1.   L'ECRIS-TCN se compose des éléments suivants:

2.   Le système central est hébergé par l'eu-LISA sur ses sites techniques.

3.   Le logiciel d'interface est compatible avec l'application de référence de l'ECRIS. Les États membres utilisent l'application de référence de l'ECRIS ou, dans la situation et dans les conditions décrites aux paragraphes 4 à 8, le logiciel d'application national de l'ECRIS, pour interroger l'ECRIS-TCN et pour envoyer ensuite des demandes d'informations sur les casiers judiciaires.

4.   Il incombe aux États membres qui utilisent leur logiciel d'application national de l'ECRIS de s'assurer que celui-ci permet à leurs autorités gérant les casiers judiciaires d'utiliser l'ECRIS-TCN, exception faite du logiciel d'interface, conformément au présent règlement. À cette fin, ils s'assurent, avant la date de mise en service de l'ECRIS-TCN conformément à l'article 35, paragraphe 4, que leur logiciel d'application national de l'ECRIS fonctionne conformément aux protocoles et aux spécifications techniques établis dans les actes d'exécution visés à l'article 10, ainsi qu'à toute autre exigence technique fondée sur ces actes d'exécution établie par l'eu-LISA en vertu du présent règlement.

5.   Tant qu'ils n'utilisent pas l'application de référence de l'ECRIS, les États membres qui utilisent leur logiciel d'application national de l'ECRIS assurent également la mise en œuvre des adaptations techniques ultérieures de leur logiciel d'application national de l'ECRIS requises par les modifications apportées aux spécifications techniques établies par la voie des actes d'exécution visés à l'article 10, ou à toute autre exigence technique fondée sur ces actes d'exécution établie par l'eu-LISA en vertu du présent règlement, sans retard injustifié.

6.   Les États membres qui utilisent leur logiciel d'application national de l'ECRIS supportent tous les coûts afférents à la mise en œuvre, à la maintenance et au développement de ce logiciel ainsi qu'à son interconnexion avec l'ECRIS-TCN, exception faite du logiciel d'interface.

7.   Si un État membre qui utilise son logiciel d'application national de l'ECRIS n'est pas en mesure de satisfaire aux obligations énoncées au présent article, il est tenu d'utiliser l'application de référence de l'ECRIS, y compris le logiciel d'interface intégré, pour pouvoir utiliser l'ECRIS-TCN.

8.   Aux fins de l'évaluation que doit réaliser la Commission en application de l'article 36, paragraphe 10, point b), les États membres concernés communiquent à la Commission toutes les informations nécessaires.

1.   Pour chaque ressortissant d'un pays tiers condamné, l'autorité centrale de l'État membre de condamnation crée un fichier de données dans le système central. Ce fichier de données contient:

2.   Les données dactyloscopiques visées au paragraphe 1, point b), du présent article, répondent aux spécifications techniques concernant la qualité, la résolution et le traitement des données dactyloscopiques prévues dans l'acte d'exécution visé à l'article 10, paragraphe 1, point b). Le numéro de référence des données dactyloscopiques de la personne condamnée comprend le code de l'État membre de condamnation.

3.   Le fichier de données peut également contenir des images faciales du ressortissant d'un pays tiers condamné, si le droit de l'État membre de condamnation autorise la collecte et la conservation des images faciales des personnes condamnées.

4.   L'État membre de condamnation crée le fichier de données automatiquement, si possible, et sans retard injustifié après l'inscription de la condamnation dans le casier judiciaire.

5.   Les États membres de condamnation créent également des fichiers de données concernant les condamnations prononcées avant la date de début de l'inscription des données conformément à l'article 35, paragraphe 1 dans la mesure où les données concernant les personnes condamnées sont conservées dans leurs bases de données nationales. Dans ces cas, les données dactyloscopiques sont incluses uniquement si elles ont été recueillies à l'occasion d'une procédure pénale conformément au droit national, et lorsqu'elles peuvent être clairement mises en concordance avec d'autres données d'identification dans les casiers judiciaires.

6.   Pour se conformer aux obligations énoncées au paragraphe 1, points b) i) et b) ii), et au paragraphe 5, les États membres peuvent utiliser les données dactyloscopiques recueillies à des fins autres qu'une procédure pénale, lorsque cette utilisation est autorisée par le droit national.

