ISSN 1977-0936 |
||
Journal officiel de l’Union européenne |
C 328 |
|
Édition de langue française |
Communications et informations |
66e année |
Sommaire |
page |
|
|
II Communications |
|
|
COMMUNICATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE |
|
|
Commission européenne |
|
2023/C 328/01 |
Non-opposition à une concentration notifiée (Affaire M.11106 — STELLANTIS / MICHELIN / FORVIA / SYMBIO) ( 1 ) |
|
2023/C 328/02 |
|
IV Informations |
|
|
INFORMATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE |
|
|
Conseil |
|
2023/C 328/03 |
||
2023/C 328/04 |
||
|
Commission européenne |
|
2023/C 328/05 |
Résumé des décisions de la Commission européenne relatives aux autorisations de mise sur le marché en vue de l’utilisation et/ou aux autorisations d’utilisation de substances énumérées à l’annexe XIV du règlement (CE) no 1907/2006 du Parlement européen et du Conseil concernant l’enregistrement, l’évaluation et l’autorisation des substances chimiques, ainsi que les restrictions applicables à ces substances (REACH) [Publié en application de l’article 64, paragraphe 9, du règlement (CE) no 1907/2006 ] ( 1 ) |
|
2023/C 328/06 |
|
V Avis |
|
|
PROCÉDURES RELATIVES À LA MISE EN ŒUVRE DE LA POLITIQUE DE CONCURRENCE |
|
|
Commission européenne |
|
2023/C 328/07 |
Notification préalable d’une concentration (Affaire M.11239 — EDF / CREDIT MUTUEL / ILE-DE-FRANCE BUILDING) — Cas susceptible d’être traité selon la procédure simplifiée ( 1 ) |
|
|
|
(1) Texte présentant de l’intérêt pour l’EEE. |
FR |
|
II Communications
COMMUNICATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE
Commission européenne
18.9.2023 |
FR |
Journal officiel de l’Union européenne |
C 328/1 |
Non-opposition à une concentration notifiée
(Affaire M.11106 — STELLANTIS / MICHELIN / FORVIA / SYMBIO)
(Texte présentant de l’intérêt pour l’EEE)
(2023/C 328/01)
Le 17 juillet 2023, la Commission européenne a décidé de ne pas s’opposer à la concentration notifiée susmentionnée et de la déclarer compatible avec le marché intérieur. Cette décision se fonde sur l’article 6, paragraphe 1, point b), du règlement (CE) no 139/2004 du Conseil (1). Le texte intégral de la décision n’est disponible qu’en anglais et sera rendu public après suppression des secrets d’affaires qu’il pourrait contenir. Il pourra être consulté:
— |
dans la section consacrée aux concentrations, sur le site internet de la direction générale de la concurrence de la Commission (https://competition-cases.ec.europa.eu/search). Ce site permet de rechercher des décisions concernant des opérations de concentration à partir du nom de l’entreprise, du numéro de l’affaire, de la date ou du secteur d’activité, |
— |
sur le site internet EUR-Lex (http://eur-lex.europa.eu/homepage.html?locale=fr), qui offre un accès en ligne au droit de l’Union européenne, sous le numéro de document 32023M11106. |
18.9.2023 |
FR |
Journal officiel de l’Union européenne |
C 328/2 |
COMMUNICATION DE LA COMMISSION
Lignes directrices clarifiant l’application de l’article 4, paragraphes 1 et 2, de la directive (UE) 2022/2555 (directive SRI 2)
(2023/C 328/02)
I. INTRODUCTION
1. |
Conformément à l’article 4, paragraphe 3, de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2) (1), la Commission fournit, au plus tard le 17 juillet 2023, des lignes directrices clarifiant l’application de l’article 4, paragraphes 1 et 2, de ladite directive. |
2. |
Les présentes lignes directrices clarifient l’application desdites dispositions, qui concernent la relation entre la directive (UE) 2022/2555 et les actes juridiques sectoriels actuels et futurs de l’Union prévoyant des mesures de gestion des risques en matière de cybersécurité ou des exigences relatives à la notification des incidents. L’appendice des présentes lignes directrices énumère les actes juridiques sectoriels de l’Union que la Commission considère comme relevant du champ d’application de l’article 4 de la directive (UE) 2022/2555. Le fait qu’un acte ne figure pas dans ledit appendice ne signifie pas nécessairement qu’il ne relève pas du champ d’application de cette disposition. |
3. |
En application de l’article 4, paragraphe 3, troisième phrase, de la directive (UE) 2022/2555, la Commission a tenu compte des observations du groupe de coopération SRI et de l’Agence de l’Union européenne pour la cybersécurité (ENISA) avant l’adoption des présentes lignes directrices. |
4. |
Les présentes lignes directrices sont sans préjudice de l’interprétation du droit de l’Union par la Cour de justice de l’Union européenne. |
II. ÉQUIVALENCE DES EXIGENCES RELATIVES À LA CYBERSÉCURITÉ DES ACTES JURIDIQUES SECTORIELS DE L’UNION
5. |
L’article 4, paragraphe 1, de la directive (UE) 2022/2555 dispose que, lorsque des actes juridiques sectoriels de l’Union imposent à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par ladite directive, les dispositions pertinentes de la directive, y compris celles relatives à la supervision et à l’exécution prévues au chapitre VII de la directive, ne sont pas applicables auxdites entités. Ladite disposition prévoit en outre que, lorsque des actes juridiques sectoriels de l’Union ne couvrent pas toutes les entités d’un secteur spécifique relevant du champ d’application de la directive (UE) 2022/2555, les dispositions pertinentes de la directive continuent de s’appliquer aux entités non couvertes par ces actes juridiques sectoriels de l’Union. |
II.1. Exigences relatives à la gestion des risques en matière de cybersécurité
6. |
L’article 4, paragraphe 2, point a), de la directive (UE) 2022/2555 dispose que les mesures de gestion des risques en matière de cybersécurité que les entités essentielles ou importantes sont tenues d’adopter en vertu d’actes juridiques sectoriels de l’Union sont considérées comme ayant un effet équivalent aux obligations prévues par la directive (UE) 2022/2555 lorsque lesdites mesures ont un effet au moins équivalent à celui des mesures prévues à l’article 21, paragraphes 1 et 2, de ladite directive. Lors de l’évaluation du point de savoir si les exigences figurant dans un acte juridique sectoriel de l’Union concernant des mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des obligations prévues à l’article 21, paragraphes 1 et 2, de la directive (UE) 2022/2555, les exigences prévues par cet acte juridique sectoriel de l’Union devraient, au minimum, correspondre aux exigences énoncées auxdites dispositions de la directive ou aller au-delà de celles-ci, ce qui signifie que les dispositions sectorielles peuvent être plus détaillées sur le fond que les dispositions correspondantes de la directive (UE) 2022/2555. |
7. |
