RÈGLEMENT (UE) 2025/1208 DU CONSEIL

du 12 juin 2025

relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation

(Texte présentant de l’intérêt pour l’EEE)

LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 77, paragraphe 3,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Parlement européen (1),

statuant conformément à une procédure législative spéciale,

considérant ce qui suit:

(1)

Le traité sur l’Union européenne souligne la détermination des États membres à faciliter la libre circulation des personnes, tout en assurant la sûreté et la sécurité de leurs peuples, en établissant un espace de liberté, de sécurité et de justice, conformément aux dispositions du traité sur l’Union européenne et du traité sur le fonctionnement de l’Union européenne.

(2)

La citoyenneté de l’Union confère à tout citoyen de l’Union le droit à la libre circulation sous réserve de certaines limitations et conditions. La directive 2004/38/CE du Parlement européen et du Conseil (2) donne effet à ce droit. L’article 45 de la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte») prévoit également la liberté de circulation et de séjour. La liberté de circulation implique le droit de sortir d’un État membre ou d’y entrer avec une carte d’identité ou un passeport en cours de validité.

(3)

En vertu de la directive 2004/38/CE, les États membres doivent délivrer et renouveler les cartes d’identité ou les passeports de leurs ressortissants conformément à leur législation nationale. En outre, cette directive prévoit que les États membres peuvent exiger des citoyens de l’Union et des membres de leur famille qu’ils s’enregistrent auprès des autorités compétentes. Les États membres sont tenus de délivrer des attestations d’enregistrement aux citoyens de l’Union dans les conditions énoncées dans ladite directive. En vertu de ladite directive, les États membres sont également tenus de délivrer des cartes de séjour aux membres de la famille qui n’ont pas la nationalité d’un État membre et, sur demande, de délivrer des documents attestant de la permanence du séjour et de délivrer des cartes de séjour permanent.

(4)

La directive 2004/38/CE prévoit que les États membres peuvent adopter les mesures nécessaires pour refuser, annuler ou retirer tout droit conféré par ladite directive en cas d’abus de droit ou de fraude. La falsification de documents ou la description fallacieuse d’un fait matériel concernant les conditions attachées au droit de séjour ont été identifiées comme des cas typiques de fraude dans le cadre de cette directive.

(5)

Avant l’adoption de règles au niveau de l’Union, il existait des différences considérables entre les niveaux de sécurité des cartes nationales d’identité et des documents de séjour des citoyens de l’Union et des membres de leur famille résidant dans un autre État membre. Ces différences augmentent le risque de falsification et de fraude documentaire et entraînent également des difficultés pratiques pour les citoyens lorsqu’ils cherchent à exercer leur droit à la libre circulation.

(6)

Il est primordial de disposer de documents de voyage et d’identité sûrs lorsqu’il est nécessaire d’établir l’identité d’une personne sans qu’il subsiste le moindre doute. Il est important que les documents présentent un niveau élevé de sécurité pour prévenir les abus et les menaces pour la sécurité intérieure, en particulier pour ce qui est du terrorisme et de la criminalité transfrontière. Par le passé, les cartes nationales d’identité d’un niveau de sécurité insuffisant figuraient parmi les faux documents les plus fréquemment détectés en ce qui concerne les déplacements à l’intérieur de l’Union.

(7)	Afin de prévenir la fraude à l’identité, les États membres devraient veiller à ce que la falsification et la contrefaçon des documents d’identification ainsi que l’utilisation de ces documents falsifiés ou contrefaits soient pénalisées de manière adéquate par leur droit national.

(8)

La délivrance de cartes d’identité authentiques et sûres nécessite un processus fiable d’enregistrement de l’identité et des documents «sources» sûrs à l’appui du processus de la demande. La Commission, les États membres et les agences concernées de l’Union devraient continuer à coopérer pour rendre les documents sources moins vulnérables à la fraude, étant donné l’utilisation accrue de documents sources falsifiés.

(9)

Le présent règlement n’impose pas aux États membres d’introduire des cartes d’identité ou des documents de séjour lorsque ces documents ne sont pas prévus par le droit national, pas plus qu’il n’affecte la compétence des États membres de délivrer, en vertu du droit national, d’autres documents de séjour qui se situent en dehors du champ d’application du droit de l’Union, par exemple les cartes de séjour délivrées à tous les résidents sur le territoire, quelle que soit leur nationalité. En outre, le présent règlement n’a pas d’incidence sur le principe, découlant de la jurisprudence de la Cour de justice, selon lequel le droit à la libre circulation et le droit de séjour peuvent être attestés par tout moyen de preuve.

(10)	Le présent règlement n’empêche pas les États membres d’accepter, de manière non discriminatoire, des documents autres que les documents de voyage, à des fins d’identification, tels les permis de conduire.

(11)

Les documents d’identification délivrés aux citoyens dont les droits à la libre circulation ont été restreints conformément au droit de l’Union ou au droit national, et qui indiquent expressément qu’ils ne peuvent pas être utilisés comme documents de voyage, ne devraient pas être considérés comme relevant du champ d’application du présent règlement.

(12)

Les documents de voyage conformes à la partie 5 du document 9303 de l’Organisation de l’aviation civile internationale (OACI) relative aux documents lisibles par machine (septième édition, 2015) (ci-après dénommé «document 9303 de l’OACI») qui ne servent pas à des fins d’identification dans les États membres de délivrance, tels que les cartes de passeport délivrées par l’Irlande, ne devraient pas être considérés comme relevant du champ d’application du présent règlement.

(13)	La référence, dans le présent règlement, au document 9303 de l’OACI ne devrait pas être interprétée comme empêchant les États membres d’appliquer les spécifications des éditions ultérieures.