1.   Jusqu'à l'entrée en vigueur de l'acte délégué prévu au paragraphe 2, les images faciales ne peuvent être utilisées que pour confirmer l'identité d'un ressortissant d'un pays tiers identifié à la suite d'une consultation alphanumérique ou d'une recherche sur la base des données dactyloscopiques.

2.   La Commission est habilitée à adopter des actes délégués conformément à l'article 37 en vue de compléter le présent règlement en ce qui concerne l'utilisation d'images faciales aux fins de l'identification de ressortissants de pays tiers pour identifier les États membres détenant des informations sur les condamnations antérieures prononcées à l'encontre de ces personnes, lorsque cela devient techniquement possible. Avant d'exercer cette habilitation, la Commission évalue, en se fondant sur des critères de nécessité et de proportionnalité ainsi que sur les évolutions techniques dans le domaine des logiciels de reconnaissance faciale, si la technique requise est disponible et prête à être employée.

1.   Les autorités centrales utilisent l'ECRIS-TCN pour identifier les États membres qui détiennent des informations sur le casier judiciaire d'un ressortissant d'un pays tiers, afin d'obtenir des informations sur les condamnations antérieures au moyen de l'ECRIS, lorsque les informations sur le casier judiciaire sont demandées dans l'État membre concerné aux fins d'une procédure pénale à l'encontre de cette personne, ou à l'une des fins ci-après, si le droit national le prévoit et conformément à celui-ci:

Toutefois, dans des cas particuliers, autres que ceux où un ressortissant d'un pays tiers présente à l'autorité centrale une demande d'informations sur son propre casier judiciaire, ou lorsque la demande est présentée pour obtenir des informations sur un casier judiciaire en vertu de l'article 10, paragraphe 2, de la directive 2011/93/UE, l'autorité demandant des informations sur le casier judiciaire peut décider qu'il n'est pas approprié d'utiliser l'ECRIS-TCN.

2.   Tout État membre qui décide, si le droit national le prévoit et conformément à celui-ci, d'utiliser l'ECRIS-TCN à des fins autres que celles prévues au paragraphe 1 pour obtenir des informations sur les condamnations antérieures au moyen de l'ECRIS notifie à la Commission, au plus tard à la date de mise en service visée à l'article 35, paragraphe 4, ou à tout moment par la suite, ces autres fins et toutes les modifications qui y sont apportées. La Commission publie ces notifications au Journal officiel de l'Union européenne dans les trente jours suivant leur réception.

3.   Eurojust, Europol et le Parquet européen peuvent interroger l'ECRIS-TCN pour identifier les États membres détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers conformément aux articles 14 à 18. Toutefois, ils ne sont pas habilités à inscrire, rectifier ou effacer des données dans l'ECRIS-TCN.

4.   Aux fins visées aux paragraphes 1, 2 et 3, les autorités compétentes peuvent également interroger l'ECRIS-TCN pour vérifier si, en ce qui concerne un citoyen de l'Union, un État membre quelconque détient des informations sur le casier judiciaire de cette personne en tant que ressortissant d'un pays tiers.

5.   Lorsqu'elles interrogent l'ECRIS-TCN, les autorités compétentes peuvent utiliser une partie ou la totalité des données visées à l'article 5, paragraphe 1. L'ensemble minimal de données requises pour interroger le système est précisé dans un acte d'exécution adopté conformément à l'article 10, paragraphe 1, point g).

6.   Les autorités compétentes peuvent également interroger l'ECRIS-TCN en utilisant des images faciales, pour autant que cette fonctionnalité ait été mise en œuvre conformément à l'article 6, paragraphe 2.

7.   En cas de réponse positive, le système central indique automatiquement à l'autorité compétente les États membres détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné, ainsi que les numéros de référence associés et toute donnée d'identification correspondante. Ces données d'identification ne sont utilisées qu'aux fins de la vérification de l'identité du ressortissant d'un pays tiers concerné. Les résultats d'une recherche dans le système central ne peuvent être utilisés que pour introduire une demande conformément à l'article 6 de la décision-cadre 2009/315/JAI ou une demande visée à l'article 17, paragraphe 3, du présent règlement.

8.   En l'absence de réponse positive, le système central en informe automatiquement l'autorité compétente.

1.   Chaque fichier de données est conservé dans le système central tant que les données relatives aux condamnations de la personne concernée sont conservées dans le casier judiciaire.

