.

(91)

Le recours à la certification de cybersécurité européenne et aux déclarations de conformité de l’Union européenne devrait rester volontaire, sauf disposition contraire du droit de l’Union ou du droit d’un État membre adoptée conformément au droit de l’Union. En l’absence d’harmonisation du droit de l’Union, les États membres peuvent adopter des réglementations techniques nationales prévoyant une certification obligatoire dans le cadre du schéma européen de certification de cybersécurité conformément à la directive (UE) 2015/1535 du Parlement européen et du Conseil (20). Les États membres ont aussi recours à la certification européenne de cybersécurité dans le cadre d’un marché public et de la directive 2014/24/UE du Parlement européen et du Conseil (21).

(92)

Dans certains domaines, il pourrait s’avérer nécessaire, à l’avenir, d’imposer certaines exigences spécifiques en matière de cybersécurité et de rendre la certification y afférente obligatoire pour certains produits TIC, services TIC ou processus TIC, afin d’améliorer le niveau de la cybersécurité dans l’Union. À intervalles réguliers, la Commission devrait assurer un suivi de l’incidence des schémas européens de certification de cybersécurité adoptés sur la disponibilité dans le marché intérieur de produits TIC, services TIC et processus TIC sécurisés et devrait régulièrement évaluer le niveau d’utilisation des schémas de certification par les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC dans l’Union. Il convient d’évaluer l’efficacité des schémas européens de certification de cybersécurité et la question de savoir si certains schémas devraient être rendus obligatoires à la lumière de la législation de l’Union relative à la cybersécurité, en particulier la directive (UE) 2016/1148, en tenant compte de la sécurité du réseau et des systèmes d’information utilisés par les opérateurs de services essentiels.

(93)

Les certificats de cybersécurité européens et les déclarations de conformité de l’Union européenne devraient aider les utilisateurs finaux à faire des choix éclairés. Dès lors, les produits TIC, services TIC et processus TIC qui ont été certifiés ou pour lesquels une déclaration de conformité de l’Union européenne a été émise, devraient être accompagnés d’informations structurées, adaptées au niveau technique attendu de l’utilisateur final auquel ils sont destinés. Toutes ces informations devraient être disponibles en ligne et, le cas échéant, sous une forme physique. L’utilisateur final devrait avoir accès à des informations concernant le numéro de référence du schéma de certification, le niveau d’assurance, la description des risques liés à la cybersécurité qui sont associés au produit TIC, service TIC ou processus TIC, et l’autorité ou l’organisme de délivrance, ou devrait être en mesure d’obtenir une copie du certificat de cybersécurité européen. En outre, l’utilisateur final devrait recevoir des informations sur la politique d’assistance en matière de cybersécurité du fabricant ou du fournisseur de produits TIC, services TIC ou processus TIC (à savoir combien de temps l’utilisateur final peut escompter recevoir des mises à jour ou des correctifs en matière de cybersécurité). Le cas échéant, des orientations en ce qui concerne les mesures que l’utilisateur final peut prendre ou les paramétrages qu’il peut effectuer pour maintenir ou accroître la cybersécurité du produit TIC ou service TIC et des informations de contact d’un point de contact unique auquel s’adresser ou auprès duquel recevoir une aide en cas de cyberattaque (outre le signalement automatique) devraient être fournis. Ces informations devraient être actualisées régulièrement et être mises à disposition sur un site internet fournissant des informations sur les schémas européens de certification de cybersécurité.

(94)

En vue d’atteindre les objectifs du présent règlement et d’éviter la fragmentation du marché intérieur, les procédures ou schémas nationaux de certification de cybersécurité applicables aux produits TIC, services TIC ou processus TIC couverts par un schéma européen de certification de cybersécurité devraient cesser de produire leurs effets à compter d’une date fixée par la Commission par voie d’actes d’exécution. De plus, les États membres devraient s’abstenir d’instaurer de nouveaux schémas nationaux de certification de cybersécurité applicables aux produits TIC, services TIC ou processus TIC déjà couverts par un schéma européen de certification de cybersécurité existant. Toutefois, il convient de ne pas empêcher les États membres d’adopter ou de maintenir des schémas nationaux de certification de cybersécurité à des fins de sécurité nationale. Les États membres devraient informer la Commission et le GECC de leur intention éventuelle d’élaborer de nouveaux schémas nationaux de certification de cybersécurité. La Commission et le GECC devraient évaluer l’incidence des nouveaux schémas nationaux de certification de cybersécurité sur le bon fonctionnement du marché intérieur, à la lumière de tout intérêt stratégique qu’il y aurait à demander, en leur lieu et place, un schéma européen de certification de cybersécurité.

(95)

Les schémas européens de certification de cybersécurité ont vocation à contribuer à harmoniser les pratiques de cybersécurité au sein de l’Union. Ils doivent contribuer à augmenter le niveau de cybersécurité dans l’Union. La conception des schémas européens de certification de cybersécurité devrait également prendre en compte et permettre la mise au point d’innovations dans le domaine de la cybersécurité.

(96)

Les schémas européens de certification de cybersécurité devraient tenir compte des méthodes actuelles de développement des logiciels et du matériel et, en particulier, de l’incidence sur des certificats de cybersécurité européens individuels de mises à jour fréquentes des logiciels ou des micrologiciels. Les schémas européens de certification de cybersécurité devraient préciser les conditions dans lesquelles une mise à jour peut nécessiter qu’un produit TIC, service TIC ou processus TIC doive être de nouveau certifié ou que le champ d’application d’un certificat de cybersécurité européen particulier doive être réduit, compte tenu des éventuels effets négatifs de la mise à jour sur le respect des exigences de ce certificat en matière de sécurité.

(97)

Une fois qu’un schéma européen de certification de cybersécurité a été adopté, les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC devraient être en mesure de soumettre des demandes de certification de leurs produits TIC ou services TIC à l’organisme d’évaluation de la conformité de leur choix établi où que ce soit dans l’Union. Les organismes d’évaluation de la conformité devraient être accrédités par un organisme d’accréditation national s’ils satisfont à certaines exigences définies telles qu’elles sont énoncées dans le présent règlement. L’accréditation devrait être accordée pour une durée maximale de cinq ans et devrait pouvoir être renouvelée dans les mêmes conditions, pourvu que l’organisme d’évaluation de la conformité satisfasse encore aux exigences. L’accréditation devrait être limitée, suspendue ou révoquée par des organismes d’accréditation nationaux lorsque les conditions de l’accréditation ne sont pas ou ne sont plus remplies ou lorsque l’organisme d’évaluation de la conformité viole le présent règlement.

(98)

Les références faites dans la législation nationale à des normes nationales qui ont cessé de produire leurs effets en raison de l’entrée en vigueur d’un schéma européen de certification de cybersécurité peuvent être une source de confusion. Dès lors, les États membres devraient tenir compte, dans leur législation nationale, de l’adoption d’un schéma européen de certification de cybersécurité.

(99)

Pour parvenir à l’équivalence des normes dans toute l’Union, faciliter la reconnaissance mutuelle et favoriser l’acceptation globale des certificats de cybersécurité européens et des déclarations de conformité de l’Union européenne, il est nécessaire de mettre en place un système d’examen par les pairs entre les autorités nationales de certification de cybersécurité. L’examen par les pairs devrait couvrir les procédures de contrôle de la conformité des produits TIC, services TIC et processus TIC avec les certificats de cybersécurité européens, de surveillance du respect des obligations des fabricants ou des fournisseurs de produits TIC, services TIC ou processus TIC qui procèdent à une autoévaluation de la conformité, et de surveillance des organismes d’évaluation de la conformité ainsi que de l’adéquation des compétences du personnel des organismes qui délivrent les certificats pour les niveaux d’assurance dits «élevés». La Commission devrait pouvoir, par voie d’actes d’exécution, établir au moins un plan quinquennal pour les examens par les pairs, et fixer les critères et les méthodes de fonctionnement du système d’examen par les pairs.

(100)

Sans préjudice du système général d’examen par les pairs à mettre en place entre toutes les autorités nationales de certification de cybersécurité au sein du cadre européen de certification de cybersécurité, certains schémas européens de certification de cybersécurité peuvent comporter un mécanisme d’évaluation par les pairs pour les organismes délivrant des certificats de cybersécurité européens pour des produits TIC, services TIC et processus TIC avec un niveau d’assurance dit «élevé» en application de ces schémas. Le GECC devrait soutenir la mise en œuvre de ces mécanismes d’évaluation par les pairs. Les évaluations par les pairs devraient en particulier évaluer si les organismes concernés s’acquittent de leurs tâches de façon harmonisée, et peuvent comporter des mécanismes de recours. Les résultats des évaluations par les pairs devraient être rendus publics. Les organismes concernés peuvent adopter des mesures appropriées pour adapter leurs pratiques et leurs compétences en conséquence.