(14)

Le présent règlement n’affecte pas l’utilisation à d’autres fins des cartes d’identité et des documents de séjour avec fonction eID par les États membres, ni les règles établies dans le règlement (UE) no 910/2014 du Parlement européen et du Conseil (3), qui prévoit la reconnaissance mutuelle à l’échelle de l’Union des identifications électroniques pour l’accès aux services publics et aide les citoyens se rendant dans un autre État membre en exigeant la reconnaissance mutuelle des moyens d’identification électronique sous réserve de certaines conditions. L’amélioration des cartes d’identité devrait viser à faciliter l’identification et à contribuer à avoir un meilleur accès aux services.

(15)

Une vérification adéquate des cartes d’identité et des documents de séjour exige que les États membres utilisent le titre correct pour chaque type de document couvert par le présent règlement. Afin de faciliter la vérification des documents couverts par le présent règlement dans d’autres États membres, le titre du document devrait également apparaître dans au moins une autre langue officielle supplémentaire de l’Union. Lorsque les États membres utilisent déjà, pour les cartes d’identité, des appellations bien établies autres que le titre «carte d’identité», ils devraient pouvoir continuer à le faire dans leur(s) langue(s) officielle(s). Toutefois, aucune nouvelle désignation ne devrait être introduite à l’avenir.

(16)

Les éléments de sécurité sont nécessaires pour vérifier l’authenticité d’un document et pour établir l’identité d’une personne. L’établissement de normes minimales de sécurité et l’intégration de données biométriques dans les cartes d’identité et les cartes de séjour des membres de la famille qui n’ont pas la nationalité d’un État membre sont des étapes importantes pour rendre leur utilisation dans l’Union plus sûre. L’ajout de tels éléments d’identification biométriques devrait permettre aux citoyens de l’Union de profiter pleinement de leur droit à la libre circulation.

(17)

Le stockage de données biométriques au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil (4), à savoir l’image faciale et deux empreintes digitales du titulaire, sur les cartes d’identité et les cartes de séjour, comme cela est déjà prévu pour les passeports biométriques des citoyens de l’Union et les titres de séjour biométriques des ressortissants de pays tiers, combine de manière appropriée une identification et une authentification fiables avec une réduction du risque de fraude, dans l’optique de renforcer la sécurité des cartes d’identité et des cartes de séjour. Comme l’a confirmé la Cour de justice, l’intégration obligatoire des empreintes digitales sur le support de stockage est compatible avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel garantis par les articles 7 et 8 de la Charte.

(18)

De manière générale, les États membres devraient, aux fins de la vérification de l’authenticité du document et de l’identité du titulaire, vérifier en priorité l’image faciale et, si nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire, les États membres devraient également vérifier les empreintes digitales.

(19)	Les États membres devraient veiller à ce qu’une vérification manuelle soit effectuée obligatoirement par du personnel qualifié lorsqu’une vérification des données biométriques ne confirme pas l’authenticité du document ou l’identité de son titulaire.

(20)

Le présent règlement ne fournit pas de base juridique pour la création ou la tenue à jour de bases de données au niveau national pour le stockage de données biométriques dans les États membres, qui relève du droit national qui doit respecter le droit de l’Union en matière de protection des données, y compris ses exigences de nécessité et de proportionnalité. En outre, le présent règlement ne fournit pas de base juridique pour la création ou la tenue à jour d’une base de données centralisée au niveau de l’Union.

(21)

L’image faciale stockée sur le support de stockage des cartes d’identité et des documents de séjour ne devrait être consultée que par le personnel dûment autorisé des autorités nationales compétentes, des agences de l’Union et des entités privées aux fins de la vérification de l’authenticité du document ou de la vérification de l’identité du titulaire lorsque la loi exige la présentation du document. Cette consultation devrait respecter le droit de l’Union en matière de protection des données. En outre, les entités privées devraient être tenues d’obtenir le consentement du titulaire pour consulter l’image faciale, à moins que le droit de l’Union ou le droit national ne prévoie que ce consentement n’est pas requis dans le cas d’espèce. Le consentement de la personne concernée devrait donc être compris comme une garantie supplémentaire et ne pas constituer en soi un fondement juridique pour le traitement par des entités privées. Le présent règlement ne prévoit pas de règles concernant la conservation d’images faciales, après consultation, en dehors du support de stockage des cartes d’identité et des documents de séjour. Le cas échéant, cette conservation devrait être prévue par d’autres dispositions du droit de l’Union ou du droit national, qui devront respecter le droit de l’Union en matière de protection des données, et devrait être limitée aux fins de la vérification de l’authenticité du document ou de l’identité du titulaire. En outre, les images faciales ne devraient pas être conservées plus longtemps que nécessaire à ces fins, elles devraient être supprimées dès que la vérification est achevée et elles ne devraient pas être transférées à des pays tiers ou à des organisations internationales, sauf si le droit de l’Union en matière de protection des données le permet. Ces garanties sont destinées à assurer un niveau approprié de protection des images faciales sans pour autant en interdire l’utilisation au bénéfice du titulaire du document, particulièrement dans le cadre de déplacements transfrontières.

(22)

La vérification des empreintes digitales stockées sur le support de stockage ne devrait être effectuée que par du personnel dûment autorisé des autorités nationales compétentes et des agences de l’Union et uniquement lorsque le droit de l’Union ou le droit national exige la présentation du document. Les empreintes digitales consultées à cette fin ne devraient pas être conservées.

(23)

Les données biométriques stockées aux fins de la personnalisation des cartes d’identité ou des documents de séjour devraient être conservées de manière très sécurisée et pas plus de 90 jours à compter de la date de délivrance imprimée sur le document dans le cadre de la personnalisation. Après ce délai, ces données biométriques devraient être immédiatement effacées ou détruites. Le présent règlement ne devrait pas être interprété comme interdisant le traitement de ces données lorsque le droit de l’Union ou le droit national le requiert, dans le respect du droit de l’Union en matière de protection des données.