Conformément à l’article 21, paragraphe 1, premier alinéa, de la directive (UE) 2022/2555, les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services Ces mesures devraient être basées sur les risques et être à même d’éliminer ou de réduire les conséquences de ces incidents. L’article 21, paragraphe 1, deuxième alinéa, de la directive (UE) 2022/2555 précise comment il convient d’apprécier la proportionnalité de ces mesures (2). L’obligation énoncée à l’article 21, paragraphe 1, de la directive (UE) 2022/2555, qui impose aux entités essentielles et importantes de prendre des mesures appropriées et proportionnées de gestion des risques en matière de cybersécurité, concerne toutes les opérations et tous les services de l’entité concernée, et pas uniquement certains services critiques ou biens informatiques fournis par l’entité. |
8. |
Lors de l’évaluation de l’équivalence d’un acte juridique sectoriel de l’Union par rapport aux dispositions pertinentes de la directive (UE) 2022/2555 relatives à la gestion des risques en matière de cybersécurité, il convient d’accorder une importance particulière à la question de savoir si les obligations en matière de sécurité prévues dans cet acte juridique comprennent des mesures visant à garantir la sécurité des réseaux et des systèmes d’information. La définition du terme «sécurité des réseaux et des systèmes d’information» figurant à l’article 6, point 2), de la directive (UE) 2022/2555 renvoie à la capacité des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles. L’utilisation des termes «disponibilité», «authenticité», «intégrité» et «confidentialité» dans cette définition renvoie aux quatre objectifs de protection liés à la sécurité des réseaux et des systèmes d’information. Le terme «réseau et système d’information», tel que défini à l’article 6, point 1), de la directive (UE) 2022/2555, comprend les réseaux de communications électroniques (3); tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; et les données numériques stockées, traitées, récupérées ou transmises par de tels réseaux de communication électroniques ou de tels dispositifs en vue de leur fonctionnement, utilisation, protection ou maintenance. Par conséquent, les mesures de sécurité requises par un acte juridique sectoriel de l’Union devraient également couvrir le matériel, les micrologiciels et les logiciels utilisés dans le cadre des activités d’une entité. |
9. |
Une autre considération importante lors de l’évaluation de l’équivalence d’un acte juridique sectoriel de l’Union par rapport aux exigences de l’article 21, paragraphes 1 et 2, de la directive (UE) 2022/2555 concerne le fait que les mesures de gestion des risques en matière de cybersécurité requises par cet acte devraient être fondées sur une approche «tous risques». Étant donné que les menaces pesant sur la sécurité des réseaux et des systèmes d’information peuvent avoir des origines différentes, tout type d’événement peut avoir une incidence négative sur les réseaux et systèmes d’information de l’entité et potentiellement entraîner un incident. Dès lors, les mesures de gestion des risques en matière de cybersécurité prises par l’entité devraient protéger non seulement les réseaux et les systèmes d’information de l’entité, mais aussi l’environnement physique de ces systèmes contre des événements tels que le sabotage, le vol, les incendies, les inondations, une défaillance des télécommunications ou une défaillance électrique, ou contre tout accès physique non autorisé, susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et systèmes d’information ou accessibles par ceux-ci. Par conséquent, les mesures de gestion des risques en matière de cybersécurité requises par un acte juridique sectoriel de l’Union devraient porter spécifiquement sur la sécurité physique et la sécurité de l’environnement des réseaux et des systèmes d’information afin de les protéger contre les défaillances des systèmes, les erreurs humaines, les actes de malveillance ou les phénomènes naturels (4). |
10. |
L’article 21, paragraphe 2, de la directive (UE) 2022/2555 exige en outre que les mesures de gestion des risques en matière de cybersécurité comprennent notamment les exigences de sécurité spécifiques énumérées aux points a) à j) de ladite disposition. Ces exigences couvrent des mesures telles que les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information, la gestion des incidents, la continuité des activités, la gestion des crises, la sécurité de la chaîne d’approvisionnement, les politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement. Au titre de l’article 21, paragraphe 5, deuxième alinéa, de la directive (UE) 2022/2555, la Commission est habilitée à adopter des actes d’exécution établissant les exigences techniques et méthodologiques ainsi que les exigences sectorielles, si nécessaire, liées aux mesures de sécurité visées à l’article 21, paragraphe 2, de ladite directive. En ce qui concerne les fournisseurs de services de système de noms de domaine (DNS), les registres des noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et les prestataires de services de confiance, la Commission adopte, au plus tard le 17 octobre 2024, des actes d’exécution établissant les exigences techniques et méthodologiques liées aux mesures de sécurité prévues à l’article 21, paragraphe 2, de la directive (UE) 2022/2555. Les actes d’exécution précisent de manière plus détaillée les principales conditions et les principaux critères de mise en œuvre énoncés dans l’acte de base, sans toucher à la substance de cet acte (5). |
II.2. Exigences en matière de notification
11. |
L’article 4, paragraphe 2, point b), de la directive (UE) 2022/2555 dispose que les exigences relatives à la notification des incidents importants sont considérées comme ayant un effet équivalent aux obligations prévues par ladite directive lorsque l’acte juridique sectoriel de l’Union prévoit un accès immédiat, s’il y a lieu, automatique et direct, aux notifications d’incidents par les centres de réponse aux incidents de sécurité informatique (les «CSIRT»), les autorités compétentes ou les points de contact uniques (les «PCU»), et lorsque les exigences relatives à la notification des incidents importants sont au moins équivalentes à celles prévues à l’article 23, paragraphes 1 à 6, de la directive. |
12. |