(101)

Les États membres devraient désigner une ou plusieurs autorités nationales de certification de cybersécurité afin de contrôler le respect des obligations découlant du présent règlement. Une autorité nationale de certification de cybersécurité peut être une autorité existante ou une nouvelle autorité. Un État membre devrait également pouvoir désigner, après en être convenu avec un autre État membre, une ou plusieurs autorités nationales de certification de cybersécurité sur le territoire de cet autre État membre.

(102)

Les autorités nationales de certification de cybersécurité devraient en particulier contrôler et faire respecter les obligations qui incombent aux fabricants ou fournisseurs de produits TIC, services TIC ou processus TIC établis sur leur territoire respectif en ce qui concerne la déclaration de conformité de l’Union européenne, assister les organismes nationaux d’accréditation dans le contrôle et la supervision des activités des organismes d’évaluation de la conformité en leur offrant leurs compétences et en leur fournissant des informations utiles, autoriser les organismes d’évaluation de la conformité à exécuter leurs tâches lorsque ces organismes satisfont aux exigences supplémentaires fixées dans un schéma européen de certification de cybersécurité, et suivre les évolutions pertinentes dans le domaine de la certification de cybersécurité. Les autorités nationales de certification de cybersécurité devraient également traiter les réclamations introduites par des personnes physiques ou morales en rapport avec les certificats de cybersécurité européens que ces autorités ont délivrés ou en rapport avec des certificats de cybersécurité européens délivrés par des organismes d’évaluation de la conformité, lorsque de tels certificats indiquent un niveau d’assurance dit «élevé», devraient examiner l’objet de la réclamation dans la mesure nécessaire et devraient informer l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable. De plus, les autorités nationales de certification de cybersécurité devraient coopérer avec d’autres autorités nationales de certification de cybersécurité ou d’autres autorités publiques, notamment en partageant des informations sur l’éventuel non-respect par des produits TIC, services TIC et processus TIC des exigences du présent règlement ou de certains schémas européens de certification de cybersécurité spécifiques. La Commission devrait faciliter ce partage d’informations grâce à la mise à disposition d’un système général de soutien à l’information électronique, par exemple, le système d’information et de communication pour la surveillance des marchés (ICSMS) et le système européen d’échange rapide sur les produits dangereux (RAPEX) déjà utilisés par les autorités de surveillance du marché en vertu du règlement (CE) no 765/2008.

(103)

Afin d’assurer une application cohérente du cadre européen de certification de cybersécurité, un GECC qui est composé de représentants des autorités nationales de certification de cybersécurité ou d’autres autorités nationales compétentes devrait être mis en place. Les tâches principales du GECC devraient consister à conseiller et assister la Commission dans ses efforts pour assurer une mise en œuvre et une application cohérentes du cadre européen de certification de cybersécurité, à assister l’ENISA et à coopérer étroitement avec elle dans la préparation des schémas de certification de cybersécurité candidats, à demander à l’ENISA, dans des cas dûment justifiés, de préparer un schéma candidat, à adopter des avis adressés à l’ENISA sur les schémas candidats et à adopter des avis à l’intention de la Commission concernant la maintenance et le réexamen de schémas européens de certification de cybersécurité existants. Le GECC devrait faciliter l’échange de bonnes pratiques et de compétences entre les diverses autorités nationales de certification de cybersécurité qui sont responsables de l’accréditation des organismes d’évaluation de la conformité et de la délivrance des certificats de cybersécurité européens.

(104)

Dans une optique de sensibilisation et pour faciliter l’acceptation de futurs schémas européens de certification de cybersécurité, la Commission peut publier des lignes directrices générales ou sectorielles dans le domaine de la cybersécurité, par exemple sur les bonnes pratiques ou les comportements responsables en matière de cybersécurité, en soulignant les effets positifs de l’utilisation de produits TIC, services TIC et processus TIC certifiés.

(105)

Pour faciliter encore davantage les échanges, et compte tenu du fait que les chaînes d’approvisionnement TIC sont mondiales, des accords de reconnaissance mutuelle concernant les certificats de cybersécurité européens peuvent être conclus par l’Union conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne. La Commission, tenant compte de l’avis de l’ENISA et du GECC, peut recommander l’ouverture de négociations à cette fin. Chaque schéma européen de certification de cybersécurité devrait prévoir des conditions spécifiques pour de tels accords de reconnaissance mutuelle avec des pays tiers.

(106)

Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (22).

(107)

Il convient d’avoir recours à la procédure d’examen pour l’adoption d’actes d’exécution concernant les schémas européens de certification de cybersécurité applicables à des produits TIC, services TIC ou processus TIC, pour l’adoption d’actes d’exécution concernant les modalités d’exécution des enquêtes menées par l’ENISA, pour l’adoption d’actes d’exécution concernant un plan pour l’examen par les pairs des autorités nationales de certification de cybersécurité et pour l’adoption d’actes d’exécution concernant les circonstances, les formats et les procédures de notification à la Commission des organismes d’évaluation de la conformité accrédités par les autorités nationales de certification de cybersécurité.

(108)

Les activités de l’ENISA devraient faire l’objet d’évaluations régulières et indépendantes. Ces évaluations devraient porter sur les objectifs, les méthodes de travail et la pertinence des tâches de l’ENISA, en particulier les tâches qui ont trait à la coopération opérationnelle au niveau de l’Union. Ces évaluations devraient également porter sur l’impact, l’efficacité et l’efficience du cadre européen de certification de cybersécurité. En cas de réexamen, la Commission devrait évaluer comment le rôle de l’ENISA en tant que point de référence pour les conseils et les compétences peut être renforcé, et devrait également évaluer le rôle que l’ENISA pourrait jouer pour soutenir l’évaluation des produits TIC, services TIC et processus TIC de pays tiers qui ne respectent pas les règles de l’Union, lorsque ces produits, services et processus entrent dans l’Union.

(109)

Étant donné que les objectifs du présent règlement ne peuvent pas être atteints de manière suffisante par les États membres, mais peuvent, en raison de ses dimensions et de ses effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(110)

Il y a lieu d’abroger le règlement (UE) no 526/2013,

(1)

La présente directive a pour objet de contribuer au bon fonctionnement du marché intérieur en rapprochant les dispositions législatives, réglementaires et administratives des États membres en ce qui concerne les exigences en matière d’accessibilité applicables à certains produits et services, grâce, notamment, à l’élimination et à la prévention des obstacles qui entravent la libre circulation de certains produits et services accessibles découlant d’exigences divergentes en matière d’accessibilité dans les États membres. Cela augmenterait la disponibilité des produits et services accessibles au sein du marché intérieur et améliorerait l’accessibilité des informations pertinentes.

(2)

La demande de produits et services accessibles est forte et il est prévu que le nombre de personnes handicapées augmente considérablement. Un environnement dans lequel les produits et les services sont plus accessibles permet de créer une société plus inclusive et facilite l’autonomie des personnes handicapées. Dans ce contexte, il convient de garder à l’esprit que la prévalence du handicap dans l’Union est plus élevée chez les femmes que chez les hommes.

(3)

La définition des personnes handicapées retenue dans la présente directive est conforme à la convention des Nations unies relative aux droits des personnes handicapées, adoptée le 13 décembre 2006 (ci-après dénommée la «convention»), à laquelle l’Union est partie depuis le 21 janvier 2011 et que tous les États membres ont ratifiée. La convention définit les personnes handicapées comme «des personnes qui présentent des incapacités physiques, mentales, intellectuelles ou sensorielles durables dont l’interaction avec diverses barrières peut faire obstacle à leur pleine et effective participation à la société sur la base de l’égalité avec les autres». La présente directive promeut la participation pleine et effective des personnes handicapées sur un pied d’égalité, en améliorant leur accès aux produits et services courants qui, du fait de leur conception initiale ou de leur adaptation ultérieure, répondent à leurs besoins spécifiques.

(4)

D’autres personnes qui doivent faire face à des limitations fonctionnelles, telles que les personnes âgées, les femmes enceintes et les personnes voyageant avec des bagages, bénéficieraient aussi de la présente directive. La notion de «personnes présentant des limitations fonctionnelles» visée dans la présente directive inclut les personnes présentant des incapacités physiques, mentales, intellectuelles ou sensorielles, des incapacités liées à l’âge ou toute autre limitation des performances du corps humain, permanente ou temporaire, dont l’interaction avec divers obstacles peut limiter l’accès à des produits et services et conduire à une situation nécessitant une adaptation desdits produits et services à leurs besoins particuliers.

(5)

La disparité des dispositions législatives, réglementaires et administratives des États membres en ce qui concerne l’accessibilité de produits et de services pour les personnes handicapées crée des obstacles à la libre circulation des produits et services et fausse la concurrence effective sur le marché intérieur. Pour certains produits et services, ces disparités devraient s’accroître dans l’Union après l’entrée en vigueur de la convention. Ces obstacles portent tout particulièrement préjudice aux opérateurs économiques, notamment aux petites et moyennes entreprises (PME).