2.   À l'expiration de la durée de conservation visée au paragraphe 1, l'autorité centrale de l'État membre de condamnation procède à l'effacement du fichier de données, y compris les données dactyloscopiques et les images faciales, du système central. L'effacement se fait automatiquement, si possible, et en tout état de cause au plus tard un mois après l'expiration de la durée de conservation.

1.   Les États membres peuvent modifier ou effacer les données qu'ils ont inscrites dans l'ECRIS-TCN.

2.   Toute modification des informations figurant dans le casier judiciaire qui ont conduit à la création d'un fichier de données conformément à l'article 5 comprend une modification identique, par l'État membre de condamnation, des informations conservées dans le fichier de données en question dans le système central, sans retard injustifié.

3.   Si un État membre de condamnation a des raisons de penser que les données qu'il a enregistrées dans le système central sont inexactes ou que des données ont été traitées dans le système central en violation du présent règlement, il:

4.   Si un État membre autre que l'État membre de condamnation qui a inscrit les données a des raisons de penser que les données enregistrées dans le système central sont inexactes ou que des données ont été traitées dans le système central en violation du présent règlement, il prend contact, sans retard injustifié, avec l'autorité centrale de l'État membre de condamnation.

L'État membre de condamnation:

1.   La Commission adopte les actes d'exécution nécessaires au développement technique et à la mise en œuvre de l'ECRIS-TCN, dès que possible et en particulier les actes concernant:

2.   Les actes d'exécution visés au paragraphe 1 sont adoptés en conformité avec la procédure d'examen visée à l'article 38, paragraphe 2.

1.   L'eu-LISA est responsable du développement de l'ECRIS-TCN conformément au principe de protection des données dès la conception et par défaut. En outre, l'eu-LISA est responsable de la gestion opérationnelle de l'ECRIS-TCN. Le développement consiste en l'élaboration et la mise en œuvre des spécifications techniques, en la réalisation d'essais et en la coordination générale du projet.

2.   L'eu-LISA est également responsable de la poursuite du développement et de la maintenance de l'application de référence de l'ECRIS.

3.   L'eu-LISA définit la conception de l'architecture matérielle de l'ECRIS-TCN, notamment ses spécifications techniques et l'évolution en ce qui concerne le système central, le point d'accès central national, et le logiciel d'interface. Cette conception est adoptée par son conseil d'administration, sous réserve de l'avis favorable de la Commission.

4.   L'eu-LISA développe et met en place l'ECRIS-TCN dès que possible après l'entrée en vigueur du présent règlement et après l'adoption par la Commission des actes d'exécution prévus à l'article 10.

5.   Avant la phase de conception et de développement de l'ECRIS-TCN, le conseil d'administration de l'eu-LISA établit un conseil de gestion du programme, composé de dix membres.

Le conseil de gestion du programme est constitué de huit membres désignés par le conseil d'administration, du président du groupe consultatif visé à l'article 39 et d'un membre désigné par la Commission. Les membres désignés par le conseil d'administration sont issus exclusivement des États membres qui sont pleinement liés, en vertu du droit de l'Union, par les instruments législatifs régissant l'ECRIS et qui participeront à l'ECRIS-TCN. Le conseil d'administration veille à ce que les membres qu'il désigne au conseil de gestion du programme disposent de l'expérience et de l'expertise nécessaires en matière de développement et de gestion des systèmes informatiques utilisés par les autorités judiciaires et celles gérant les casiers judiciaires.

L'eu-LISA participe aux travaux du conseil de gestion du programme. À cette fin, des représentants de l'eu-LISA assistent aux réunions du conseil de gestion du programme afin de faire rapport sur les travaux relatifs à la conception et au développement de l'ECRIS-TCN ainsi que sur les autres travaux et activités connexes.

Le conseil de gestion du programme se réunit au moins une fois tous les trois mois, et plus souvent si nécessaire. Il veille à la bonne gestion de la phase de conception et de développement de l'ECRIS-TCN ainsi qu'à la cohérence entre les projets ECRIS-TCN aux niveaux central et national et avec le logiciel d'application national de l'ECRIS. Le conseil de gestion du programme présente régulièrement, et si possible chaque mois, au conseil d'administration de l'eu-LISA des rapports écrits sur l'état d'avancement du projet. Le conseil de gestion du programme n'a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter les membres du conseil d'administration.