Étant donné que les exigences, prévues par un acte juridique sectoriel de l’Union, relatives à la notification des incidents importants doivent avoir un effet au moins équivalent à celui des obligations énoncées à l’article 23, paragraphes 1 à 6, de la directive (UE) 2022/2555 pour que cet acte s’applique en lieu et place des exigences relatives à la notification prévues par ladite directive, les exigences énoncées à l’article 23, paragraphes 1 à 6, de la directive revêtent une importance particulière pour apprécier l’équivalence. L’article 23, paragraphes 1 à 6, de la directive (UE) 2022/2555 définit de manière plus détaillée le type d’incidents qui doit être signalé, à qui ils doivent l’être et dans quel délai, ainsi que les informations à communiquer. Ces éléments sont expliqués plus en détail dans les sections suivantes. |
II.2.1. Notification d’incidents importants aux CSIRT, aux autorités compétentes et aux destinataires
13. |
Au titre de l’article 23, paragraphe 1, premier alinéa, première phrase, de la directive (UE) 2022/2555, les entités essentielles et importantes sont tenues de notifier, sans retard injustifié, à leur CSIRT ou, selon le cas, à leur autorité compétente tout incident important. L’article 23, paragraphe 1, premier alinéa, deuxième phrase, de la directive (UE) 2022/2555 impose aux entités essentielles et importantes de notifier le cas échéant, sans retard injustifié, aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services. |
14. |
Alors que l’article 6, point 6), de la directive (UE) 2022/2555 définit le terme «incident» de manière très large, comme un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles, l’article 23, paragraphe 1, de ladite directive ne soumet que les incidents importants à une obligation de notification. Un incident est important s’il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée [article 23, paragraphe 3, point a)] ou s’il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables [article 23, paragraphe 3, point b)]. |
15. |
Le considérant 101 du préambule de la directive (UE) 2022/2555 précise que la notification des incidents doit être fondée sur une évaluation initiale effectuée par l’entité concernée. Cette évaluation initiale devrait tenir compte, entre autres, du réseau et des systèmes d’information touchés et notamment de leur importance dans la fourniture des services de l’entité, de la gravité et des caractéristiques techniques de la cybermenace et de toutes les vulnérabilités sous-jacentes qui sont exploitées ainsi que de l’expérience de l’entité en matière d’incidents similaires. Des indicateurs tels que la mesure dans laquelle le fonctionnement du service est affecté, la durée d’un incident ou le nombre de bénéficiaires de services touchés peuvent jouer un rôle important pour déterminer si la perturbation opérationnelle du service est grave. |
16. |
En vertu de l’article 23, paragraphe 11, deuxième alinéa, de la directive (UE) 2022/2555, la Commission est habilitée à adopter des actes d’exécution précisant les cas dans lesquels un incident est considéré comme important. En ce qui concerne les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, la Commission adopte, au plus tard le 17 octobre 2024, de tels actes d’exécution. Les actes d’exécution précisent de manière plus détaillée les principales conditions et les principaux critères de mise en œuvre énoncés dans l’acte de base, sans toucher à la substance de cet acte (6). |
II.2.2. Approche en plusieurs étapes et calendrier de notification des incidents importants
17. |
La directive (UE) 2022/2555 établit une approche en plusieurs étapes pour la notification des incidents importants, qui comprend une alerte précoce, la notification de l’incident et un rapport final. Ces trois éléments peuvent éventuellement être complétés par des rapports intermédiaires et un rapport d’avancement. |
18. |
L’approche en plusieurs étapes vise à trouver le juste équilibre entre, d’une part, la notification rapide qui aide à atténuer la propagation potentielle des incidents importants et permet aux entités essentielles et importantes de chercher de l’aide et, d’autre part, la notification approfondie qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la cyberrésilience des entreprises individuelles et de secteurs tout entiers (7). |
19. |
Selon l’approche en plusieurs étapes, lorsque les entités essentielles et importantes prennent connaissance de l’incident important, elles sont d’abord tenues de soumettre une alerte précoce sans retard injustifié et en tout état de cause dans les 24 heures au CSIRT compétent ou à l’autorité compétente. Ensuite, ces entités doivent soumettre une notification d’incident sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’incident important. Par la suite, un rapport intermédiaire peut être demandé par le CSIRT compétent ou l’autorité compétente. Enfin, un rapport final doit être fourni au CSIRT compétent ou à l’autorité compétente au plus tard un mois après la présentation de la notification d’incident, sauf si l’incident est toujours en cours à ce moment-là, auquel cas un rapport d’avancement puis un rapport final doivent être fournis dans un délai d’un mois à compter du traitement de l’incident. |
20. |
Un calendrier différent s’applique pour la notification d’incident prévue à l’article 23, paragraphe 4, deuxième alinéa, de la directive (UE) 2022/2555 en ce qui concerne les prestataires de services de confiance. Ces fournisseurs doivent notifier les incidents importants qui ont un impact sur la fourniture de leurs services de confiance sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident important. |
II.2.3. Contenu de l’obligation de notification des incidents importants aux CSIRT ou aux autorités compétentes
21. |
L’article 23, paragraphe 1, premier alinéa, troisième phrase, de la directive (UE) 2022/2555 impose, à titre de règle générale, aux États membres de veiller à ce que les entités essentielles et importantes signalent, entre autres, toute information permettant au CSIRT compétent ou, le cas échéant, à l’autorité compétente de déterminer si l’incident a un impact transfrontière. Cette exigence concernant le contenu de l’obligation de notification est précisée à l’article 23, paragraphe 4, de la directive (UE) 2022/2555, qui définit l’approche en plusieurs étapes. |
22. |
Conformément à l’article 23, paragraphe 4, point a), l’alerte précoce doit, le cas échéant, indiquer si l’on suspecte l’incident important d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir (c’est-à-dire s’il est susceptible d’avoir) un impact transfrontière. Aux termes du considérant 102 du préambule de la directive (UE) 2022/2555, l’alerte précoce devrait inclure uniquement les informations nécessaires pour porter l’incident important à la connaissance du CSIRT compétent, ou, le cas échéant, de l’autorité compétente, et permettre à l’entité concernée de demander une assistance, si nécessaire. |