(6)

Les divergences entre les exigences nationales en matière d’accessibilité dissuadent notamment les professionnels individuels, les PME et les microentreprises de se lancer dans des activités commerciales en dehors de leurs marchés nationaux. Les exigences en matière d’accessibilité fixées par les États membres à l’échelle nationale, voire régionale ou locale, diffèrent tant du point de vue de leur champ d’application que de leur degré de précision. Ces divergences ont une incidence négative sur la compétitivité et la croissance en raison du surcoût engendré par la mise au point et la commercialisation, pour chaque marché national, de produits et services accessibles.

(7)

Les consommateurs de produits et services accessibles et de technologies d’assistance doivent s’accommoder de prix élevés du fait de la concurrence limitée qui existe entre les fournisseurs. La fragmentation des réglementations nationales limite les avantages qui pourraient résulter du partage d’expériences en matière d’adaptation aux évolutions sociétales et technologiques avec des pairs nationaux et internationaux.

(8)

Il est donc nécessaire de rapprocher les mesures nationales à l’échelle de l’Union pour assurer le bon fonctionnement du marché intérieur et mettre un terme à la fragmentation du marché des produits et services accessibles, pour réaliser des économies d’échelle, pour faciliter les échanges et la mobilité transfrontières, ainsi que pour aider les opérateurs économiques à concentrer des ressources sur l’innovation plutôt qu’à les utiliser pour faire face aux dépenses découlant de la fragmentation des législations à travers l’Union.

(9)

Les avantages d’une harmonisation des exigences en matière d’accessibilité pour le marché intérieur ont été mis en évidence par l’application de la directive 2014/33/UE du Parlement européen et du Conseil (3) concernant les ascenseurs et du règlement (CE) no 661/2009 du Parlement européen et du Conseil (4) dans le domaine des transports.

(10)

Dans la déclaration no 22 relative aux personnes handicapées, annexée au traité d’Amsterdam, la Conférence des représentants des gouvernements des États membres est convenue que, lors de l’élaboration de mesures en vertu de l’article 114 du traité sur le fonctionnement de l’Union européenne, les institutions de l’Union doivent tenir compte des besoins des personnes handicapées.

(11)

L’objectif général de la communication de la Commission du 6 mai 2015 intitulée «Une stratégie pour un marché unique numérique en Europe» est de procurer des avantages économiques et sociaux durables grâce à un marché unique numérique connecté, en facilitant ainsi les échanges commerciaux et en favorisant l’emploi au sein de l’Union. Les consommateurs de l’Union ne profitent toujours pas pleinement des avantages en matière de prix et de choix que peut offrir le marché unique car les transactions en ligne transfrontières sont encore très limitées. La fragmentation a aussi pour effet de limiter la demande de transactions transfrontières de commerce électronique. Il convient également de mener des actions concertées pour faire en sorte que le contenu électronique, les services de communications électroniques et l’accès aux services de médias audiovisuels soient totalement accessibles aux personnes handicapées. Il est donc nécessaire d’harmoniser les exigences en matière d’accessibilité sur le marché unique numérique et de veiller à ce que tous les citoyens de l’Union, quelles que soient leurs capacités, puissent profiter de ses avantages.

(12)

Depuis que l’Union est devenue partie à la convention, les dispositions de celle-ci font partie intégrante de l’ordre juridique de l’Union et lient les institutions et les États membres de l’Union.

(13)

La convention exige de ses parties qu’elles prennent des mesures appropriées pour assurer aux personnes handicapées, sur la base de l’égalité avec les autres, l’accès à l’environnement physique, aux transports, à l’information et à la communication, y compris aux systèmes et technologies de l’information et de la communication, et aux autres équipements et services ouverts ou fournis au public, tant dans les zones urbaines que rurales. Le comité des droits des personnes handicapées des Nations unies a constaté la nécessité d’instaurer un cadre législatif prévoyant des critères concrets, contraignants et temporels pour le suivi de l’instauration progressive des mesures en matière d’accessibilité.

(14)

La convention demande à ses parties d’entreprendre ou d’encourager la recherche et le développement, et d’encourager l’offre et l’utilisation de nouvelles technologies – y compris les technologies de l’information et de la communication, les aides à la mobilité, les appareils et accessoires et les technologies d’assistance – qui soient adaptées aux personnes handicapées. La convention invite également à privilégier les technologies abordables.

(15)

L’entrée en vigueur de la convention dans l’ordre juridique des États membres rend nécessaire l’adoption de dispositions nationales supplémentaires en matière d’accessibilité des produits et services. Sans une action de l’Union, ces dispositions accroîtraient encore les divergences entre les dispositions législatives, réglementaires et administratives des États membres.

(16)

Il est donc nécessaire de faciliter l’application de la convention dans l’Union en prévoyant des règles communes de l’Union. La présente directive encourage également les États membres dans les efforts qu’ils déploient afin de respecter, de manière harmonisée, leurs engagements nationaux ainsi que les obligations qui leur incombent en vertu de la convention en matière d’accessibilité.

(17)

La communication de la Commission du 15 novembre 2010 intitulée «Stratégie européenne 2010-2020 en faveur des personnes handicapées: un engagement renouvelé pour une Europe sans entraves», en phase avec la convention, mentionne l’accessibilité parmi les huit domaines d’intervention qu’elle a répertoriés, indique qu’il s’agit d’un préalable fondamental à la participation à la société, et a pour objectif de garantir l’accessibilité des produits et des services.

(18)

Les produits et services relevant du champ d’application de la présente directive ont été sélectionnés sur la base d’un examen réalisé au cours de l’élaboration de l’analyse d’impact, qui a recensé des produits et services pertinents pour les personnes handicapées, pour lesquels les États membres ont adopté ou sont susceptibles d’adopter des exigences nationales divergentes en matière d’accessibilité qui perturbent le fonctionnement du marché intérieur.

(19)

Afin d’assurer l’accessibilité des services relevant du champ d’application de la présente directive, les produits utilisés pour la fourniture de ces services avec lesquels le consommateur interagit devraient également être conformes aux exigences applicables en matière d’accessibilité prévues par la présente directive.

(20)

Même lorsqu’un service est intégralement ou partiellement sous-traité à un tiers, son accessibilité ne devrait pas être compromise et les prestataires de services devraient se conformer aux obligations de la présente directive. Les prestataires de services devraient également veiller à ce que leur personnel soit formé de manière adéquate et continue afin de s’assurer qu’il dispose de connaissances solides sur l’utilisation de produits et services accessibles. Cette formation devrait porter sur des questions telles que la fourniture d’informations, le conseil et la publicité.

(21)

Des exigences en matière d’accessibilité devraient être introduites d’une manière qui entraîne le moins de contraintes possible pour les opérateurs économiques et les États membres.

(22)

Il est nécessaire de préciser les exigences en matière d’accessibilité applicables à la mise sur le marché des produits et services relevant du champ d’application de la présente directive afin de garantir leur libre circulation sur le marché intérieur.

(23)

La présente directive devrait rendre obligatoires les exigences fonctionnelles en matière d’accessibilité qui devraient être formulées sous la forme d’objectifs généraux. Ces exigences devraient être suffisamment précises pour créer des obligations juridiquement contraignantes et suffisamment détaillées afin de permettre d’évaluer la conformité dans le but de garantir le bon fonctionnement du marché intérieur pour les produits et services concernés par la présente directive, tout en laissant une certaine souplesse pour permettre l’innovation.

(24)

La présente directive contient un certain nombre de critères en matière de performances fonctionnelles qui sont liés aux modes de fonctionnement des produits et services. Ces critères ne doivent pas s’entendre comme étant une solution générale de substitution aux exigences en matière d’accessibilité de la présente directive, mais devraient être utilisés dans des cas très spécifiques uniquement. Lorsque les exigences en matière d’accessibilité de la présente directive ne traitent pas d’une ou plusieurs fonctions ou caractéristiques spécifiques des produits ou services, il conviendrait d’appliquer lesdits critères aux fonctions ou caractéristiques en question, afin de le rendre accessible. Par ailleurs, dans le cas où une exigence en matière d’accessibilité comporterait des exigences techniques spécifiques et où le produit ou service visé fournirait une solution technique alternative pour ces exigences techniques, cette solution technique alternative devrait toujours être conforme aux exigences connexes en matière d’accessibilité et devrait donner lieu à une accessibilité équivalente ou accrue par l’application des critères pertinents en matière de performances fonctionnelles.

(25)

La présente directive devrait s’appliquer aux systèmes informatiques matériels à usage général du grand public. Pour que ces systèmes fonctionnent de manière accessible, il y a lieu que leurs systèmes d’exploitation soient également accessibles. Ces systèmes informatiques matériels se caractérisent par leur nature polyvalente et leur capacité à réaliser, avec les logiciels appropriés, les opérations informatiques les plus courantes demandées par les consommateurs, et sont destinés à être utilisés par les consommateurs. Les ordinateurs personnels, y compris les ordinateurs de bureau, les ordinateurs portables, les smartphones et les tablettes constituent des exemples de systèmes informatiques matériels. Les ordinateurs spécialisés incorporés dans des produits électroniques de consommation ne constituent pas des systèmes informatiques matériels à usage général du grand public. La présente directive ne devrait pas s’appliquer aux composants seuls ayant des fonctions spécifiques, pris séparément, tels que les cartes mères ou les puces mémoire, qui sont utilisés dans ces systèmes ou pourraient l’être.