6.   Le conseil de gestion du programme établit son règlement intérieur, qui comprend notamment des règles sur:

7.   La présidence du conseil de gestion du programme est exercée par un État membre qui est pleinement lié, en vertu du droit de l'Union, par les instruments législatifs régissant l'ECRIS et les instruments législatifs régissant le développement, la mise en place, le fonctionnement et l'utilisation de tous les systèmes informatiques à grande échelle gérés par l'eu-LISA.

8.   Tous les frais de voyage et de séjour exposés par les membres du conseil de gestion du programme sont pris en charge par l'eu-LISA. L'article 10 du règlement intérieur de l'eu-LISA s'applique mutatis mutandis. Le secrétariat du conseil de gestion du programme est assuré par l'eu-LISA.

9.   Pendant la phase de conception et de développement, le groupe consultatif visé à l'article 39 se compose des gestionnaires de projets nationaux de l'ECRIS-TCN et est présidé par l'eu-LISA. Au cours de cette phase, il se réunit régulièrement, et si possible au moins une fois par mois, jusqu'à la mise en service de l'ECRIS-TCN. Après chaque réunion, il fait rapport au conseil de gestion du programme. Il fournit l'expertise technique nécessaire à l'appui des tâches du conseil de gestion du programme et suit l'état de préparation des États membres.

10.   Afin de garantir la confidentialité et l'intégrité des données conservées dans l'ECRIS-TCN à tout moment, l'eu-LISA prévoit, en coopération avec les États membres, les mesures techniques et organisationnelles appropriées, en tenant compte de l'état des connaissances, du coût de mise en œuvre et des risques posés par le traitement.

11.   L'eu-LISA est responsable des tâches ci-après, liées à l'infrastructure de communication visée à l'article 4, paragraphe 1, point d):

12.   La Commission est chargée de toutes les autres tâches liées à l'infrastructure de communication visées à l'article 4, paragraphe 1, point d), en particulier:

13.   L'eu-LISA élabore et gère un dispositif et des procédures de contrôle de la qualité des données conservées dans l'ECRIS-TCN et présente à intervalles réguliers des rapports aux États membres. Elle présente à la Commission, à intervalles réguliers, des rapports précisant les problèmes rencontrés et les États membres concernés.

14.   La gestion opérationnelle de l'ECRIS-TCN comprend toutes les tâches nécessaires au fonctionnement de l'ECRIS-TCN conformément au présent règlement, en particulier les travaux de maintenance et les perfectionnements techniques indispensables pour que l'ECRIS-TCN fonctionne à un niveau satisfaisant, conformément aux spécifications techniques.

15.   L'eu-LISA s'acquitte des tâches liées à la fourniture d'une formation relative à l'utilisation technique de l'ECRIS-TCN et de l'application de référence de l'ECRIS.

16.   Sans préjudice de l'article 17 du statut des fonctionnaires de l'Union européenne, tel qu'il figure dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (17), l'eu-LISA applique des règles appropriées en matière de secret professionnel ou impose des obligations de confidentialité équivalentes à tous les membres de son personnel appelés à travailler avec les données enregistrées dans le système central. Cette obligation continue de s'appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leur activité.

1.   Chaque État membre est responsable:

2.   Chaque État membre veille à ce que le personnel de son autorité centrale ayant un droit d'accès à l'ECRIS-TCN reçoive, avant d'être autorisé à traiter des données conservées dans le système central, une formation appropriée, portant en particulier sur les règles en matière de sécurité et de protection des données ainsi que les droits fondamentaux applicables.

1.   Conformément aux règles applicables de l'Union en matière de protection des données, chaque État membre veille à ce que les données enregistrées dans l'ECRIS-TCN soient traitées de manière licite, et en particulier à ce que:

2.   L'eu-LISA veille à ce que l'ECRIS-TCN soit utilisé conformément au présent règlement, à l'acte délégué visé à l'article 6, paragraphe 2, et aux actes d'exécution visés à l'article 10, ainsi qu'au règlement (UE) 2018/1725. En particulier, l'eu-LISA prend les mesures nécessaires pour assurer la sécurité du système central et de l'infrastructure de communication visées à l'article 4, paragraphe 1, point d), sans préjudice des responsabilités incombant à chaque État membre.

3.   L'eu-LISA informe le Parlement européen, le Conseil et la Commission, ainsi que le Contrôleur européen de la protection des données, dès que possible, des mesures qu'elle prend, en vertu du paragraphe 2, en vue de la mise en service de l'ECRIS-TCN.