23. |
La notification d’incident doit contenir, le cas échéant, des mises à jour des informations fournies dans le cadre de l’alerte précoce. En outre, elle doit comprendre une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles. |
24. |
Si un rapport intermédiaire est demandé, il doit inclure les mises à jour pertinentes de la situation. Le rapport final doit comprendre une description détaillée de l’incident, y compris de sa gravité et de son impact, le type de menace ou la cause profonde qui a probablement déclenché l’incident, les mesures d’atténuation appliquées et en cours et, le cas échéant, l’impact transfrontière de l’incident. |
II.2.4. Accès immédiat aux notifications d’incidents
25. |
L’article 4, paragraphe 2, point b), de la directive (UE) 2022/2555 prévoit que l’acte juridique sectoriel de l’Union, devant être appliqué en ce qui concerne les exigences relatives à la notification au lieu de ladite directive, doit fournir aux CSIRT, aux autorités compétentes ou aux points de contact uniques en vertu de la directive (UE) 2022/2555 un accès immédiat aux notifications d’incidents soumises conformément audit acte juridique sectoriel de l’Union. Conformément au considérant 24 du préambule de la directive (UE) 2022/2555, cet accès immédiat peut en particulier être garanti si les notifications d’incidents sont transmises sans retard injustifié au CSIRT, à l’autorité compétente ou au point de contact unique. |
26. |
L’accès immédiat peut être assuré par des moyens automatiques et directs que les États membres devraient mettre en place, s’il y a lieu. Les mécanismes d’information automatique et directe garantissent un partage systématique et immédiat des informations avec les CSIRT, les autorités compétentes ou les points de contact uniques concernant le traitement des notifications d’incidents. Les États membres peuvent également utiliser un point d’entrée unique qui doit être conforme à l’acte juridique sectoriel de l’Union, afin de simplifier les signalements et de mettre en œuvre le mécanisme d’information automatique et directe. |
27. |
Lors de l’évaluation du point de savoir si les exigences figurant dans un acte juridique sectoriel de l’Union relatives à la notification des incidents importants ont un effet au moins équivalent à celui des obligations prévues à l’article 23, paragraphes 1 à 6, de la directive (UE) 2022/2555, les exigences prévues par cet acte juridique sectoriel de l’Union devraient, au minimum, correspondre aux exigences énoncées à l’article 23, paragraphes 1 à 6, ou être plus détaillées que ces dispositions. Ces exigences devraient porter sur le type d’incidents devant être signalés conformément à la directive (UE) 2022/2555, compte tenu notamment des destinataires, du contenu et des calendriers applicables. |
III. CONSÉQUENCES DE L’ÉQUIVALENCE
III.1. Supervision et exécution
28. |
Lorsque des actes juridiques sectoriels de l’Union ont un effet au moins équivalent aux obligations énoncées dans la directive (UE) 2022/2555, ce ne sont pas seulement les dispositions pertinentes de ladite directive concernant l’obligation d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier les incidents importants qui ne s’appliquent pas, mais également les dispositions relatives à la supervision et à l’exécution, figurant au chapitre VII de la directive (UE) 2022/2555. |
29. |
Le considérant 25 du préambule de la directive (UE) 2022/2555 explique que les actes juridiques sectoriels de l’Union qui ont un effet au moins équivalent pourraient prévoir que les autorités compétentes en vertu desdits actes exercent leurs pouvoirs de supervision et d’exécution en ce qui concerne les obligations de gestion des risques en matière de cybersécurité ou les obligations d’information avec l’assistance des autorités compétentes en vertu de la directive (UE) 2022/2555. Les autorités compétentes concernées pourraient établir des accords de coopération à cet effet, précisant, entre autres, des procédures relatives à la coordination des activités de supervision, y compris les procédures d’enquête et d’inspection sur place conformément au droit national, ainsi qu’un mécanisme d’échange des informations pertinentes sur la supervision et l’exécution entre les autorités compétentes. Un tel mécanisme d’échange d’informations pertinentes pourrait comprendre l’accès aux informations relatives au cyberespace demandées par les autorités compétentes en vertu de la directive (UE) 2022/2555. |
III.2. Stratégie nationale en matière de cybersécurité
30. |
Chaque État membre est tenu d’adopter une stratégie nationale de cybersécurité conformément à l’article 7, paragraphe 1, de la directive (UE) 2022/2555. Une stratégie nationale de cybersécurité est un cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre [voir article 6, point 4), de la directive (UE) 2022/2555]. La stratégie de cybersécurité doit comprendre, entre autres, des objectifs et des priorités couvrant en particulier les secteurs visés aux annexes I et II de la directive (UE) 2022/2555. En outre, cette stratégie doit comporter un cadre de gouvernance permettant d’atteindre ces objectifs et priorités, y compris les politiques visées à l’article 7, paragraphe 2, de la directive (UE) 2022/2555. |
31. |
De plus, l’article 7, paragraphe 1, point c), de la directive (UE) 2022/2555 prévoit que la stratégie nationale de cybersécurité doit comprendre un cadre de gouvernance précisant les rôles et les responsabilités des parties prenantes concernées au niveau national, et sur lequel reposent la coopération et la coordination au niveau national entre les autorités compétentes, les points de contact uniques et les CSIRT au titre de ladite directive, ainsi que la coordination et la coopération entre ces organismes et les autorités compétentes en vertu d’actes juridiques sectoriels de l’Union. |
32. |
Par conséquent, l’obligation d’adopter une stratégie de cybersécurité en vertu de l’article 7 de la directive (UE) 2022/2555 ne concerne ni les exigences en matière de cybersécurité imposées aux entités essentielles et importantes en vertu des articles 21 et 23 de ladite directive, ni les dispositions relatives à leur supervision et à leur exécution énoncées au chapitre VII, comme l’exige l’article 4, paragraphes 1 et 2, de la directive. La disposition pertinente de l’article 7 devrait continuer de s’appliquer aux secteurs, sous-secteurs et types d’entités pour lesquels il existe des actes juridiques sectoriels de l’Union au sens de l’article 4 de la directive (UE) 2022/2555. |
III.3. Désignation des CSIRT
33. |