(26)

La présente directive devrait également s’appliquer aux terminaux de paiement, y compris leurs matériels et leurs logiciels, et à certains terminaux en libre-service interactifs, y compris leurs matériels et logiciels, destinés à être utilisés pour fournir des services relevant de la présente directive, par exemple les guichets de banque automatiques, les distributeurs automatiques délivrant des tickets physiques donnant accès à des services, tels que les distributeurs de titres de transport, les distributeurs de tickets de file d’attente dans les agences bancaires, les bornes d’enregistrement automatiques et les terminaux en libre-service interactifs fournissant des informations, y compris les écrans d’information interactifs.

(27)

Il convient cependant d’exclure du champ d’application de la présente directive certains terminaux en libre-service interactifs fournissant des informations installés en tant que parties intégrantes de véhicules, d’aéronefs, de navires ou de matériel roulant dans la mesure où ces terminaux font partie de véhicules, d’aéronefs, de navires ou de matériel roulant ne relevant pas de la présente directive.

(28)

La présente directive devrait également s’appliquer aux services de communications électroniques, y compris les communications d’urgence tels qu’elles sont définies dans la directive (UE) 2018/1972 du Parlement européen et du Conseil (5). Actuellement, les mesures prises par les États membres pour assurer l’accès des personnes handicapées sont divergentes et ne sont pas harmonisées dans l’ensemble du marché intérieur. Veiller à ce que les mêmes exigences en matière d’accessibilité s’appliquent dans l’ensemble de l’Union entraînera des économies d’échelle pour les opérateurs économiques qui exercent leurs activités dans plusieurs États membres et contribuera à l’accès effectif des personnes handicapées dans leur propre État membre et lorsqu’elles voyagent dans d’autres États membres. Pour que les services de communications électroniques, y compris les communications d’urgence, soient accessibles, les prestataires devraient, en plus de la communication vocale, fournir du texte en temps réel, et des services de conversation totale lorsqu’ils proposent de la vidéo, en assurant la synchronisation de tous ces moyens de communication. Outre les exigences de la présente directive, les États membres devraient, conformément à la directive (UE) 2018/1972, être en mesure de déterminer un fournisseur de services de relais que les personnes handicapées pourraient utiliser.

(29)

La présente directive harmonise les exigences en matière d’accessibilité applicables aux services de communications électroniques et aux produits connexes et complète la directive (UE) 2018/1972, laquelle fixe des exigences en matière d’équivalence d’accès et de choix pour les utilisateurs finals handicapés. La directive (UE) 2018/1972 fixe également des exigences relevant des obligations de service universel en ce qui concerne le caractère abordable des services d’accès à l’internet et de communications vocales, ainsi que la disponibilité et le caractère abordable des équipements terminaux connexes, des équipements spécifiques et des services spécifiques pour les consommateurs handicapés.

(30)

La présente directive devrait également s’appliquer aux équipements terminaux grand public avec des capacités informatiques interactives, dont il est prévisible qu’ils seront principalement utilisés pour accéder à des services de communications électroniques. Aux fins de la présente directive, il convient de considérer ces équipements comme comprenant les équipements faisant partie de la configuration utilisée pour accéder aux services de communications électroniques, tels qu’un routeur ou un modem.

(31)

Aux fins de la présente directive, l’accès aux services de médias audiovisuels devrait signifier que les services donnant accès au contenu audiovisuel sont accessibles, ainsi que les mécanismes permettant aux utilisateurs qui sont des personnes handicapées d’utiliser leurs technologies d’assistance. Les services fournissant un accès à des services de médias audiovisuels pourraient inclure des sites internet, des applications en ligne, des applications intégrées dans des décodeurs, des applications téléchargeables, des services intégrés sur appareils mobiles, notamment des applications mobiles, et des lecteurs de médias connexes ainsi que des services de télévision connectée. L’accessibilité des services de médias audiovisuels est régie par la directive 2010/13/UE du Parlement européen et du Conseil (6), sauf en ce qui concerne l’accessibilité des guides électroniques de programme (GEP) qui font partie de la définition des services fournissant un accès à des services de médias audiovisuels auxquels la présente directive s’applique.

(32)

Dans le cadre des services de transport aérien, ferroviaire, par voie de navigation intérieure et par autobus de voyageurs et de passagers, la présente directive devrait s’appliquer, entre autres, à la fourniture d’informations sur les services de transport, notamment d’informations en temps réel sur le voyage, via des sites internet, des services intégrés sur des appareils mobiles, des écrans d’information interactifs et des terminaux en libre-service interactifs, dont les personnes handicapées ont besoin pour voyager. Il pourrait s’agir d’informations sur les produits et services en matière de transport de voyageurs et de passagers du prestataire de services, d’informations fournies avant ou pendant le voyage et lorsqu’un service est annulé ou que son départ est retardé. D’autres éléments d’information pourraient aussi porter sur les prix et les promotions.

(33)

La présente directive devrait également s’appliquer aux sites internet, aux services intégrés sur appareils mobiles, y compris les applications mobiles mises au point ou à disposition par les exploitants de services de transport de voyageurs et de passagers relevant de la présente directive, ou en leur nom, aux services de billetterie électronique, aux billets électroniques et aux terminaux en libre-service interactifs.

(34)

La détermination du champ d’application de la présente directive en ce qui concerne les services de transport aérien, ferroviaire, par voie de navigation intérieure et par autobus de voyageurs et de passagers devrait s’appuyer sur la législation sectorielle existante concernant les droits des voyageurs et des passagers. Lorsque la présente directive ne s’applique pas à certains types de services de transport, les États membres devraient encourager les prestataires de services à appliquer les exigences en matière d’accessibilité de la présente directive.

(35)

La directive (UE) 2016/2102 du Parlement européen et du Conseil (7) prévoit déjà des obligations pour les organismes du secteur public qui fournissent des services de transport, y compris des services de transport urbains et suburbains et des services de transport régionaux, afin qu’ils rendent leurs sites internet accessibles. La présente directive prévoit des exemptions pour les microentreprises fournissant des services, y compris des services de transport urbains et suburbains et des services de transport régionaux. Elle comporte en outre des obligations pour garantir l’accessibilité des sites internet utilisés pour le commerce électronique. Puisque la présente directive contient des obligations destinées à la grande majorité des prestataires privés de services de transport afin qu’ils rendent leurs sites internet accessibles en ce qui concerne la vente en ligne de titres de transport, il n’est pas nécessaire d’y introduire d’autres exigences applicables aux sites internet des prestataires de services de transport urbains et suburbains et des prestataires de services de transport régionaux.

(36)

Certains aspects des exigences en matière d’accessibilité, notamment en ce qui concerne la fourniture d’informations prévue par la présente directive, sont déjà régis par le droit de l’Union en vigueur dans le domaine du transport de passagers. Il s’agit notamment d’aspects du règlement (CE) no 261/2004 du Parlement européen et du Conseil (8), du règlement (CE) no 1107/2006 du Parlement européen et du Conseil (9), du règlement (CE) no 1371/2007 du Parlement européen et du Conseil (10), du règlement (UE) no 1177/2010 du Parlement européen et du Conseil (11) et du règlement (UE) no 181/2011 du Parlement européen et du Conseil (12). Il s’agit également des actes pertinents adoptés sur la base de la directive 2008/57/CE du Parlement européen et du Conseil (13). Par souci de cohérence réglementaire, il convient que les exigences en matière d’accessibilité établies dans les règlements et actes précités continuent de s’appliquer. Cependant, les exigences supplémentaires énoncées dans la présente directive viendraient compléter les exigences existantes, améliorant ainsi le fonctionnement du marché intérieur dans le domaine des transports et procurant des avantages aux personnes handicapées.

(37)

Certains éléments des services de transport ne devraient pas relever de la présente directive lorsqu’ils sont fournis hors du territoire des États membres, même lorsque le service est destiné au marché de l’Union. En ce qui concerne ces éléments, l’exploitant d’un service de transport de voyageurs ou de passagers ne devrait être tenu de veiller au respect des exigences de la présente directive qu’en ce qui concerne la partie du service qu’il propose sur le territoire de l’Union. Cependant, dans le cas du transport aérien, les transporteurs aériens de l’Union devraient veiller à ce qu’il soit également satisfait aux exigences applicables de la présente directive sur les vols au départ d’un aéroport situé dans un pays tiers à destination d’un aéroport situé sur le territoire d’un État membre. Par ailleurs, tous les transporteurs aériens, y compris ceux qui ne disposent pas d’une licence dans l’Union, devraient veiller à ce qu’il soit satisfait aux exigences applicables de la présente directive sur les vols au départ du territoire de l’Union à destination du territoire d’un pays tiers.

(38)

Les pouvoirs publics des villes devraient être encouragés à incorporer l’accessibilité sans obstacle aux services de transport urbains dans leurs plans de mobilité urbaine durable et à publier régulièrement une liste des bonnes pratiques en matière d’accessibilité sans obstacle aux transports publics urbains et à la mobilité.