4.   La Commission met les informations visées au paragraphe 3 à la disposition des États membres et du public, par l'intermédiaire d'un site internet public régulièrement actualisé.

1.   Eurojust dispose d'un accès direct à l'ECRIS-TCN aux fins de la mise en œuvre de l'article 17, ainsi que de l'accomplissement de ses missions en vertu de l'article 2 du règlement (UE) 2018/1727, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.

2.   Europol dispose d'un accès direct à l'ECRIS-TCN aux fins de l'accomplissement de ses missions en vertu de l'article 4, paragraphe 1, points a) à e) et h), du règlement (UE) 2016/794, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.

3.   Le Parquet européen dispose d'un accès direct à l'ECRIS-TCN aux fins de l'accomplissement de ses missions en vertu de l'article 4 du règlement (UE) 2017/1939, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.

4.   À la suite d'une réponse positive indiquant les États membres détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers, Eurojust, Europol et le Parquet européen peuvent utiliser les contacts qu'ils ont respectivement établis avec les autorités nationales de ces États membres pour demander des informations sur le casier judiciaire dans la forme prévue par leurs actes constitutifs respectifs.

1.   Les pays tiers et les organisations internationales peuvent, aux fins d'une procédure pénale, adresser des demandes d'information, le cas échéant, sur l'État membre détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers à Eurojust. À cette fin, ils utilisent le formulaire type figurant à l'annexe du présent règlement.

2.   Lorsqu'une demande en vertu du paragraphe 1 lui est adressée, Eurojust utilise l'ECRIS-TCN pour identifier, le cas échéant, les États membres détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné.

3.   En cas de réponse positive, Eurojust demande à l'État membre détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné s'il consent à ce qu'Eurojust communique son nom au pays tiers ou à l'organisation internationale. Lorsque cet État membre donne son consentement, Eurojust communique au pays tiers ou à l'organisation internationale le nom de cet État membre et informe le pays tiers ou l'organisation internationale de la manière dont il/elle peut introduire une demande d'extrait de casier judiciaire auprès de cet État membre en conformité avec les procédures applicables.

4.   En l'absence de réponse positive ou lorsqu'Eurojust ne peut pas donner de réponse, conformément au paragraphe 3, aux demandes qui lui ont été adressées au titre du présent article, elle informe le pays tiers ou l'organisation internationale concerné qu'elle a mené à bien la procédure, sans indiquer si des informations sur le casier judiciaire de la personne concernée sont détenues par un État membre.

1.   L'eu-LISA prend les mesures nécessaires pour assurer la sécurité de l'ECRIS-TCN, sans préjudice des responsabilités incombant à chaque État membre, en tenant compte des mesures de sécurité prévues au paragraphe 3.

2.   En ce qui concerne le fonctionnement de l'ECRIS-TCN, l'eu-LISA prend les mesures nécessaires à la réalisation des objectifs fixés au paragraphe 3, y compris l'adoption d'un plan de sécurité et d'un plan de continuité des activités et de rétablissement après sinistre, ainsi que pour faire en sorte que les systèmes installés puissent, en cas d'interruption, être rétablis.

3.   Les États membres assurent la sécurité des données avant et pendant leur transmission au point d'accès central national et leur réception depuis ce même point d'accès central. En particulier, chaque État membre:

4.   L'eu-LISA et les États membres coopèrent afin d'assurer une approche cohérente en matière de sécurité des données, sur la base d'un processus de gestion des risques pour la sécurité englobant l'ensemble de l'ECRIS-TCN.

1.   Toute personne ou tout État membre ayant subi un dommage matériel ou moral du fait d'un traitement illicite ou de toute autre action incompatible avec le présent règlement a le droit d'obtenir réparation:

L'État membre qui est responsable du dommage subi ou l'eu-LISA, respectivement, est exonéré(e) partiellement ou totalement de sa responsabilité s'il/si elle prouve que le fait générateur du dommage ne lui est pas imputable.

2.   Si le non-respect, par un État membre, Eurojust, Europol ou le Parquet européen, des obligations qui lui incombent en vertu du présent règlement cause un dommage à l'ECRIS-TCN, cet État membre, Eurojust, Europol, ou le Parquet européen, respectivement, en est tenu responsable, sauf si et dans la mesure où l'eu-LISA ou un autre État membre participant à l'ECRIS-TCN n'a pas pris de mesures raisonnables pour prévenir le dommage ou en atténuer les effets.