(24)	Les spécifications du document 9303 de l’OACI qui garantissent l’interopérabilité mondiale, y compris en ce qui concerne la lecture par machine et l’utilisation de l’inspection visuelle, devraient être prises en compte aux fins du présent règlement.

(25)

Les États membres devraient pouvoir décider d’inclure ou non le genre d’une personne dans un document relevant du présent règlement. Lorsqu’un État membre inclut le genre d’une personne dans un tel document, il convient d’utiliser les spécifications du document 9303 de l’OACI «F», «M» ou «X», ou l’initiale unique correspondante utilisée dans la langue ou dans les langues de cet État membre, selon le cas.

(26)

Il convient de conférer des compétences d’exécution à la Commission afin que les futures normes de sécurité et spécifications techniques adoptées en vertu du règlement (CE) no 1030/2002 du Conseil (5) soient dûment prises en compte, le cas échéant, pour les cartes d’identité et les cartes de séjour. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (6). À cet effet, la Commission devrait être assistée par le comité institué par l’article 6 du règlement (CE) no 1683/95 du Conseil (7). Si nécessaire, les actes d’exécution adoptés devraient pouvoir rester secrets afin de prévenir le risque de contrefaçon et de falsification.

(27)

Les États membres devraient veiller à ce que des procédures appropriées et efficaces soient mises en place pour le recueil des éléments d’identification biométriques et que ces procédures respectent les droits et principes énoncés dans la Charte, la convention de sauvegarde des droits de l’homme et des libertés fondamentales du Conseil de l’Europe et la convention des Nations unies relative aux droits de l’enfant. Les États membres devraient veiller à ce que l’intérêt supérieur de l’enfant soit une considération primordiale tout au long de la procédure de recueil. À cette fin, le personnel qualifié devrait recevoir une formation appropriée sur les pratiques adaptées aux enfants pour le recueil des éléments d’identification biométriques.

(28)

Lorsque des difficultés se présentent pour recueillir les éléments d’identification biométriques, les États membres devraient veiller à ce que des procédures appropriées soient mises en place pour respecter la dignité de la personne concernée. Par conséquent, il y a lieu de tenir compte de considérations particulières relatives au genre et aux besoins spécifiques des enfants et des personnes vulnérables. Le personnel qualifié devrait recevoir une formation sur les meilleures pratiques en matière de collecte des identifiants biométriques auprès des enfants et des personnes vulnérables.

(29)

L’introduction de normes minimales en matière de sécurité et de format pour les cartes d’identité devrait permettre aux États membres de s’appuyer sur l’authenticité de ces documents lorsque les citoyens de l’Union exercent leur droit à la libre circulation. L’introduction de normes de sécurité renforcées devrait offrir des garanties suffisantes aux autorités publiques et aux entités privées pour leur permettre de se fier à l’authenticité des cartes d’identité lorsqu’elles sont utilisées par les citoyens de l’Union à des fins d’identification.

(30)

Un signe distinctif, se présentant sous la forme du code pays à deux lettres de l’État membre délivrant le document, imprimé en négatif dans un rectangle bleu et entouré de douze étoiles jaunes, facilite l’inspection visuelle du document, notamment lorsque le titulaire exerce son droit à la libre circulation.

(31)

Bien qu’il reste possible d’intégrer des éléments nationaux supplémentaires, les États membres devraient veiller à ce que ces éléments ne diminuent pas l’efficacité des éléments de sécurité communs et n’aient pas d’incidence négative sur la compatibilité transfrontière des cartes d’identité, comme la capacité de lire les cartes d’identité sur des machines utilisées par des États membres autres que l’État membre de délivrance des cartes d’identité.

(32)

L’établissement de normes de sécurité pour les cartes d’identité et les cartes de séjour des membres de la famille qui ne sont pas des ressortissants d’un État membre ne devrait pas générer d’augmentation disproportionnée des coûts pour les citoyens de l’Union ou les ressortissants de pays tiers. Les États membres devraient tenir compte de ce principe lors de la publication d’appels d’offres.

(33)

Les États membres devraient prendre toutes les mesures nécessaires pour que les données biométriques identifient correctement la personne à laquelle une carte d’identité est délivrée. À cette fin, les États membres pourraient envisager de recueillir les éléments d’identification biométriques, en particulier l’image faciale, au moyen d’un enregistrement en direct par les autorités nationales délivrant les cartes d’identité.

(34)

Les États membres devraient échanger entre eux les informations nécessaires pour accéder aux informations contenues sur le support de stockage sécurisé, les authentifier et les vérifier. Les formats utilisés pour le support de stockage sécurisé devraient être interopérables, notamment pour ce qui est des points de passage frontaliers automatisés.

(35)

La directive 2004/38/CE traite de la situation dans laquelle les citoyens de l’Union, ou les membres de la famille de citoyens de l’Union qui n’ont pas la nationalité d’un État membre, qui ne disposent pas des documents de voyage nécessaires doivent se voir offrir toutes les possibilités raisonnables de prouver par d’autres moyens leur qualité de bénéficiaires du droit à la libre circulation. Ces moyens peuvent comprendre les documents d’identification utilisés à titre provisoire et les cartes de séjour délivrées à ces membres de la famille.

(36)

Le présent règlement respecte les obligations énoncées dans la Charte et dans la convention des Nations unies relative aux droits des personnes handicapées. Par conséquent, les États membres sont encouragés à coopérer avec la Commission pour intégrer des éléments supplémentaires qui rendent les cartes d’identité plus accessibles et plus conviviales pour les personnes handicapées, telles que les personnes malvoyantes. Les États membres doivent se pencher sur le recours à des solutions, telles que des dispositifs d’enregistrement mobiles, pour la délivrance de cartes d’identité aux personnes incapables de se rendre auprès des autorités chargées de la délivrance des cartes d’identité.