(39)

Le droit de l’Union en matière de services bancaires et financiers vise à protéger les utilisateurs de ces services et à leur fournir des informations dans l’ensemble de l’Union, mais ne comprend pas d’exigences en matière d’accessibilité. Afin que les personnes handicapées puissent utiliser ces services dans l’ensemble de l’Union, y compris lorsqu’ils sont fournis via des sites internet et des services intégrés sur appareils mobiles dont les applications mobiles, et prendre des décisions en connaissance de cause et qu’elles soient assurées de bénéficier d’une protection adéquate sur la base de l’égalité avec les autres consommateurs et afin que des conditions de concurrence équitables soient assurées aux prestataires de services, la présente directive devrait établir des exigences communes en matière d’accessibilité pour certains services bancaires et financiers aux consommateurs.

(40)

Les exigences appropriées en matière d’accessibilité devraient également s’appliquer aux méthodes d’identification et aux services de signature et de paiement électroniques dans la mesure où ils sont nécessaires pour conclure des transactions dans le cadre des services bancaires aux consommateurs.

(41)

Les fichiers de livres numériques reposent sur un codage informatique qui permet la circulation et la consultation d’une œuvre intellectuelle principalement textuelle et graphique. Le degré de précision du codage détermine l’accessibilité des fichiers de livres numériques, en particulier pour ce qui est de la qualification des différents éléments constitutifs de l’œuvre et de la description normalisée de sa structure. L’interopérabilité en termes d’accessibilité devrait optimaliser la compatibilité de ces fichiers avec les agents utilisateurs et les technologies d’assistance actuelles et futures. Les caractéristiques propres à des ouvrages particuliers comme les bandes dessinées, les livres pour enfants et les livres d’art devraient être prises en compte eu égard à toutes les exigences applicables en matière d’accessibilité. L’existence d’exigences en matière d’accessibilité divergentes d’un État membre à l’autre empêcherait les éditeurs et autres opérateurs économiques de tirer parti des atouts du marché intérieur et pourrait susciter des problèmes d’interopérabilité avec les liseuses numériques et limiter l’accès des consommateurs qui sont des personnes handicapées. Pour ce qui est des livres numériques, la notion de prestataire de services pourrait comprendre les éditeurs et les autres opérateurs économiques associés à la distribution.

Il est reconnu que les personnes handicapées sont toujours confrontées à des obstacles pour accéder aux contenus qui sont protégés par le droit d’auteur et des droits voisins et que certaines mesures ont déjà été prises pour remédier à cette situation, par exemple au moyen de l’adoption de la directive (UE) 2017/1564 du Parlement européen et du Conseil (14) et du règlement (UE) 2017/1563 du Parlement européen et du Conseil (15), et également que d’autres mesures de l’Union pourraient à l’avenir être prises à cet égard.

(42)

La présente directive définit les services de commerce électronique comme des services fournis à distance, via des sites internet et des services intégrés sur appareils mobiles, par voie électronique et à la demande individuelle d’un consommateur, en vue de conclure un contrat de consommation. Aux fins de cette définition, on entend par «à distance» un service fourni sans que les parties soient simultanément présentes; par «par voie électronique» un service envoyé à l’origine et reçu à destination au moyen d’équipements électroniques de traitement (y compris la compression numérique) et de stockage de données, et qui est entièrement transmis, acheminé et reçu par voie filaire, par radio, par moyens optiques ou par d’autres moyens électromagnétiques; et par «à la demande individuelle d’un consommateur», un service fourni sur demande individuelle. Compte tenu de l’importance croissante des services de commerce électronique et de leur caractère hautement technologique, il est important de disposer d’exigences harmonisées quant à leur accessibilité.

(43)

Les obligations en matière d’accessibilité pour les services de commerce électronique prévues par la présente directive devraient s’appliquer à la vente en ligne de tout produit ou service et, par conséquent, à la vente de tout produit ou service relevant en tant que tel de la présente directive.

(44)

Les mesures relatives à l’accessibilité de la réception des communications d’urgence devraient être adoptées sans préjudice de l’organisation des services d’urgence, et ne devraient pas avoir d’incidence sur cette organisation, qui reste de la compétence exclusive des États membres.

(45)

Conformément à la directive (UE) 2018/1972, les États membres doivent veiller à ce que les utilisateurs finals handicapés disposent d’un accès aux services d’urgence au moyen des communications d’urgence et qui soit équivalent à celui dont bénéficient les autres utilisateurs finals, conformément au droit de l’Union harmonisant les exigences en matière d’accessibilité applicables aux produits et services. La Commission et les autorités de régulation nationales et les autres autorités compétentes doivent prendre les mesures appropriées pour veiller à ce que, lorsqu’ils voyagent dans un autre État membre, les utilisateurs finals handicapés puissent accéder aux services d’urgence sur un pied d’égalité avec les autres utilisateurs, si possible sans qu’ils doivent s’enregistrer au préalable. Ces mesures visent à garantir l’interopérabilité entre les États membres et doivent être fondées dans toute la mesure du possible sur les normes ou spécifications européennes établies conformément à l’article 39 de la directive (UE) 2018/1972. Ces mesures n’empêchent pas les États membres d’adopter des obligations supplémentaires aux fins de la réalisation des objectifs énoncés dans ladite directive. Plutôt que de satisfaire aux exigences en matière d’accessibilité en ce qui concerne la réception des communications d’urgence pour les utilisateurs handicapés prévues par la présente directive, les États membres devraient avoir la faculté de déterminer un fournisseur de services de relais que les personnes handicapées pourraient utiliser pour communiquer avec le centre de réception des appels d’urgence, tant que ces centres de réception des appels d’urgence ne seront pas en mesure d’utiliser des services de communications électroniques via des protocoles internet pour garantir l’accessibilité de la réception des communications d’urgence. En tout état de cause, les obligations de la présente directive ne devraient pas s’entendre comme limitant ou réduisant les obligations en faveur des utilisateurs finals handicapés, y compris les obligations en matière d’accès équivalent aux services de communications électronique et aux services d’urgence ainsi que les obligations en matière d’accessibilité fixées dans la directive (UE) 2018/1972.

(46)

La directive (UE) 2016/2102 définit des exigences en matière d’accessibilité pour les sites internet et les applications mobiles des organismes du secteur public et d’autres aspects connexes, en particulier des exigences relatives à la conformité des sites internet et des applications mobiles concernés. Cette directive comporte toutefois une liste spécifique d’exceptions. Des exceptions similaires sont d’application pour la présente directive. Certaines activités réalisées par l’intermédiaire de sites internet et d’applications mobiles d’organismes du secteur public, telles que les services de transport de voyageurs et de passagers ou les services de commerce électronique, qui relèvent du champ d’application de la présente directive, devraient en outre être conformes aux exigences applicables en matière d’accessibilité prévues par la présente directive afin de garantir que la vente en ligne de produits et services soit accessible aux personnes handicapées, que le vendeur soit un opérateur économique public ou privé. Les exigences en matière d’accessibilité prévues par la présente directive devraient être alignées sur les exigences de la directive (UE) 2016/2102, en dépit des différences qui existent par exemple en matière de suivi, d’établissement de rapports et de contrôle.

(47)

Les quatre principes de l’accessibilité pour les sites internet et les applications mobiles, tels qu’ils sont énoncés dans la directive (UE) 2016/2102, sont la perceptibilité, c’est-à-dire que les informations et les composants des interfaces utilisateurs doivent pouvoir être présentés aux utilisateurs de manière à ce qu’ils les perçoivent; l’opérabilité, c’est-à-dire que les composants des interfaces utilisateurs et la navigation doivent pouvoir être utilisés; la compréhensibilité, c’est-à-dire que les informations et l’utilisation des interfaces utilisateurs doivent être compréhensibles; et la solidité, c’est-à-dire que le contenu doit être suffisamment solide pour être interprété de manière fiable par une grande diversité d’agents utilisateurs, y compris des technologies d’assistance. Ces principes valent également pour la présente directive.

(48)

Les États membres devraient prendre toutes les mesures appropriées afin que, lorsque les produits et services relevant de la présente directive sont conformes aux exigences applicables en matière d’accessibilité, leur libre circulation dans l’Union ne soit pas entravée pour des raisons liées aux exigences en matière d’accessibilité.

(49)

Dans certains cas, des exigences communes en matière d’accessibilité applicables à l’environnement bâti faciliteraient la libre circulation des services concernés et des personnes handicapées. C’est pourquoi la présente directive devrait permettre aux États membres d’inclure l’environnement bâti utilisé dans la fourniture des services dans le champ d’application de la présente directive, garantissant le respect des exigences en matière d’accessibilité énoncées à l’annexe III.