Conformément à l’article 10, paragraphe 1, de la directive (UE) 2022/2555, les États membres doivent désigner ou mettre en place un ou plusieurs CSIRT couvrant au moins les secteurs, sous-secteurs et types d’entités visés aux annexes I et II de la directive, y compris les secteurs, sous-secteurs et types d’entités pour lesquels il existe des actes juridiques sectoriels de l’Union. Normalement, les CSIRT accomplissent également leurs tâches conformément à l’article 11, paragraphe 3, de la directive (UE) 2022/2555, à moins que des tâches particulières ne soient spécifiées dans les actes juridiques sectoriels de l’Union. |
III.4. Cadres nationaux de gestion des crises de cybersécurité et EU-CyCLONe
34. |
Conformément à l’article 9, paragraphe 1, de la directive (UE) 2022/2555, les États membres doivent désigner ou établir une ou plusieurs autorités de gestion des crises cyber, qui sont chargées de la gestion des incidents de cybersécurité majeurs et des crises. Conformément à l’article 6, point 7), de ladite directive, un «incident de cybersécurité majeur» est un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres. L’article 9, paragraphe 4, de la directive (UE) 2022/2555 impose à chaque État membre d’adopter un plan national de réaction aux crises et incidents de cybersécurité majeurs dans lequel sont définis les objectifs et les modalités de gestion des incidents de cybersécurité majeurs et des crises. Ce plan devrait définir, entre autres, les procédures de gestion des crises cyber, y compris leur intégration dans le cadre national général de gestion des crises et les canaux d’échange d’informations, ainsi que les parties prenantes et les infrastructures des secteurs public et privé concernées. Ces procédures de gestion des crises cyber et les parties prenantes et infrastructures des secteurs public et privé concernées pourraient impliquer des parties prenantes et des procédures sectorielles. |
35. |
L’article 16 de la directive (UE) 2022/2555 établit le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe), dont l’objectif est de contribuer à la gestion coordonnée, au niveau opérationnel, des incidents de cybersécurité majeurs et des crises, et de garantir l’échange régulier d’informations pertinentes entre les États membres et les institutions, organes et organismes de l’Union. |
36. |
Étant donné que l’article 9 sur les cadres de gestion des crises cyber et l’article 16 sur EU-CyCLONe ne concernent pas les exigences en matière de cybersécurité imposées aux entités en vertu des articles 21 et 23 de la directive (UE) 2022/2555 ni la supervision et l’exécution prévues au chapitre VII, comme l’exige l’article 4, paragraphes 1 et 2, de ladite directive, les articles 9 et 16 devraient s’appliquer dans leur intégralité aux secteurs, malgré l’existence d’actes juridiques sectoriels de l’Union au sens de l’article 4. En conséquence, les États membres doivent désigner ou établir une ou plusieurs autorités de gestion des crises cyber, qui sont chargées de la gestion des incidents de cybersécurité majeurs et des crises survenant dans les secteurs couverts par des actes juridiques sectoriels de l’Union. En outre, les secteurs couverts par des actes juridiques sectoriels de l’Union ne devraient pas être négligés lors de l’adoption du plan national de réaction aux crises et incidents de cybersécurité majeurs. Enfin, EU-CyCLONe devrait s’acquitter des tâches qui lui incombent en vertu de l’article 16 de la directive (UE) 2022/2555 en ce qui concerne les secteurs dans lesquels les entités sont soumises à des actes juridiques sectoriels de l’Union. |
III.5. Exclusion de l’application de l’article 3, paragraphes 3 et 4, de l’article 20 et de l’article 27, paragraphes 2 et 3
37. |
Conformément à l’article 3, paragraphe 3, de la directive (UE) 2022/2555, les États membres sont tenus d’établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaines relevant du champ d’application de la directive. Conformément à l’article 27, paragraphe 2, les États membres exigent des entités visées à l’article 27, paragraphe 1, de ladite directive qu’elles communiquent certaines informations aux autorités compétentes. Étant donné que l’objectif de ces dispositions est de permettre une vue d’ensemble claire des entités relevant du champ d’application de la directive (UE) 2022/2555 à l’appui de la supervision des entités essentielles et importantes relevant de son champ d’application, il s’ensuit que ces dispositions ne devraient pas s’appliquer aux entités auxquelles s’applique un acte juridique sectoriel de l’Union en ce qui concerne les exigences en matière de gestion des risques de cybersécurité et de notification des incidents. Cela n’empêche pas les États membres d’inscrire ces entités sur la liste.
Conformément à l’article 20, paragraphe 1, de la directive (UE) 2022/2555, les organes de direction des entités essentielles et importantes sont tenus d’approuver les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l’article 21, et de superviser sa mise en œuvre, et peuvent être tenus responsables de la violation dudit article par ces entités. Conformément à l’article 20, paragraphe 2, de la directive, les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation et ils encouragent les entités essentielles et importantes à offrir régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité. Étant donné que les obligations découlant de l’article 20 de la directive (UE) 2022/2555 sont intrinsèquement liées aux exigences de l’article 21 de ladite directive, il s’ensuit que l’article 20 ne devrait pas s’appliquer dans le cas d’actes juridiques sectoriels de l’Union au sens de l’article 4 de ladite directive s’appliquant aux exigences en matière de gestion des risques de cybersécurité. |
(1) JO L 333 du 27.12.2022, p. 80.
(2) Voir également les considérants 78, 81 et 82 du préambule de la directive (UE) 2022/2555.
(3) Article 2, paragraphe 1, de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (JO L 321 du 17.12.2018, p. 36).
(4) Voir le considérant 79 du préambule de la directive (UE) 2022/2555.
(5) Voir le point D intitulé «Règles supplémentaires mettant en œuvre l’acte de base», Critères non contraignants pour l’application des articles 290 et 291 du traité sur le fonctionnement de l’Union européenne - 18 juin 2019 (JO C 223 du 3.7.2019, p. 1).
(6) Voir le point D intitulé «Règles supplémentaires mettant en œuvre l’acte de base», Critères non contraignants pour l’application des articles 290 et 291 du traité sur le fonctionnement de l’Union européenne - 18 juin 2019 (JO C 223 du 3.7.2019, p. 1).
(7) Voir le considérant 101 du préambule de la directive (UE) 2022/2555.