(37)

Les documents de séjour délivrés aux citoyens de l’Union devraient inclure des informations spécifiques afin de garantir leur identification comme tels dans tous les États membres. Cette mesure devrait faciliter la reconnaissance de l’exercice par un citoyen de l’Union de son droit à la libre circulation et des droits inhérents à cet exercice, mais l’harmonisation ne devrait pas excéder ce qui est approprié pour remédier aux lacunes des documents actuels. Les États membres sont libres de choisir le format dans lequel ces documents sont délivrés et pourraient opter pour un format qui respecte les spécifications du document 9303 de l’OACI.

(38)

En ce qui concerne les documents de séjour délivrés aux membres de la famille qui n’ont pas la nationalité d’un État membre, il convient d’utiliser le même modèle et les mêmes éléments de sécurité que ceux prévus par le règlement (CE) no 1030/2002, tel que modifié par le règlement (UE) 2017/1954 du Parlement européen et du Conseil (8). En plus de prouver le droit de séjour, ces documents dispensent également leurs titulaires, qui sont autrement soumis à une obligation de visa, de satisfaire à l’obligation d’être en possession d’un visa lorsqu’ils accompagnent ou rejoignent le citoyen de l’Union sur le territoire de l’Union.

(39)

La directive 2004/38/CE prévoit que les documents délivrés aux membres de la famille qui n’ont pas la nationalité d’un État membre sont dénommés «Carte de séjour de membre de la famille d’un citoyen de l’Union». Afin de faciliter leur identification, les cartes de séjour d’un membre de la famille d’un citoyen de l’Union devraient comporter un titre et un code normalisés.

(40)

En tenant compte à la fois du risque pour la sécurité et des coûts supportés par les États membres, les cartes d’identité ainsi que les cartes de séjour de membres de la famille de citoyens de l’Union ne satisfaisant pas aux exigences du présent règlement devraient être progressivement éliminées. Pour les documents qui n’intègrent pas d’éléments de sécurité importants, ou qui ne sont pas lisibles à la machine, une période de suppression progressive plus courte est nécessaire pour des raisons de sécurité.

(41)

Le règlement (UE) 2016/679 s’applique en ce qui concerne les données à caractère personnel à traiter dans le cadre de l’application du présent règlement, y compris, par exemple, l’obligation pour les responsables du traitement et les sous-traitants de prendre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque lié au traitement de ces données à caractère personnel. Il est nécessaire de préciser davantage les garanties applicables aux données à caractère personnel traitées, et en particulier aux données sensibles, telles que les données biométriques. Les personnes concernées devraient être informées de l’existence, dans leurs documents, du support de stockage contenant leurs données biométriques, y compris de son accessibilité sous une forme sans contact, ainsi que de tous les cas où les données contenues dans leurs cartes d’identité et documents de séjour sont utilisées. En tout état de cause, les personnes concernées devraient avoir accès aux données à caractère personnel traitées dans leurs cartes d’identité et documents de séjour et devraient avoir le droit de les faire rectifier au moyen de la délivrance d’un nouveau document dans lequel ces données erronées ou incomplètes sont corrigées ou complétées. Le support de stockage devrait être hautement sécurisé et les données à caractère personnel qu’il contient devraient être protégées efficacement contre l’accès non autorisé.

(42)	Il convient que les États membres soient responsables du traitement correct des données biométriques, du recueil à l’intégration des données sur le support de stockage hautement sécurisé, conformément au règlement (UE) 2016/679.

(43)

Les États membres devraient être particulièrement vigilants lorsqu’ils coopèrent avec un prestataire de services extérieur. Une telle coopération ne devrait pas exclure la responsabilité des États membres découlant du droit de l’Union ou du droit national en cas de manquement aux obligations relatives aux données à caractère personnel.

(44)

Il est nécessaire de préciser dans le présent règlement la base applicable au recueil et au stockage des données sur le support de stockage des cartes d’identité et des documents de séjour. Conformément au droit de l’Union ou au droit national, et dans le respect des principes de nécessité et de proportionnalité, les États membres devraient pouvoir stocker d’autres données sur un support de stockage pour des services électroniques ou à d’autres fins liées à la carte d’identité ou au document de séjour. Le traitement de ces autres données, y compris leur recueil et les fins auxquelles elles peuvent être utilisées, devrait être autorisé par le droit de l’Union ou le droit national. Toutes les données nationales devraient être physiquement ou logiquement séparées des données biométriques visées dans le présent règlement et être traitées conformément au règlement (UE) 2016/679.

(45)

Conformément à l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (9), la Commission devrait, dans un délai de six ans à compter de la date d’application du présent règlement, évaluer celui-ci, y compris sur la base des informations recueillies selon des modalités de suivi spécifiques, afin d’évaluer ses effets réels et la nécessité de toute nouvelle action. Aux fins du suivi, les États membres devraient collecter des statistiques sur le nombre de cartes d’identité et de documents de séjour qu’ils ont délivrés.

(46)

Étant donné que les objectifs du présent règlement, à savoir renforcer la sécurité et faciliter l’exercice des droits à la libre circulation par les citoyens de l’Union et les membres de leur famille, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison des dimensions et des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(47)

Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark ne participe pas à l’adoption du présent règlement et n’est pas lié par celui-ci ni soumis à son application.

(48)

Conformément à l’article 3 du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, l’Irlande a notifié, par lettre du 18 octobre 2024, son souhait de participer à l’adoption et à l’application du présent règlement.