(50)

L’accessibilité devrait résulter de l’élimination et de la prévention systématiques des obstacles, de préférence au moyen d’une approche caractérisée par la conception universelle («conception pour tous»), qui contribue à assurer l’accès des personnes handicapées sur la base de l’égalité avec les autres. Selon la convention, cette approche désigne «la conception de produits, d’équipements, de programmes et de services qui puissent être utilisés par tous, dans toute la mesure possible, sans nécessiter ni adaptation ni conception spéciale». Conformément à la convention, «la ‘conception universelle’ n’exclut pas les appareils et accessoires fonctionnels pour des catégories particulières de personnes handicapées là où ils sont nécessaires». En outre, l’accessibilité ne devrait pas exclure la mise à disposition d’aménagements raisonnables, lorsque le droit national ou celui de l’Union l’exige. Il y a lieu d’interpréter les notions d’accessibilité et de conception universelle conformément à l’orientation générale no 2(2014) — article 9: Accessibilité, rédigée par le comité des droits des personnes handicapées.

(51)

Les produits et services entrant dans le champ d’application de la présente directive ne relèvent pas automatiquement du champ d’application de la directive 93/42/CEE du Conseil (16). Certaines technologies d’assistance qui sont des dispositifs médicaux pourraient toutefois relever du champ d’application de ladite directive.

(52)

Dans l’Union, la plupart des emplois sont fournis par les PME et les microentreprises. Celles-ci ont une importance cruciale pour la croissance future, mais se heurtent très souvent à des difficultés et obstacles lors de l’élaboration de leurs produits ou services, en particulier dans un contexte transfrontière. Il est donc nécessaire de faciliter le travail des PME et des microentreprises en harmonisant les dispositions nationales en matière d’accessibilité, tout en maintenant les garde-fous nécessaires.

(53)

Pour pouvoir bénéficier de la présente directive, les microentreprises et les PME doivent véritablement satisfaire aux exigences de la recommandation 2003/361/CE de la Commission (17) et de la jurisprudence pertinente, destinées à prévenir le contournement de ses règles.

(54)

Afin de veiller à la cohérence du droit de l’Union, la présente directive devrait se fonder sur la décision no 768/2008/CE du Parlement européen et du Conseil (18), dans la mesure où elle concerne des produits déjà soumis à d’autres actes de l’Union, tout en tenant compte des caractéristiques spécifiques des exigences en matière d’accessibilité énoncées dans la présente directive.

(55)

Tous les opérateurs économiques relevant du champ d’application de la présente directive et intervenant dans la chaîne d’approvisionnement et de distribution devraient faire en sorte de ne mettre à disposition sur le marché que des produits conformes à la présente directive. Il devrait en être de même pour les opérateurs économiques fournissant des services. Il convient de prévoir une répartition claire et proportionnée des obligations correspondant au rôle de chaque opérateur économique dans le processus d’approvisionnement et de distribution.

(56)

Les opérateurs économiques devraient être responsables de la conformité des produits et services, eu égard à leur rôle respectif dans la chaîne d’approvisionnement, de manière à garantir un niveau élevé de protection de l’accessibilité et une concurrence loyale sur le marché de l’Union.

(57)

Les obligations de la présente directive devraient s’appliquer de la même manière aux opérateurs économiques du secteur public et du secteur privé.

(58)

En raison de la connaissance détaillée qu’il a du processus de conception et de production, le fabricant est le mieux placé pour accomplir intégralement l’évaluation de la conformité. Si la responsabilité de la conformité des produits incombe au fabricant, les autorités de surveillance du marché devraient jouer un rôle essentiel en vérifiant que les produits mis à disposition dans l’Union sont fabriqués dans le respect du droit de l’Union.

(59)

Les importateurs et les distributeurs devraient être associés aux tâches de surveillance du marché accomplies par les autorités nationales et y participer activement en communiquant aux autorités compétentes toutes les informations nécessaires sur le produit concerné.

(60)

Les importateurs devraient veiller à ce que les produits en provenance de pays tiers qui entrent sur le marché de l’Union soient conformes à la présente directive, et veiller notamment à ce que les fabricants aient appliqué les procédures d’évaluation de la conformité adaptées à ces produits.

(61)

Lors de la mise sur le marché d’un produit, les importateurs devraient indiquer sur le produit leur nom, leur raison sociale ou leur marque déposée et l’adresse à laquelle ils peuvent être contactés.

(62)

Les distributeurs devraient veiller à ce que la façon dont ils manipulent le produit ne porte pas préjudice à la conformité de celui-ci avec les exigences de la présente directive en matière d’accessibilité.

(63)

Tout opérateur économique qui met un produit sur le marché sous son nom ou sa marque propre ou modifie un produit déjà mis sur le marché de telle manière que sa conformité avec les exigences applicables risque d’en être compromise, devrait être considéré comme le fabricant et, donc, assumer les obligations incombant à celui-ci.

(64)

Pour des raisons de proportionnalité, les exigences en matière d’accessibilité ne devraient s’appliquer que dans la mesure où elles n’imposent pas de charge disproportionnée à l’opérateur économique concerné ou dans la mesure où elles n’exigent pas que des changements significatifs soient apportés aux produits et services qui entraîneraient leur modification fondamentale à la lumière de la présente directive. Des mécanismes de contrôle devraient néanmoins être mis en place afin de vérifier le droit aux dérogations à l’applicabilité des exigences en matière d’accessibilité.

(65)

La présente directive devrait suivre le principe «penser en priorité aux PME» et tenir compte des charges administratives qui pèsent sur elles. Plutôt que de prévoir des exceptions et des dérogations généralisées pour ces entreprises, elle devrait fixer des règles souples en matière d’évaluation de la conformité et établir des clauses de sauvegarde pour les opérateurs économiques. Par conséquent, lors de la fixation des règles de sélection et d’application des procédures d’évaluation de la conformité les plus appropriées, il convient de tenir compte de la situation des PME et de limiter les obligations d’évaluer la conformité des exigences en matière d’accessibilité de telle manière qu’elles n’imposent pas de charge disproportionnée aux PME. De plus, les autorités de surveillance du marché devraient opérer de manière proportionnée à la taille des entreprises et au caractère de petite série ou hors série de la production concernée, sans créer d’obstacles inutiles pour les PME et sans compromettre la protection de l’intérêt public.

(66)

Dans des cas exceptionnels, lorsque le respect des exigences en matière d’accessibilité énoncées dans la présente directive ferait peser une charge disproportionnée sur les opérateurs économiques, ceux-ci ne devraient être tenus de s’y conformer que dans des proportions telles qu’elles ne leur imposent pas une charge disproportionnée. Dans des cas dûment justifiés, il s’avérerait raisonnablement impossible à un opérateur économique d’appliquer pleinement une ou plusieurs des exigences en matière d’accessibilité énoncées dans la présente directive. Cependant, l’opérateur économique devrait rendre un service ou un produit relevant de la présente directive le plus accessible possible en se conformant à ces exigences dans des proportions telles qu’elles ne lui imposent pas une charge disproportionnée. Les exigences en matière d’accessibilité dont l’opérateur économique n’a pas estimé qu’elles imposent une charge disproportionnée devraient s’appliquer pleinement. Les exceptions au respect d’une ou plusieurs exigences en matière d’accessibilité en raison de la charge disproportionnée qu’elles imposent ne devraient pas excéder ce qui est strictement nécessaire pour limiter cette charge à l’égard du produit ou service particulier concerné dans tel ou tel cas. Les mesures qui imposeraient une charge disproportionnée sont des mesures qui imposeraient une charge organisationnelle ou financière supplémentaire excessive à un opérateur économique, compte tenu néanmoins des bénéfices probables susceptibles d’en résulter pour les personnes handicapées conformément aux critères fixés dans la présente directive. Des critères fondés sur ces considérations devraient être définis afin de permettre tant aux opérateurs économiques qu’aux autorités compétentes de comparer différentes situations et d’évaluer de manière systématique s’il existe ou non une charge disproportionnée. Seuls des raisons légitimes devraient être prises en compte pour évaluer la mesure dans laquelle il ne peut être satisfait aux exigences en matière d’accessibilité compte tenu de la charge disproportionnée qu’elles imposeraient. L’absence de priorité ou le manque de temps ou de connaissances ne devraient pas être réputés constituer des raisons légitimes.

(67)

Le caractère disproportionné de la charge devrait être évalué de manière globale au moyen des critères énoncés à l’annexe VI. L’évaluation de la charge disproportionnée devrait être étayée par des preuves apportées par l’opérateur économique en tenant compte des critères pertinents. Les prestataires de services devraient renouveler leur évaluation tous les cinq ans au moins.

(68)

Lorsqu’il a fait usage des dispositions de la présente directive relatives à la modification fondamentale et/ou à la charge disproportionnée, l’opérateur économique devrait en informer les autorités compétentes. Uniquement à la demande des autorités compétentes, l’opérateur économique devrait communiquer une copie de l’évaluation en expliquant pourquoi son produit ou service n’est pas totalement accessible et en fournissant des preuves du caractère disproportionné de la charge ou de la modification fondamentale, ou les deux.