APPENDICE
Actes juridiques sectoriels de l’Union
Règlement (UE) 2022/2554 (règlement sur la résilience opérationnelle numérique) (1)
1. |
L’article 1er, paragraphe 2, du règlement (UE) 2022/2554 (règlement sur la résilience opérationnelle numérique, DORA) dispose que, en ce qui concerne les entités financières couvertes par la directive (UE) 2022/2555 et ses règles nationales de transposition correspondantes, le règlement (UE) 2022/2554 est considéré comme un acte juridique sectoriel de l’Union aux fins de l’article 4 de la directive (UE) 2022/2555. Cette déclaration est reflétée au considérant 28 du préambule de la directive (UE) 2022/2555, qui indique que le règlement DORA devrait être considéré comme un acte juridique sectoriel de l’Union en rapport avec la directive (UE) 2022/2555 en ce qui concerne les entités financières. Par conséquent, les dispositions du règlement (UE) 2022/2554 portant sur les mesures de gestion des risques concernant les technologies de l’information et de la communication (TIC) (article 6 et suivants), la gestion des incidents liés aux TIC et notamment la notification des incidents majeurs liés aux TIC (article 17 et suivants), ainsi que sur le test de la résilience opérationnelle numérique (articles 24 et suivants), les accords de partage d’informations (article 25) et les risques liés aux tiers en matière de TIC (article 28 et suivants) devraient s’appliquer au lieu de celles prévues par la directive (UE) 2022/2555. Les États membres ne devraient par conséquent pas appliquer aux entités financières relevant du règlement (UE) 2022/2554 les dispositions de la directive (UE) 2022/2555 concernant la gestion des risques de cybersécurité et les obligations d’information ainsi que la supervision et l’exécution. |
2. |
À cet égard, les entités financières sont considérées comme des entités visées à l’article 2, paragraphe 1, point a) à t), du règlement (UE) 2022/2554. Les types d’entités qui relèvent du champ d’application du règlement (UE) 2022/2554 en tant qu’entités financières, ainsi que du champ d’application de la directive (UE) 2022/2555 en tant qu’entités essentielles ou importantes, comprennent les établissements de crédit, les plates-formes de négociation et les contreparties centrales. Étant donné qu’il est important de maintenir une relation étroite et l’échange d’informations avec le secteur financier en vertu de la directive (UE) 2022/2555, les autorités européennes de surveillance et les autorités compétentes au titre du règlement (UE) 2022/2554 peuvent demander à participer aux activités du groupe de coopération (2), à échanger des informations et à coopérer avec les points de contact uniques, ainsi qu’avec les CSIRT et les autorités compétentes au titre de la directive (UE) 2022/2555 (3). Les autorités compétentes en vertu du règlement (UE) 2022/2554 devraient également communiquer les détails des incidents majeurs liés aux TIC et, s’il y a lieu, des cybermenaces importantes aux CSIRT, aux autorités compétentes ou aux points de contact uniques en vertu de la directive (UE) 2022/2555. Cela est réalisable en prévoyant un accès immédiat aux notifications d’incidents et en les transmettant soit directement, soit par l’intermédiaire d’un point d’entrée unique. Les CSIRT devraient être en mesure de couvrir le secteur financier dans leurs activités (4). Les États membres devraient continuer à inclure le secteur financier dans leurs stratégies de cybersécurité. Les dispositions relatives aux cadres nationaux de gestion des crises cyber [article 9 de la directive (UE) 2022/2555], ainsi qu’à EU-CyCLONe [article 16 de la directive (UE) 2022/2555], devraient continuer à s’appliquer aux entités relevant du champ d’application du règlement (UE) 2022/2554. |
(1) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).
(2) Article 14, paragraphe 3, du règlement (UE) 2022/2555 et article 47, paragraphe 1, du règlement (UE) 2022/2554.
(3) Voir le considérant 28 de la directive (UE) 2022/2555.
(4) Ibidem.
IV Informations
INFORMATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE
Conseil
18.9.2023 |
FR |
Journal officiel de l’Union européenne |
C 328/11 |
Avis à l'attention des personnes et entités auxquelles s'appliquent les mesures prévues par la décision 2011/235/PESC du Conseil, mise en œuvre par la décision d'exécution (PESC) 2023/1780 du Conseil, et par le règlement (UE) n° 359/2011 du Conseil, mis en œuvre par le règlement d'exécution (UE) 2023/1779 du Conseil concernant des mesures restrictives à l'encontre de certaines personnes, entités et organismes au regard de la situation en Iran
(2023/C 328/03)
Les informations ci-après sont portées à l'attention des personnes et entités mentionnées à l'annexe de la décision 2011/235/PESC du Conseil (1), mise en œuvre par la décision d'exécution (PESC) 2023/1780 du Conseil (2), et à l'annexe I du règlement (UE) n° 359/2011 du Conseil (3), mis en œuvre par le règlement d'exécution (UE) 2023/1779 du Conseil (4), concernant des mesures restrictives à l'encontre de certaines personnes, entités et organismes au regard de la situation en Iran.
Le Conseil de l'Union européenne a décidé que les personnes et l'entités en question devraient être inscrites sur la liste des personnes et entités faisant l'objet de mesures restrictives prévues par la décision 2011/235/PESC et par le règlement (UE) n° 359/2011.
L'attention des personnes et entités concernées est attirée sur le fait qu'il est possible de présenter aux autorités compétentes de l'État membre concerné (ou des États membres concernés), selon les indications figurant sur les sites web mentionnés à l'annexe II du règlement (UE) n° 359/2011, une demande visant à obtenir l'autorisation d'utiliser les fonds gelés pour répondre à des besoins fondamentaux ou procéder à certains paiements (cf. article 4 du règlement).
Les personnes et entités concernées peuvent adresser au Conseil une demande de réexamen de la décision par laquelle elles ont été inscrites sur la liste susmentionnée, en y joignant des pièces justificatives. Toute demande en ce sens doit être envoyée avant le 1er janvier 2024 à l'adresse suivante:
Conseil de l'Union européenne |
Secrétariat général |
RELEX.1 |
Rue de la Loi 175 |
1048 Bruxelles |
BELGIQUE |
Courriel: sanctions@consilium.europa.eu
L'attention des personnes et entités concernées est également attirée sur le fait qu'il est possible de contester la décision du Conseil devant le Tribunal de l'Union européenne, dans les conditions prévues à l'article 275, deuxième alinéa, et à l'article 263, quatrième et sixième alinéas, du traité sur le fonctionnement de l'Union européenne.
(1) JO L 100 du 14.4.2011, p. 51.
(2) JO L 228 I du 15.9.2023, p. 6.