(49)

Le présent règlement respecte les droits fondamentaux et observe les principes énoncés dans la Charte, notamment la dignité humaine, le droit à l’intégrité de la personne, l’interdiction des traitements inhumains ou dégradants, le droit à l’égalité en droit, le droit à la non-discrimination, les droits de l’enfant, les droits des personnes âgées, le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel, le droit à la libre circulation et le droit à un recours effectif. Lorsqu’ils mettent en œuvre le présent règlement, les États membres devraient respecter la Charte.

(50)	Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (10) et a rendu un avis le 13 septembre 2024,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

Objet, champ d’application et définitions

Article premier

Objet

Le présent règlement renforce les normes de sécurité applicables aux cartes d’identité délivrées par les États membres à leurs ressortissants et aux documents de séjour délivrés par les États membres aux citoyens de l’Union et aux membres de leur famille lorsqu’ils exercent leur droit à la libre circulation.

Article 2

Champ d’application

Le présent règlement s’applique:

a)	aux cartes d’identité délivrées par les États membres à leurs propres ressortissants, conformément à l’article 4, paragraphe 3, de la directive 2004/38/CE.

aux attestations d’enregistrement délivrées conformément à l’article 8 de la directive 2004/38/CE aux citoyens de l’Union résidant depuis plus de trois mois dans un État membre d’accueil et aux documents attestant de la permanence du séjour délivrés conformément à l’article 19 de la directive 2004/38/CE aux citoyens de l’Union sur demande;

aux cartes de séjour délivrées conformément à l’article 10 de la directive 2004/38/CE aux membres de la famille d’un citoyen de l’Union qui n’ont pas la nationalité d’un État membre et aux cartes de séjour permanent délivrées conformément à l’article 20 de la directive 2004/38/CE aux membres de la famille d’un citoyen de l’Union qui n’ont pas la nationalité d’un État membre.

Le présent règlement ne s’applique pas aux documents d’identification délivrés à titre provisoire et dont la durée de validité est égale ou inférieure à six mois.

CHAPITRE II

Cartes nationales d’identité

Article 3

Normes de sécurité/format/spécifications

1. Les cartes d’identité délivrées par les États membres sont de format ID-1 et comportent une zone de lecture automatique (ZLA). Ces cartes d’identité sont établies suivant les spécifications et les normes minimales de sécurité définies dans le document 9303 de l’OACI et respectent les exigences énoncées aux points c), d), f) et g) de l’annexe du règlement (CE) no 1030/2002 tel que modifié par le règlement (UE) 2017/1954.

2. Les éléments de données figurant sur les cartes d’identité respectent les spécifications énoncées à la partie 5 du document 9303 de l’OACI.

Par dérogation au premier alinéa, le numéro du document peut être inséré dans la zone I et la désignation du genre de la personne est facultative.

3. Le document porte le titre «Carte d’identité» ou un autre intitulé national reconnu dans la ou les langues officielles de l’État membre de délivrance, ainsi que les mots «Carte d’identité» dans au moins une autre langue officielle de l’Union.

4. La carte d’identité comporte, au recto, le code pays à deux lettres de l’État membre délivrant la carte, imprimé en négatif dans un rectangle bleu et entouré de douze étoiles jaunes.

5. Les cartes d’identité intègrent un support de stockage hautement sécurisé qui contient des données biométriques, à savoir une image faciale du titulaire de la carte et deux empreintes digitales, dans des formats numériques interopérables. Pour le recueil de ces deux types d’éléments d’identification biométriques, les États membres appliquent les spécifications techniques établies par la décision d’exécution C(2018) 7767 de la Commission (11), telle que modifiée par la décision d’exécution C(2021) 3726 de la Commission (12).

6. Le support de stockage a une capacité suffisante pour garantir l’intégrité, l’authenticité et la confidentialité des données. Les données stockées sont accessibles sans contact et sécurisées comme le prévoit la décision d’exécution C(2018) 7767, telle que modifiée par la décision d’exécution C(2021) 3726. Les États membres échangent les informations nécessaires pour authentifier le support de stockage ainsi que pour consulter et vérifier les données biométriques visées au paragraphe 5.

7. Les enfants de moins de douze ans peuvent être exemptés de l’obligation de donner leurs empreintes digitales.

Les enfants de moins de six ans sont exemptés de l’obligation de donner leurs empreintes digitales.

Les personnes dont il est physiquement impossible de relever les empreintes digitales sont exemptées de l’obligation de les donner.

8. Lorsque cela est nécessaire et proportionné à l’objectif visé, les États membres peuvent ajouter des précisions et des observations à usage national requises conformément au droit national. L’efficacité des normes minimales de sécurité et la compatibilité transfrontière des cartes d’identité ne doivent pas en être diminuées.

9. Lorsque les États membres intègrent un composant avec une double interface ou un support de stockage séparé dans la carte d’identité, le support de stockage supplémentaire respecte les normes ISO pertinentes et ne peut interférer avec le support de stockage visé au paragraphe 5.

10. Lorsque les États membres stockent des données pour des services électroniques tels que des services d’administration en ligne ou de commerce électronique dans les cartes d’identité, ces données nationales doivent être physiquement ou logiquement séparées des données biométriques visées au paragraphe 5.

11. Lorsque les États membres ajoutent des éléments de sécurité supplémentaires aux cartes d’identité, la compatibilité transfrontière de ces cartes d’identité et l’efficacité des normes minimales de sécurité ne doivent pas en être diminuées.