(69)

Si l’évaluation requise permet à un prestataire de services de conclure qu’exiger que tous les terminaux en libre-service qui sont utilisés pour la fourniture des services relevant de la présente directive, soient conformes aux exigences en matière d’accessibilité énoncées dans la présente directive ferait peser une charge disproportionnée, le prestataire de services devrait néanmoins appliquer ces exigences dans des proportions telles qu’elles ne lui imposent pas une charge disproportionnée. Par conséquent, les prestataires de services devraient évaluer la mesure dans laquelle un degré limité d’accessibilité de tous les terminaux en libre-service ou un nombre limité de terminaux en libre-service pleinement accessibles leur permettrait d’éviter une charge disproportionnée qui leur serait imposée autrement, et ils devraient être tenus de satisfaire aux exigences en matière d’accessibilité énoncées dans la présente directive uniquement dans cette mesure.

(70)

Les microentreprises se distinguent de toutes les autres entreprises par le caractère limité de leurs ressources humaines, de leur chiffre d’affaires annuel ou de leur bilan annuel. La charge que constitue la conformité avec les exigences en matière d’accessibilité représenta donc en général pour les microentreprises une part plus élevée de leurs ressources humaines et financières que pour les autres entreprises et plus probablement une part disproportionnée des coûts. Une part importante des coûts pour les microentreprises est due aux documents et registres qui doivent être établis et conservés pour démontrer la conformité avec les différentes exigences prévues par le droit de l’Union. Si l’ensemble des opérateurs économiques auxquels s’applique la présente directive devraient être en mesure d’évaluer le caractère proportionné de la conformité avec les exigences en matière d’accessibilité énoncées dans la présente directive et ne devraient satisfaire à celles-ci que dans la mesure où elles ne sont pas disproportionnées, demander une telle évaluation aux microentreprises fournissant des services constituerait en soi une charge disproportionnée. Par conséquent, les exigences et obligations de la présente directive ne devraient pas s’appliquer aux microentreprises qui fournissent des services relevant du champ d’application de la présente directive.

(71)

Afin de réduire la charge administrative, il convient que la présente directive prévoie des exigences et obligations moindres pour les microentreprises qui exercent leur activité dans le domaine de la fabrication, de l’importation ou de la distribution des produits relevant de son champ d’application.

(72)

Si parmi les microentreprises, certaines sont exemptées des obligations de la présente directive, elles devraient toutes être encouragées à fabriquer, importer ou distribuer des produits et à fournir des services qui soient conformes aux exigences en matière d’accessibilité énoncées dans la présente directive, afin de renforcer leur compétitivité et leur potentiel de croissance sur le marché intérieur. Les États membres devraient par conséquent fournir des lignes directrices et des outils aux microentreprises pour faciliter l’application des mesures nationales transposant la présente directive.

(73)

Tous les opérateurs économiques devraient agir de manière responsable et en totale conformité avec les exigences légales en vigueur lorsqu’ils mettent des produits sur le marché ou les mettent à disposition sur le marché, ou lorsqu’ils fournissent des services sur le marché.

(74)

Afin de faciliter l’évaluation de la conformité avec les exigences applicables en matière d’accessibilité, il est nécessaire d’instaurer une présomption de conformité pour les produits et services qui répondent aux normes harmonisées volontaires adoptées conformément au règlement (UE) no 1025/2012 du Parlement européen et du Conseil (19) aux fins de l’élaboration des spécifications techniques détaillées de ces exigences. La Commission a déjà adressé aux organismes européens de normalisation un certain nombre de demandes de normalisation portant sur l’accessibilité, telles que les mandats de normalisation M/376, M/473 et M/420, qui seraient pertinentes pour l’élaboration de normes harmonisées.

(75)

Le règlement (UE) no 1025/2012 prévoit une procédure pour la présentation d’objections formelles à l’encontre de normes harmonisées jugées non conformes aux exigences de la présente directive.

(76)

Les normes européennes devraient être ajustées aux conditions du marché, tenir compte de l’intérêt public, ainsi que des objectifs clairement formulés dans la demande d’élaboration de normes harmonisées adressée par la Commission à un ou plusieurs organismes européens de normalisation, et s’appuyer sur un consensus. En l’absence de normes harmonisées et, si nécessaire, à des fins d’harmonisation du marché intérieur, la Commission devrait être en mesure d’adopter dans certains cas des actes d’exécution établissant des spécifications techniques pour les exigences en matière d’accessibilité prévues par la présente directive. Le recours à des spécifications techniques devrait être limité à ces cas. La Commission devrait être en mesure d’adopter des spécifications techniques, par exemple lorsque le processus de normalisation est bloqué faute de consensus entre les parties prenantes ou lorsque l’élaboration d’une norme harmonisée rencontre un retard injustifié, par exemple parce que la qualité requise n’est pas atteinte. La Commission devrait accorder suffisamment de temps entre l’adoption d’une demande d’élaboration de normes harmonisées adressée à un ou plusieurs organismes européens de normalisation et l’adoption d’une spécification technique liée à la même exigence en matière d’accessibilité. La Commission ne devrait être autorisée à adopter une spécification technique qu’après avoir essayé d’assurer la couverture des exigences en matière d’accessibilité par le système européen de normalisation, sauf lorsque la Commission peut démontrer que les spécifications techniques respectent les exigences énoncées à l’annexe II du règlement (UE) no 1025/2012.

(77)

En vue d’établir des normes harmonisées et des spécifications techniques respectant, de la manière la plus efficace, les exigences en matière d’accessibilité prévues par la présente directive pour les produits et les services, la Commission devrait, dans la mesure du possible, associer au processus les organisations faîtières européennes représentant les intérêts des personnes handicapées et toutes les autres parties prenantes.

(78)

En vue de garantir un accès effectif aux informations à des fins de surveillance du marché, les informations requises pour pouvoir déclarer qu’un produit est conforme à tous les actes applicables de l’Union devraient être mises à disposition dans une seule déclaration UE de conformité. Il convient, pour que la charge administrative pesant sur eux soit réduite, que les opérateurs économiques soient en mesure d’inclure dans cette déclaration UE de conformité toutes les déclarations de conformité individuelles pertinentes.

(79)

Pour l’évaluation de la conformité des produits, la présente directive devrait utiliser la procédure du contrôle interne de la fabrication du «module A», décrite à l’annexe II de la décision no 768/2008/CE, dans la mesure où elle permet aux opérateurs économiques de démontrer, et aux autorités compétentes de garantir, que les produits mis à disposition sur le marché sont conformes aux exigences en matière d’accessibilité, sans pour autant leur imposer une charge indue.

(80)

Lorsqu’elles effectuent la surveillance d’un produit sur le marché et qu’elles vérifient la conformité d’un service, les autorités devraient également vérifier les évaluations de conformité, y compris si l’évaluation pertinente d’une modification fondamentale ou d’une charge disproportionnée a été correctement réalisée. Les autorités devraient s’acquitter de leurs obligations en coopération avec des personnes handicapées et les organisations qui les représentent, ainsi que leurs intérêts.

(81)

Pour les services, il convient que les informations nécessaires à l’évaluation de la conformité avec les exigences en matière d’accessibilité énoncées dans la présente directive, soient fournies dans les conditions générales ou un document équivalent sans préjudice de la directive 2011/83/UE du Parlement européen et du Conseil (20).

(82)

Le marquage CE, qui matérialise la conformité d’un produit avec les exigences en matière d’accessibilité prévues par la présente directive, est le résultat visible d’un processus global comprenant l’évaluation de la conformité au sens large. Il convient que la présente directive respecte les principes généraux régissant le marquage CE établis dans le règlement (CE) no 765/2008 du Parlement européen et du Conseil (21) fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits. En plus de la déclaration de conformité UE, le fabricant devrait informer les consommateurs, à moindre coût, de l’accessibilité de ses produits.

(83)

Conformément au règlement (CE) no 765/2008, en apposant le marquage CE sur un produit, le fabricant déclare que celui-ci est conforme à toutes les exigences applicables en matière d’accessibilité et qu’il en assume l’entière responsabilité.

(84)

Conformément à la décision no 768/2008/CE, en ce qui concerne les produits, il incombe aux États membres de veiller à une surveillance du marché rigoureuse et efficace sur leur territoire, et ils devraient doter les autorités qui en ont la charge des moyens et des ressources nécessaires à cette fin.

(85)

Les États membres devraient vérifier si les services sont conformes aux obligations de la présente directive et assurer le suivi des plaintes ou des rapports concernant les cas de non-conformité afin de garantir que des mesures correctives ont été prises.

(86)

La Commission pourrait, s’il y a lieu, adopter, en concertation avec les parties intéressées, des lignes directrices non contraignantes contribuant à la coordination entre les autorités de surveillance du marché et les autorités chargées de vérifier la conformité des services. La Commission et les États membres devraient pouvoir mettre en place des initiatives en vue de partager les ressources et l’expertise des autorités.