3.   Les actions en réparation intentées contre un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par le droit de l'État membre défendeur. Les actions en réparation intentées contre l'eu-LISA, Eurojust, Europol et le Parquet européen pour les dommages visés aux paragraphes 1 et 2 sont régis par leurs actes constitutifs respectifs.

1.   Chaque autorité centrale doit être considérée comme le responsable du traitement des données conformément aux règles applicables de l'Union en matière de protection des données pour ce qui est du traitement des données à caractère personnel effectué par ledit État membre en vertu du présent règlement.

2.   L'eu-LISA est considérée comme le sous-traitant des données conformément au règlement (UE) 2018/1725 pour ce qui est des données à caractère personnel inscrites dans le système central par les États membres.

1.   Les données inscrites dans le système central ne font l'objet d'un traitement qu'aux fins de l'identification des États membres détenant des informations sur les casiers judiciaires de ressortissants de pays tiers.

2.   En dehors du personnel dûment autorisé d'Eurojust, d'Europol et du Parquet européen, qui a accès à l'ECRIS-TCN aux fins du présent règlement, l'accès à l'ECRIS-TCN est exclusivement réservé au personnel dûment autorisé des autorités centrales. L'accès est limité à ce qui est requis pour l'accomplissement des tâches, conformément aux finalités visées au paragraphe 1, et à ce qui est nécessaire et proportionné aux objectifs poursuivis.

1.   Les demandes des ressortissants de pays tiers concernant les droits d'accès aux données à caractère personnel, de rectification et d'effacement de ces données et de la limitation de leur traitement, qui sont prévus par les règles applicables de l'Union en matière de protection des données, peuvent être adressées à l'autorité centrale de tout État membre

2.   Lorsqu'une demande est adressée à un État membre autre que l'État membre de condamnation, l'État membre auquel la demande a été adressée la transmet à l'État membre de condamnation sans retard injustifié et, en tout état de cause, dans les dix jours ouvrables suivant la réception de la demande. Dès réception de la demande, l'État membre de condamnation:

3.   S'il apparaît que les données enregistrées dans l'ECRIS-TCN sont inexactes ou qu'elles y ont été traitées de façon illicite, l'État membre de condamnation rectifie ou efface les données conformément à l'article 9. L'État membre de condamnation ou, le cas échéant, l'État membre auquel la demande a été adressée confirme par écrit et sans retard injustifié à la personne concernée que des mesures ont été prises pour rectifier ou effacer des données la concernant. L'État membre de condamnation notifie également sans retard injustifié les mesures qui ont été prises à tout autre État membre ayant reçu des informations relatives à cette condamnation obtenues à la suite de l'interrogation de l'ECRIS-TCN.

4.   Si l'État membre de condamnation n'estime pas que les données enregistrées dans l'ECRIS-TCN sont inexactes ou qu'elles ont été traitées de façon illicite, il adopte une décision administrative ou judiciaire indiquant par écrit à la personne concernée les raisons pour lesquelles il n'est pas disposé à rectifier ou effacer les données la concernant. Ces cas sont, s'il y a lieu, communiqués à l'autorité de contrôle nationale.

5.   L'État membre qui a adopté la décision n vertu du paragraphe 4 fournit également à la personne concernée des informations expliquant les mesures que cette personne peut prendre si elle n'accepte pas l'explication fournie en vertu du paragraphe 4. Il s'agit notamment d'informations sur les modalités de recours ou de réclamation devant les autorités ou les juridictions compétentes de cet État membre, ainsi que sur toute aide, y compris de la part des autorités de contrôle nationales, disponible conformément au droit national de cet État membre.

6.   Toute demande présentée en vertu du paragraphe 1 comporte toutes les informations nécessaires à l'identification de la personne concernée. Ces informations ne sont utilisées que pour permettre l'exercice des droits visés au paragraphe 1 et sont ensuite immédiatement effacées.

7.   Lorsque le paragraphe 2 s'applique, l'autorité centrale à qui la demande a été adressée conserve une trace écrite de l'introduction de cette demande, de la façon dont la demande a été traitée et à quelle autorité elle a été transmise. Si une autorité de contrôle nationale en fait la demande, l'autorité centrale lui transmet sans retard cette trace. L'autorité centrale et l'autorité de contrôle nationale effacent de telles traces trois ans après leur établissement.