Article 4

Durée de validité

1. Les cartes d’identité ont une durée de validité minimale de cinq ans et une durée de validité maximale de dix ans.

2. Par dérogation au paragraphe 1, les États membres peuvent prévoir une durée de validité:

a)	de moins de cinq ans, pour les cartes d’identité délivrées aux mineurs;

b)	dans des cas exceptionnels, de moins de cinq ans pour les cartes d’identité délivrées à des personnes dans des circonstances particulières et limitées, et dont la durée de validité est limitée conformément au droit de l’Union et au droit national;

c)	de plus de dix ans, pour les cartes d’identité délivrées aux personnes âgées de 70 ans et plus.

3. Lorsque aucun des doigts du demandeur ne peut temporairement faire physiquement l’objet d’un relevé d’empreintes digitales, les États membres délivrent une carte d’identité d’une durée de validité égale ou inférieure à douze mois.

Article 5

Suppression progressive

1. Les cartes d’identité qui ne satisfont pas aux exigences énoncées à l’article 3 cessent d’être valables à leur expiration ou au plus tard le 3 août 2031, la date la plus proche étant retenue.

2. Par dérogation au paragraphe 1:

les cartes d’identité qui ne satisfont pas aux normes minimales de sécurité énoncées à la partie 2 du document 9303 de l’OACI ou qui ne comportent pas de ZLA fonctionnelle, telle que définie au paragraphe 3, cessent d’être valables à leur expiration ou au plus tard le 3 août 2026, la date la plus proche étant retenue;

b)	les cartes d’identité des personnes âgées de 70 ans et plus au 2 août 2021, qui satisfont aux normes minimales de sécurité énoncées à la partie 2 du document 9303 de l’OACI et qui comportent une ZLA fonctionnelle, telle que définie au paragraphe 3, cessent d’être valables à leur expiration.

3. Aux fins du paragraphe 2, on entend par «ZLA fonctionnelle»:

a)	une zone de lecture automatique conforme au document 9303 de l’OACI; ou

b)	toute autre zone de lecture automatique pour laquelle l’État membre de délivrance notifie les règles requises pour la lecture et l’affichage des informations qui y sont contenues.

CHAPITRE III

Documents de séjour pour les citoyens de l’Union

Article 6

Informations minimales à fournir

Les documents de séjour, lorsqu’ils sont délivrés par les États membres aux citoyens de l’Union, comportent au moins les informations suivantes:

a)	le titre du document dans la ou les langues officielles de l’État membre concerné et au moins une autre langue officielle de l’Union;

b)	une indication claire du fait que le document est délivré à un citoyen de l’Union conformément à la directive 2004/38/CE;

c)	le numéro du document;

d)	le nom [nom et prénom(s)] du titulaire;

e)	la date de naissance du titulaire;

f)	les informations devant figurer sur les attestations d’enregistrement et les documents attestant de la permanence du séjour, délivrés respectivement conformément aux articles 8 et 19 de la directive 2004/38/CE;

g)	l’autorité de délivrance;

h)	au recto, le code pays à deux lettres de l’État membre délivrant le document, imprimé en négatif dans un rectangle bleu entouré de douze étoiles jaunes.

Si un État membre décide de relever les empreintes digitales, l’article 3, paragraphe 7, s’applique en conséquence.

CHAPITRE IV

Cartes de séjour pour les membres de la famille qui n’ont pas la nationalité d’un État membre

Article 7

Modèle uniforme

1. Lorsqu’ils délivrent des cartes de séjour aux membres de la famille d’un citoyen de l’Union qui n’ont pas la nationalité d’un État membre, les États membres utilisent le même modèle que celui établi par le règlement (CE) no 1030/2002 tel que modifié par le règlement (UE) 2017/1954 et tel que mis en œuvre par la décision d’exécution C(2018) 7767 telle que modifiée par la décision d’exécution C(2021) 3726.

2. Par dérogation au paragraphe 1, une carte porte le titre «Carte de séjour» ou «Carte de séjour permanent». Les États membres indiquent que ces documents sont délivrés à un membre de la famille d’un citoyen de l’Union conformément à la directive 2004/38/CE. À cette fin, les États membres utilisent le code normalisé «Membre famille UE Art 10 DIR 2004/38/CE» ou «Membre famille UE Art 20 DIR 2004/38/CE» dans le champ de données [10] visé à l’annexe du règlement (CE) no 1030/2002 tel que modifié par le règlement (UE) 2017/1954.

3. Les États membres peuvent saisir des données à des fins d’utilisation nationale conformément au droit national. Lorsqu’ils saisissent et conservent ces données, les États membres respectent les exigences énoncées à l’article 4, deuxième alinéa, du règlement (CE) no 1030/2002 tel que modifié par le règlement (UE) 2017/1954.

Article 8

Suppression progressive des cartes de séjour existantes

1. Les cartes de séjour délivrées aux membres de la famille d’un citoyen de l’Union qui n’ont pas la nationalité d’un État membre, qui ne satisfont pas aux exigences de l’article 7 cessent d’être valables à leur expiration ou au plus tard le 3 août 2026, la date la plus proche étant retenue.

2. Par dérogation au paragraphe 1:

les cartes de séjour délivrées aux membres de la famille d’un citoyen de l’Union qui n’ont pas la nationalité d’un État membre, qui ne satisfont pas aux normes minimales de sécurité énoncées à la partie 2 du document 9303 de l’OACI ou qui ne comportent pas de ZLA fonctionnelle conforme au document 9303 de l’OACI cessent d’être valables;

les cartes de séjour qui ne satisfont pas aux exigences de l’article 7 mais qui satisfont aux normes minimales de sécurité énoncées à la partie 2 du document 9303 de l’OACI et aux exigences énoncées aux points c) et g) de l’annexe du règlement (CE) no 1030/2002 tel que modifié par le règlement (UE) 2017/1954, cessent d’être valables à leur expiration ou au plus tard le 3 août 2031, la date la plus proche étant retenue.