(87)

Les États membres devraient veiller à ce que les autorités de surveillance du marché et les autorités chargées de la conformité des services contrôlent si les opérateurs économiques ont respecté les critères énoncés à l’annexe VI, conformément aux chapitres VIII et IX. Les États membres devraient pouvoir désigner un organisme spécialisé chargé d’exécuter les obligations incombant aux autorités de surveillance du marché ou aux autorités chargées de la conformité des services au titre de la présente directive. Les États membres devraient pouvoir décider que les compétences d’un tel organisme devraient être limitées au champ d’application de la présente directive ou à certaines parties de celui-ci, sans préjudice des obligations incombant aux États membres au titre du règlement (CE) no 765/2008.

(88)

Il convient d’instaurer une procédure de sauvegarde qui s’appliquerait en cas de désaccord entre les États membres sur les mesures prises par un État membre et qui permettent aux parties intéressées d’être informées des mesures qu’il est envisagé de prendre à l’égard des produits non conformes aux exigences en matière d’accessibilité prévues par la présente directive. La procédure de sauvegarde devrait également permettre aux autorités de surveillance du marché, en coopération avec les opérateurs économiques concernés, d’agir à un stade plus précoce en ce qui concerne ces produits.

(89)

Lorsqu’il y a accord entre les États membres et la Commission quant au bien-fondé d’une mesure prise par un État membre, une intervention de la Commission ne devrait plus être nécessaire, sauf dans les cas où la non-conformité peut être attribuée aux lacunes dans les normes harmonisées ou les spécifications techniques.

(90)

Les directives 2014/24/UE (22) et 2014/25/UE (23) du Parlement européen et du Conseil sur la passation des marchés publics, qui définissent des procédures pour la passation des marchés publics et les concours applicables à certains travaux, fournitures (produits) et services, établissent que, pour tous les marchés de travaux, fournitures ou services destinés à être utilisés par des personnes physiques, qu’il s’agisse du grand public ou du personnel du pouvoir adjudicateur, les spécifications techniques doivent être élaborées, sauf dans des cas dûment justifiés, de façon à tenir compte des critères d’accessibilité pour les personnes handicapées ou de la notion de conception pour tous les utilisateurs. En outre, ces directives exigent en outre que lorsque des exigences d’accessibilité contraignantes ont été arrêtées par un acte juridique de l’Union, les spécifications techniques soient définies par référence à ces normes en ce qui concerne les critères d’accessibilité pour les personnes handicapées ou la notion de conception pour tous les utilisateurs. La présente directive devrait établir des exigences d’accessibilité contraignantes pour les produits et services relevant de son champ d’application. Pour les produits et services ne relevant pas de son champ d’application, les exigences en matière d’accessibilité énoncées dans la présente directive ne sont pas contraignantes. Toutefois, l’application de ces exigences d’accessibilité pour respecter les obligations pertinentes énoncées dans des actes de l’Union autres que la présente directive faciliterait la mise en œuvre de l’accessibilité et contribuerait à la sécurité juridique et au rapprochement des exigences en matière d’accessibilité dans l’Union. Il convient de ne pas empêcher les autorités d’établir des exigences en matière d’accessibilité allant au-delà de celles qui sont énoncées à l’annexe I de la présente directive.

(91)

La présente directive ne devrait pas modifier la nature obligatoire ou facultative des dispositions en matière d’accessibilité qui figurent dans d’autres actes de l’Union.

(92)

La présente directive ne devrait s’appliquer qu’aux procédures de passation de marchés pour lesquelles l’avis d’appel à la concurrence a été envoyé, ou, s’il n’est pas prévu d’en envoyer un, qui ont été entamées par le pouvoir adjudicateur après la date de mise en application de la présente directive.

(93)

Afin d’assurer la bonne application de la présente directive, le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne devrait être délégué à la Commission pour: préciser davantage les exigences en matière d’accessibilité qui, de façon intrinsèque, ne peuvent produire leurs effets escomptés à moins de faire l’objet de précisions complémentaires dans des actes juridiques contraignants de l’Union; modifier la période durant laquelle les opérateurs économiques doivent être en mesure d’identifier tout opérateur économique qui leur a fourni un produit ou tout opérateur économique auquel ils ont fourni un produit; et préciser de manière plus détaillée les critères pertinents que l’opérateur économique doit prendre en compte pour évaluer si la conformité avec les exigences en matière d’accessibilité imposerait une charge disproportionnée. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (24). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

(94)

Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission en ce qui concerne les spécifications techniques. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (25).

(95)

Les États membres devraient veiller à ce que des moyens adéquats et efficaces existent pour assurer le respect de la présente directive et ils devraient dès lors mettre en place des mécanismes de contrôle appropriés, tels que des contrôles a posteriori par les autorités de surveillance du marché, afin de vérifier que la dérogation à l’application des exigences en matière d’accessibilité est justifiée. Lors du traitement de plaintes en matière d’accessibilité, les États membres devraient se conformer au principe général de bonne administration et, en particulier, à l’obligation des fonctionnaires de veiller à ce qu’une décision soit prise pour chaque plainte dans un délai raisonnable.

(96)

Afin de faciliter la mise en œuvre uniforme de la présente directive, la Commission devrait établir un groupe de travail réunissant les autorités concernées et les parties prenantes pour faciliter l’échange d’informations et de bonnes pratiques et pour fournir des conseils. Il convient d’encourager la coopération entre les autorités et les parties prenantes, y compris les personnes handicapées et les organisations qui les représentent, notamment pour améliorer la cohérence de l’application des dispositions de la présente directive relatives aux exigences d’accessibilité et de surveiller la mise en œuvre de ses dispositions sur les modifications fondamentales et les charges disproportionnées.

(97)

Compte tenu du cadre juridique existant en ce qui concerne les recours dans les domaines relevant des directives 2014/24/UE et 2014/25/UE, les dispositions de la présente directive relatives aux mesures d’exécution et aux sanctions ne devraient pas s’appliquer aux procédures de passation de marchés publics soumises aux obligations fixées par la présente directive. Une telle exclusion est sans préjudice de l’obligation que les traités font aux États membres de prendre toutes les mesures nécessaires pour garantir l’application et l’efficacité du droit de l’Union.

(98)

Les sanctions devraient être adaptées à la nature des violations et aux circonstances afin qu’elles ne se substituent pas au respect, par les opérateurs économiques, de leurs obligations de rendre leurs produits ou leurs services accessibles.

(99)

Les États membres devraient veiller à ce que, conformément à la législation de l’Union en vigueur, d’autres mécanismes de règlement des différends soient en place pour permettre la résolution de toute allégation de non-conformité avec les dispositions de la présente directive avant que les tribunaux ou les organes administratifs compétents ne soient saisis.

(100)

Conformément à la déclaration politique commune du 28 septembre 2011 des États membres et de la Commission sur les documents explicatifs (26), les États membres se sont engagés à veiller, dans des cas justifiés, à ce que la notification de leurs mesures de transposition s’accompagne d’un ou de plusieurs documents expliquant le lien entre les éléments d’une directive et les parties correspondantes des instruments nationaux de transposition. En ce qui concerne la présente directive, le législateur estime que la transmission de ces documents est justifiée.

(101)

Afin de donner aux prestataires de services suffisamment de temps pour s’adapter aux exigences de la présente directive, il est nécessaire de prévoir une période de transition de cinq ans après la date d’application de la présente directive, pendant laquelle les produits utilisés pour la fourniture d’un service qui ont été mis sur le marché avant cette date ne doivent pas nécessairement être conformes aux exigences en matière d’accessibilité au titre de la présente directive, sauf s’ils sont remplacés par les prestataires de services pendant la période de transition. Compte tenu du coût et de la durée importante du cycle de vie des terminaux en libre-service, il convient de prévoir que, lorsqu’ils sont utilisés pour la fourniture de services, ces terminaux puissent continuer à être utilisés jusqu’à la fin de leur durée de vie économique pour autant qu’ils ne soient pas remplacés au cours de cette période, qui ne doit toutefois pas dépasser vingt ans.

(102)

Les exigences en matière d’accessibilité énoncées dans la présente directive devraient s’appliquer aux produits mis sur le marché et aux services fournis après la date d’application des mesures nationales transposant la présente directive, y compris les produits usagés et d’occasion importés d’un pays tiers et mis sur le marché après cette date.

(103)

La présente directive respecte les droits fondamentaux et observe les principes consacrés notamment par la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée la «Charte»). Elle vise en particulier à assurer le plein respect du droit des personnes handicapées de bénéficier de mesures visant à assurer leur autonomie, leur intégration sociale et professionnelle et leur participation à la vie de la communauté, et à promouvoir l’application des articles 21, 25 et 26 de la Charte.

(104)

Étant donné que l’objectif de la présente directive, à savoir l’élimination des obstacles à la libre circulation de certains produits et services accessibles en vue de contribuer au bon fonctionnement du marché intérieur, ne peut pas être atteint de manière suffisante par les États membres car il requiert l’harmonisation des différentes règles actuellement en vigueur dans leurs systèmes juridiques respectifs, mais peut, en définissant des exigences et des règles communes en matière d’accessibilité pour le fonctionnement du marché intérieur, être mieux atteint au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité énoncé à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre cet objectif,