18.9.2023 |
FR |
Journal officiel de l’Union européenne |
C 328/13 |
Avis à l'attention des personnes concernées auxquelles s'appliquent les mesures restrictives prévues par la décision 2011/235/PESC du Conseil et par le règlement (UE) n° 359/2011 du Conseil concernant des mesures restrictives à l'encontre de certaines personnes, entités et organismes au regard de la situation en Iran
(2023/C 328/04)
L'attention des personnes concernées est attirée sur les informations ci-après, conformément à l'article 16 du règlement (UE) 2018/1725 du Parlement européen et du Conseil (1).
Les bases juridiques du traitement des données en question sont la décision 2011/235/PESC (2), mise en œuvre par la décision d'exécution (PESC) 2023/1780 (3) du Conseil, et le règlement (UE) n° 359/2011 (4) du Conseil, mis en œuvre par le règlement d'exécution (UE) 2023/1779 (5) du Conseil.
Le responsable du traitement des données est le Conseil de l'Union européenne, représenté par la directrice générale de la direction générale Relations extérieures (RELEX) du secrétariat général du Conseil, et le service chargé du traitement est l'unité RELEX.1, qui peut être contactée à l'adresse suivante:
Conseil de l'Union européenne |
Secrétariat général |
RELEX.1 |
Rue de la Loi 175 |
1048 Bruxelles |
BELGIQUE |
Courriel: sanctions@consilium.europa.eu
La déléguée à la protection des données du Conseil peut être contactée à l'adresse suivante:
|
Déléguée à la protection des données |
|
data.protection@consilium.europa.eu |
Les finalités du traitement des données sont l'établissement et l'actualisation de la liste des personnes faisant l'objet des mesures restrictives prévues par la décision 2011/235/PESC, mise en œuvre par la décision d'exécution (PESC) 2023/1780, et par le règlement (UE) n° 359/2011, mis en œuvre par le règlement d'exécution (UE) 2023/1779..
Les personnes concernées sont les personnes physiques qui satisfont aux critères d'inscription sur la liste fixés dans la décision 2011/235/PESC et le règlement (UE) n° 359/2011.
Les données à caractère personnel qui sont recueillies comprennent les données nécessaires à l'identification correcte des personnes en question, l'exposé des motifs et toute autre donnée y afférente.
Les bases juridiques du traitement des données à caractère personnel sont les décisions du Conseil adoptées en vertu de l'article 29 du TUE et les règlements du Conseil adoptés en vertu de l'article 215 du TFUE désignant des personnes physiques (personnes concernées) et imposant le gel des avoirs et des restrictions en matière de déplacements.
Le traitement est nécessaire à l'exécution d'une mission d'intérêt public, conformément à l'article 5, paragraphe 1, point a), et au respect des obligations légales énoncées dans les actes juridiques susmentionnés auxquels le responsable du traitement est soumis, conformément à l'article 5, paragraphe 1, point b), du règlement (UE) 2018/1725.
Le traitement est nécessaire pour des raisons d'intérêt public important, conformément à l'article 10, paragraphe 2, point g), du règlement (UE) 2018/1725.
Le Conseil peut obtenir des États membres et/ou du Service européen pour l'action extérieure des données à caractère personnel concernant des personnes concernées. Les destinataires des données à caractère personnel sont les États membres, la Commission européenne et le Service européen pour l'action extérieure.
Toutes les données à caractère personnel traitées par le Conseil dans le cadre de mesures restrictives autonomes de l'UE seront conservées pendant cinq ans à compter du moment où la personne concernée a été retirée de la liste des personnes faisant l'objet d'un gel des avoirs ou de l'expiration de la validité de la mesure ou, si une action en justice est intentée devant la Cour de justice, jusqu'à ce qu'un arrêt définitif ait été rendu. Les données à caractère personnel figurant dans les documents enregistrés par le Conseil sont conservées par celui-ci à des fins archivistiques dans l'intérêt public, au sens de l'article 4, paragraphe 1, point e), du règlement (UE) 2018/1725.
Le Conseil peut être amené à échanger des données à caractère personnel concernant une personne concernée avec un pays tiers ou une organisation internationale dans le cadre de la transposition par le Conseil des désignations par les Nations unies ou dans le contexte de la coopération internationale concernant la politique de l'UE en matière de mesures restrictives.
En l'absence de décision d'adéquation ou de garanties appropriées, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale est fondé sur la (les) condition(s) suivante(s), conformément à l'article 50 du règlement (UE) 2018/1725: le transfert est nécessaire pour des motifs importants d'intérêt public; le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.
Aucune prise de décision automatisée n'intervient dans le traitement des données à caractère personnel de la personne concernée.
Les personnes concernées disposent du droit à l'information et du droit d'accéder à leurs données à caractère personnel. Elles ont également le droit de corriger et de compléter leurs données. Dans certaines circonstances, elles peuvent avoir le droit d'obtenir l'effacement de leurs données à caractère personnel, de s'opposer à ce que celles-ci fassent l'objet d'un traitement ou de demander que ce traitement soit limité.
Les personnes concernées peuvent exercer ces droits en envoyant un courrier électronique au responsable du traitement, avec copie à la déléguée à la protection des données, comme indiqué ci-dessus.
Les personnes concernées doivent joindre à leur demande une copie d'un document d'identification confirmant leur identité (carte d'identité ou passeport). Ce document devra mentionner un numéro d'identification, le pays d'émission, la période de validité, ainsi que les nom, adresse et date de naissance. Toutes les autres données figurant sur la copie du document d'identification, telles qu'une photo ou d'autres caractéristiques personnelles, peuvent être masquées.
Les personnes concernées ont le droit d'introduire une réclamation auprès du Contrôleur européen de la protection des données conformément au règlement (UE) 2018/1725 (edps@edps.europa.eu).
Avant cela, il est recommandé que les personnes concernées tentent d'abord d'obtenir satisfaction en prenant contact avec le responsable du traitement et/ou la déléguée à la protection des données du Conseil.
(1) JO L 295 du 21.11.2018, p. 39.
(2) JO L 100 du 14.4.2011, p. 51.
(3) JO L 228 I du 15.9.2023, p. 6.