CHAPITRE V

Dispositions communes

Article 9

Point de contact

1. Chaque État membre désigne au moins une autorité centrale comme point de contact pour la mise en œuvre du présent règlement. Lorsqu’un État membre a désigné plus d’une autorité centrale, il désigne parmi ces autorités le point de contact pour la mise en œuvre du présent règlement. Il communique le nom de cette autorité à la Commission et aux autres États membres. Si un État membre change d’autorité désignée, il en informe la Commission et les autres États membres en conséquence.

2. Les États membres veillent à ce que les points de contact connaissent les services d’information et d’assistance pertinents au niveau de l’Union qui figurent sur le portail numérique unique prévu par le règlement (UE) 2018/1724 du Parlement européen et du Conseil (13), et soient en mesure de coopérer avec ces services.

Article 10

Recueil d’éléments d’identification biométriques

1. Les éléments d’identification biométriques sont recueillis exclusivement par du personnel qualifié et dûment habilité désigné par les autorités chargées de délivrer les cartes d’identité ou les cartes de séjour, dans le but d’être intégrés sur le support de stockage hautement sécurisé visé à l’article 3, paragraphe 5, pour les cartes d’identité et à l’article 7, paragraphe 1, pour les cartes de séjour. Par dérogation à la première phrase, les empreintes digitales sont recueillies uniquement par le personnel qualifié et dûment autorisé de ces autorités, sauf dans le cas des demandes présentées aux autorités diplomatiques et consulaires de l’État membre.

Afin de garantir la cohérence des éléments d’identification biométriques avec l’identité du demandeur, ce dernier doit se présenter en personne au moins une fois au cours du processus de délivrance pour chaque demande.

2. Les États membres veillent à ce que des procédures appropriées et efficaces soient en place pour le recueil des éléments d’identification biométriques et que ces procédures respectent les droits et les principes énoncés dans la Charte, la convention de sauvegarde des droits de l’homme et des libertés fondamentales et la convention des Nations unies relative aux droits de l’enfant.

Lorsque des difficultés se présentent pour recueillir les éléments d’identification biométriques, les États membres veillent à ce que des procédures appropriées soient mises en place pour garantir le respect de la dignité de la personne concernée.

3. Les éléments d’identification biométriques stockés aux fins de la personnalisation des cartes d’identité ou des documents de séjour sont conservés de manière très sécurisée et pas plus de 90 jours à compter de la date de délivrance du document. Après ce délai, ces éléments d’identification biométriques sont immédiatement effacés ou détruits. Cette disposition s’entend sans préjudice de la conservation desdits éléments lorsque celle-ci est exigée par le droit de l’Union ou le droit national, dans le respect du droit de l’Union en matière de protection des données.

Article 11

Protection des données à caractère personnel et responsabilité

1. Sans préjudice du règlement (UE) 2016/679, les États membres veillent à la sécurité, à l’intégrité, à l’authenticité et à la confidentialité des données recueillies, consultées et stockées aux fins du présent règlement.

2. Aux fins du présent règlement, les autorités chargées de la délivrance des cartes d’identité et des documents de séjour sont considérées comme le responsable du traitement visé à l’article 4, paragraphe 7, du règlement (UE) 2016/679 et sont responsables du traitement des données à caractère personnel.

3. Les États membres veillent à ce que les autorités de contrôle puissent exercer pleinement leurs missions visées dans le règlement (UE) 2016/679, y compris l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires ainsi que l’accès à tout local ou matériel de traitement des données des autorités compétentes.

4. La coopération avec les prestataires de services extérieurs n’exclut pas la responsabilité d’un État membre qui peut découler du droit de l’Union ou du droit national en cas de manquement aux obligations en matière de données à caractère personnel.

5. Les informations lisibles par machine ne peuvent figurer sur une carte d’identité ou un document de séjour que conformément au présent règlement et au droit national de l’État membre de délivrance.

6. L’image faciale du titulaire stockée sur le support de stockage des cartes d’identité et des documents de séjour n’est consultée que par le personnel dûment autorisé des autorités nationales compétentes, des agences de l’Union et des entités privées et dans le respect du droit de l’Union en matière de protection des données, pour vérifier:

a)	l’authenticité de la carte d’identité ou du document de séjour;

b)	l’identité du titulaire grâce à des éléments comparables directement disponibles lorsque la loi exige la présentation de la carte d’identité ou du document de séjour.

La consultation de l’image faciale par des entités privées requiert également le consentement du titulaire, à moins que la consultation indépendamment du consentement ne soit strictement nécessaire aux fins énoncées au premier alinéa et prévue par le droit de l’Union ou le droit national dans le respect du droit de l’Union en matière de protection des données.

L’image faciale consultée en vertu du premier alinéa n’est conservée que si son traitement ultérieur est nécessaire aux fins énoncées au premier alinéa et prévu par le droit de l’Union ou le droit national, dans le respect du droit de l’Union en matière de protection des données. L’image faciale n’est pas conservée plus longtemps que nécessaire à ces fins, ou alors elle est supprimée dès que la vérification visée au premier alinéa est achevée, et elle n’est pas transférée à des pays tiers ou à des organisations internationales, sauf si le droit de l’Union en matière de protection des données le permet.

7. Les deux empreintes digitales du titulaire stockées sur le support de stockage des cartes d’identité et des documents de séjour sont consultées uniquement:

a)	aux fins énoncées au paragraphe 6, premier alinéa;

b)	dans le respect du droit de l’Union en matière de protection des données;

c)	par le personnel dûment autorisé des autorités nationales compétentes et des agences de l’Union; et

d)	lorsque le droit de l’Union ou le droit national exige la présentation du document.

Les deux empreintes digitales consultées en vertu du présent paragraphe ne sont pas conservées.