1.   Les autorités centrales coopèrent entre elles en vue de garantir le respect des droits prévus à l'article 25.

2.   Dans chaque État membre, l'autorité de contrôle nationale communique sur demande à la personne concernée des informations sur la manière d'exercer son droit de faire rectifier ou effacer les données la concernant, conformément aux règles applicables de l'Union en matière de protection des données.

3.   Aux fins du présent article, l'autorité de contrôle nationale de l'État membre qui a transmis les données et l'autorité de contrôle nationale de l'État membre auquel la demande a été adressée coopèrent entre elles.

1.   Chaque État membre veille à ce que les autorités de contrôle nationales, désignées conformément aux règles applicables de l'Union en matière de protection des données, contrôlent la licéité du traitement, effectué par l'État membre en question, des données à caractère personnel visées aux articles 5 et 6, y compris de leur transmission à partir de l'ECRIS-TCN et vers celui-ci.

2.   L'autorité de contrôle nationale veille à ce qu'un audit des activités de traitement des données figurant dans les casiers judiciaires et les bases de données dactyloscopiques nationaux en rapport avec l'échange de données entre ces systèmes et l'ECRIS-TCN, répondant aux normes internationales d'audit applicables, soit réalisé tous les trois ans au minimum à compter de la date de mise en service de l'ECRIS-TCN.

3.   Les États membres veillent à ce que leurs autorités de contrôle nationales disposent de ressources suffisantes pour s'acquitter des tâches qui leur sont confiées en vertu du présent règlement.

4.   Chaque État membre communique toutes les informations demandées par ses autorités de contrôle nationales et leur fournit, en particulier, les informations relatives aux activités menées conformément aux articles 12, 13 et 19. Chaque État membre permet à ses autorités de contrôle nationales d'accéder à ses traces en application de l'article 25, paragraphe 7, et à ses registres nationaux en application de l'article 31, paragraphe 6, et, à tout moment, à l'ensemble de ses locaux liés à l'ECRIS-TCN.

1.   Le Contrôleur européen de la protection des données contrôle que les activités de traitement des données à caractère personnel menées par l'eu-LISA qui concernent l'ECRIS-TCN sont effectuées conformément au présent règlement.

2.   Le Contrôleur européen de la protection des données veille à ce qu'un audit des activités de traitement des données à caractère personnel menées par l'eu-LISA, répondant aux normes internationales d'audit applicables, soit réalisé tous les trois ans au minimum. Le rapport de cet audit est communiqué au Parlement européen, au Conseil, à la Commission, à l'eu-LISA et aux autorités de contrôle. L'eu-LISA se voit offrir la possibilité de formuler des observations avant l'adoption du rapport.

3.   L'eu-LISA communique au Contrôleur européen de la protection des données les renseignements qu'il demande et lui donne accès à tous les documents et aux registres visés à l'article 31 et, à tout moment, à l'ensemble de ses locaux.

1.   L'eu-LISA et les autorités compétentes veillent, conformément à leurs responsabilités respectives, à ce que toutes les activités de traitement de données dans l'ECRIS-TCN soient consignées dans un registre conformément au paragraphe 2 aux fins de la vérification de la recevabilité des demandes ainsi que du contrôle de l'intégrité et de la sécurité des données et de la licéité du traitement des données, de même qu'à des fins d'autocontrôle.

2.   Le registre mentionne:

3.   Le registre des opérations de consultation et de transmission des données permet d'établir le motif de telles opérations.

4.   Les registres ne sont utilisés que pour contrôler la licéité du traitement des données et pour garantir l'intégrité et la sécurité de celles-ci. Seuls les registres contenant des données à caractère non personnel peuvent être utilisés aux fins du suivi et de l'évaluation visés à l'article 36. Ces registres sont protégés par des mesures appropriées contre tout accès non autorisé et sont effacés au bout de trois ans s'ils ne sont plus nécessaires à une procédure de contrôle déjà engagée.

5.   Sur demande, l'eu-LISA met, sans retard injustifié, les registres de ses opérations de traitement à la disposition des autorités centrales.

6.   Les autorités de contrôle nationales compétentes chargées de vérifier la recevabilité de la demande et de contrôler la licéité du traitement des données ainsi que l'intégrité et la sécurité des données ont accès aux registres à leur demande aux fins de l'accomplissement des tâches qui leur incombent. Sur demande, les autorités centrales mettent, sans retard injustifié, les registres de leurs opérations de traitement à la disposition des autorités de contrôle nationales compétentes.