Commission européenne
18.9.2023 |
FR |
Journal officiel de l’Union européenne |
C 328/15 |
Résumé des décisions de la Commission européenne relatives aux autorisations de mise sur le marché en vue de l’utilisation et/ou aux autorisations d’utilisation de substances énumérées à l’annexe XIV du règlement (CE) no 1907/2006 du Parlement européen et du Conseil concernant l’enregistrement, l’évaluation et l’autorisation des substances chimiques, ainsi que les restrictions applicables à ces substances (REACH)
[Publié en application de l’article 64, paragraphe 9, du règlement (CE) no 1907/2006 (1) ]
(Texte présentant de l’intérêt pour l’EEE)
(2023/C 328/05)
Décision de retrait d’une autorisation
Référence de la décision (2) |
Date de la décision |
Dénomination de la substance |
Destinataire de la décision |
Utilisation retirée |
Décision abrogée |
Motivation de la décision |
C(2023) 6014 |
11 septembre 2023 |
Dichromate de sodium No CE: 234-190-3; N° CAS: 10588-01-9 (anhydre); No CAS 7789-12-0 (dihydraté) |
Gruppo Colle S.r.l., Via G. Di Vittorio 3/5, 59025 Usella, Cantagallo, Prato, Italie |
Comme mordant pour la teinture de laine en couleurs sombres |
C(2017) 8331 |
Le rapport d’examen n’a pas démontré l’absence de solutions de remplacement appropriées pour le demandeur, conformément à l’article 60, paragraphe 4, du règlement (CE) no 1907/2006. |
(1) JO L 396 du 30.12.2006, p. 1.
(2) La décision est disponible sur le site web de la Commission européenne à l’adresse suivante: Authorisation (europa.eu).
18.9.2023 |
FR |
Journal officiel de l’Union européenne |
C 328/16 |
1 euro =
|
Monnaie |
Taux de change |
USD |
dollar des États-Unis |
1,0658 |
JPY |
yen japonais |
157,50 |
DKK |
couronne danoise |
7,4573 |
GBP |
livre sterling |
0,85878 |
SEK |
couronne suédoise |
11,8730 |
CHF |
franc suisse |
0,9554 |
ISK |
couronne islandaise |
145,30 |
NOK |
couronne norvégienne |
11,4220 |
BGN |
lev bulgare |
1,9558 |
CZK |
couronne tchèque |
24,496 |
HUF |
forint hongrois |
383,75 |
PLN |
zloty polonais |
4,6308 |
RON |
leu roumain |
4,9698 |
TRY |
livre turque |
28,7513 |
AUD |
dollar australien |
1,6498 |
CAD |
dollar canadien |
1,4409 |
HKD |
dollar de Hong Kong |
8,3416 |
NZD |
dollar néo-zélandais |
1,8008 |
SGD |
dollar de Singapour |
1,4524 |
KRW |
won sud-coréen |
1 415,78 |
ZAR |
rand sud-africain |
20,2968 |
CNY |
yuan ren-min-bi chinois |
7,7561 |
IDR |
rupiah indonésienne |
16 379,21 |
MYR |
ringgit malais |
4,9922 |
PHP |
peso philippin |
60,612 |
RUB |
rouble russe |
|
THB |
baht thaïlandais |
38,145 |
BRL |
real brésilien |
5,1860 |
MXN |
peso mexicain |
18,2275 |
INR |
roupie indienne |
88,6150 |
(1) Source: taux de change de référence publié par la Banque centrale européenne.
V Avis
PROCÉDURES RELATIVES À LA MISE EN ŒUVRE DE LA POLITIQUE DE CONCURRENCE
Commission européenne
18.9.2023 |
FR |
Journal officiel de l’Union européenne |
C 328/17 |
Notification préalable d’une concentration
(Affaire M.11239 — EDF / CREDIT MUTUEL / ILE-DE-FRANCE BUILDING)
Cas susceptible d’être traité selon la procédure simplifiée
(Texte présentant de l’intérêt pour l’EEE)
(2023/C 328/07)
1.
Le 8 septembre 2023, la Commission européenne a reçu notification, conformément à l’article 4 du règlement (CE) no 139/2004 du Conseil (1), d’un projet de concentration.Cette notification concerne les entreprises suivantes:
— |
SAS C91 (France), contrôlée par la société Électricité de France (« EDF », France), |
— |
La Française Real Estate Managers (« La Française », France), contrôlée par la Caisse Régionale Crédit Mutuel Nord Europe (France), elle-même membre du groupe Crédit Mutuel (France), |
— |
Un immeuble situé en Ile-de-France (« le Bâtiment », France). |
EDF et Crédit Mutuel acquerront, au sens de l’article 3, paragraphe 1, point b), du règlement sur les concentrations, le contrôle en commun de l’ensemble du Bâtiment.
La concentration est réalisée par achat d’actifs.
2.
Les activités des entreprises considérées sont les suivantes:
— |
EDF: active, en France et a l’étranger dans la production et la vente en gros d’électricité le transport, la distribution et la fourniture d’électricité, la fourniture d’autres services liés a l’électricité ainsi que, dans une moindre mesure, la production et la vente en gros et au détail de gaz, |
— |
Crédit Mutuel : active dans la fourniture de services bancaires et financiers, principalement en France. A travers sa filiale La Française, le groupe Crédit Mutuel propose des services de gestion immobilière. |
3.
Le Bâtiment est un immeuble à usage de bureaux et de commerces situé 111, avenue de France à 75013 Paris, France.
4.
Après examen préliminaire et sans préjudice de sa décision définitive sur ce point, la Commission estime que l’opération notifiée pourrait entrer dans le champ d’application du règlement sur les concentrations.Conformément à la communication de la Commission relative à une procédure simplifiée du traitement de certaines opérations de concentration en application du règlement (CE) no 139/2004 du Conseil (2), il convient de noter que ce cas est susceptible d’être traité selon la procédure définie par ladite communication.
5.
La Commission invite les tiers intéressés à lui présenter leurs observations éventuelles sur ce projet de concentration.Ces observations devront lui parvenir au plus tard dans un délai de dix jours à compter de la date de la présente publication. Il y a lieu de toujours préciser la mention suivante:
M.11239 — EDF / CREDIT MUTUEL / ILE-DE-FRANCE BUILDING
Ces observations peuvent être envoyées par courrier électronique ou par courrier postal. Veuillez utiliser les coordonnées ci-dessous:
Courriel: COMP-MERGER-REGISTRY@ec.europa.eu
Adresse postale:
Commission européenne |
Direction générale de la concurrence |
Greffe des concentrations |
1049 Bruxelles |
BELGIQUE |
(1) JO L 24 du 29.1.2004, p. 1 (le «règlement sur les concentrations»).