Article 12

Suivi

1. Au plus tard le 11 juillet 2026, la Commission établit un programme détaillé pour le suivi des réalisations, résultats et incidences du présent règlement, notamment son incidence sur les droits fondamentaux.

2. Le programme de suivi définit les moyens à utiliser et la fréquence à respecter pour la collecte des données et des autres éléments de preuves nécessaires. Il précise les actions à prendre par la Commission et celles à prendre par les États membres dans la collecte et l’analyse des données et des autres éléments de preuve.

3. Les États membres fournissent à la Commission les données et autres éléments de preuve nécessaires à ce suivi.

Article 13

Évaluation

1. Au plus tard le 11 juillet 2031, la Commission procède à une évaluation du présent règlement et présente un rapport exposant ses principales conclusions au Parlement européen, au Conseil et au Comité économique et social européen. Le rapport porte en particulier sur les points suivants:

a)	l’incidence du présent règlement sur les droits fondamentaux;

b)	la mobilité des citoyens de l’Union;

c)	l’efficacité de la vérification biométrique pour assurer la sécurité des documents de voyage;

d)	la possibilité d’une harmonisation visuelle plus poussée des cartes d’identité;

e)	la nécessité d’harmoniser davantage les éléments de sécurité des documents de séjour.

2. Les États membres et les agences concernées de l’Union fournissent à la Commission les informations nécessaires à l’élaboration dudit rapport.

Article 14

Spécifications techniques complémentaires

1. Afin de garantir, le cas échéant, que les cartes d’identité et les documents de séjour visés à l’article 2, points a) et c), respectent les futures normes de sécurité minimales, la Commission établit, au moyen d’actes d’exécution, des spécifications techniques complémentaires sur:

a)	les éléments et les exigences de sécurité complémentaires, y compris les normes renforcées de lutte contre la contrefaçon et la falsification;

b)	les spécifications techniques relatives au support de stockage des éléments biométriques visés à l’article 3, paragraphe 5, et à leur sécurisation, y compris la prévention de l’accès non autorisé et la facilitation de la validation;

c)	les exigences en matière de qualité et les normes techniques communes en ce qui concerne l’image faciale et les empreintes digitales.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 15, paragraphe 2.

2. Conformément à la procédure visée à l’article 15, paragraphe 2, il peut être décidé que les spécifications visées au présent article sont secrètes et ne sont pas publiées. Dans ce cas, elles ne sont communiquées qu’aux organismes chargés par les États membres de l’impression et aux personnes dûment autorisées par un État membre ou par la Commission.

3. Chaque État membre désigne un organisme chargé de l’impression des cartes d’identité ainsi qu’un organisme chargé de l’impression des cartes de séjour des membres de la famille des citoyens de l’Union, et communique le nom de ces organismes à la Commission et aux autres États membres. Les États membres ont le droit de changer d’organisme désigné. Ils en informent la Commission et les autres États membres.

Les États membres peuvent également décider de désigner un organisme unique chargé de l’impression des cartes d’identité et des cartes de séjour des membres de la famille des citoyens de l’Union, et ils communiquent le nom de cet organisme à la Commission et aux autres États membres.

Deux ou plusieurs États membres peuvent également décider de désigner un organisme unique à ces fins. Ils en informent la Commission et les autres États membres.

Article 15

Comité

1. La Commission est assistée par le comité institué par l’article 6 du règlement (CE) no 1683/95. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

Lorsque le comité n’émet aucun avis, la Commission n’adopte pas le projet d’acte d’exécution, et l’article 5, paragraphe 4, troisième alinéa, du règlement (UE) no 182/2011 s’applique.

Article 16

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.

Fait à Luxembourg, le 12 juin 2025.

Par le Conseil

Le président

A. BODNAR

(1) Avis du 2 avril 2025 (non encore publié au Journal officiel).

(2) Directive 2004/38/CE du Parlement européen et du Conseil du 29 avril 2004 relative au droit des citoyens de l’Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres, modifiant le règlement (CEE) no 1612/68 et abrogeant les directives 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE et 93/96/CEE (JO L 158 du 30.4.2004, p. 77, ELI: http://data.europa.eu/eli/dir/2004/38/oj).

(3) Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).

(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(5) Règlement (CE) no 1030/2002 du Conseil du 13 juin 2002 établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers (JO L 157 du 15.6.2002, p. 1, ELI: http://data.europa.eu/eli/reg/2002/1030/oj).

(6) Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj).

(7) Règlement (CE) no 1683/95 du Conseil du 29 mai 1995 établissant un modèle type de visa (JO L 164 du 14.7.1995, p. 1, ELI: http://data.europa.eu/eli/reg/1995/1683/oj).

(8) Règlement (UE) 2017/1954 du Parlement européen et du Conseil du 25 octobre 2017 modifiant le règlement (CE) no 1030/2002 du Conseil établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers (JO L 286 du 1.11.2017, p. 9, ELI: http://data.europa.eu/eli/reg/2017/1954/oj).

(9) JO L 123 du 12.5.2016, p. 1, ELI: http://data.europa.eu/eli/agree_interinstit/2016/512/oj.

(10) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(11) Décision d’exécution C(2018) 7767 de la Commission du 30 novembre 2018 établissant les spécifications techniques du modèle uniforme de titre de séjour destiné aux ressortissants de pays tiers, et abrogeant la décision C(2002) 3069.

(12) Décision d’exécution C(2021) 3726 de la Commission du 4 juin 2021 modifiant l’annexe III de la décision d’exécution C(2018) 7767 en ce qui concerne la liste des références normatives.

(13) Règlement (UE) 2018/1724 du Parlement européen et du Conseil du 2 octobre 2018 établissant un portail numérique unique pour donner accès à des informations, à des procédures et à des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) no 1024/2012 (JO L 295 du 21.11.2018, p. 1, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).