1.   Le personnel dûment autorisé de l'eu-LISA, des autorités compétentes et de la Commission n'ont accès aux données traitées dans l'ECRIS-TCN qu'à des fins statistiques et d'établissement de rapports ne permettant aucune identification d'individus.

2.   Aux fins du paragraphe 1, l'eu-LISA crée, met en place et héberge sur ses sites techniques un fichier central contenant les données visées au paragraphe 1 qui, sans permettre l'identification d'individus, permet d'obtenir des rapports et des statistiques personnalisables. L'accès au fichier central est accordé de manière sécurisée, moyennant un contrôle de l'accès et des profils d'utilisateur spécifiques utilisés exclusivement aux fins de l'établissement de rapports et de statistiques.

3.   Les procédures mises en place par l'eu-LISA pour suivre le fonctionnement de l'ECRIS-TCN, visées à l'article 36, ainsi que l'application de référence de l'ECRIS, prévoient la possibilité de produire régulièrement des statistiques à des fins de suivi.

Chaque mois, l'eu-LISA soumet à la Commission des statistiques sur l'enregistrement, le stockage et l'échange d'informations extraites des casiers judiciaires au moyen de l'ECRIS-TCN et de l'application de référence de l'ECRIS. L'eu-LISA veille à ce qu'il ne soit pas possible d'identifier des individus sur la base de ces statistiques. À la demande de la Commission, l'eu-LISA lui communique des statistiques relatives à certains aspects spécifiques ayant trait à la mise en œuvre du présent règlement.

4.   Les États membres communiquent à l'eu-LISA les statistiques dont elle a besoin pour s'acquitter de ses obligations visées au présent article. Ils procurent à la Commission des statistiques sur le nombre de ressortissants de pays tiers condamnés, de même que sur le nombre de condamnations de ressortissants de pays tiers prononcées sur leur territoire.

1.   Les coûts afférents à la création et au fonctionnement du système central, de l'infrastructure de communication visée à l'article 4, paragraphe 1, point d), du logiciel d'interface et de l'application de référence de l'ECRIS sont à la charge du budget général de l'Union.

2.   Les coûts de connexion d'Eurojust, d'Europol et du Parquet européen à l'ECRIS-TCN sont imputés à leurs budgets respectifs.

3.   Les autres coûts sont pris en charge par les États membres, en particulier les coûts afférents à la connexion des casiers judiciaires nationaux existants, des bases de données dactyloscopiques et des autorités centrales à l'ECRIS-TCN, ainsi que les coûts liés à l'hébergement de l'application de référence de l'ECRIS.

1.   Chaque État membre notifie à l'eu-LISA le nom de son ou de ses autorités centrales qui bénéficient d'un accès pour inscrire, rectifier, effacer ou consulter des données ou effectuer des recherches dans celles-ci, ainsi que toute modification à cet égard.

2.   L'eu-LISA fait publier, tant au Journal officiel de l'Union européenne que sur son site internet, une liste des autorités centrales notifiées par les États membres. Lorsque l'eu-LISA reçoit la notification d'une modification de l'autorité centrale d'un État membre, elle met à jour la liste sans retard injustifié.

1.   Dès que la Commission considère que les conditions ci-après sont remplies, elle détermine la date à partir de laquelle les États membres commencent à inscrire les données visées à l'article 5 dans l'ECRIS-TCN:

2.   Lorsque la Commission a déterminé la date de début de l'inscription des données conformément au paragraphe 1, elle la communique aux États membres. Durant une période de deux mois à compter de cette date, les États membres inscrivent les données visées à l'article 5 dans l'ECRIS-TCN, en tenant compte de l'article 41, paragraphe 2.

3.   Au terme de la période visée au paragraphe 2, l'eu-LISA réalise un essai final de l'ECRIS-TCN, en coopération avec les États membres.

4.   Lorsque l'essai visé au paragraphe 3 a été mené à bien avec succès et que l'eu-LISA considère que l'ECRIS-TCN est prêt à être mis en service, elle en informe la Commission. La Commission informe le Parlement européen et le Conseil des résultats de l'essai effectué et arrête la date de mise en service de l'ECRIS-TCN.

5.   La décision de la Commission relative à la date de mise en service de l'ECRIS-TCN visée au paragraphe 4 est publiée au Journal officiel de l'Union européenne.

6.   Les États membres commencent à utiliser l'ECRIS-TCN à partir de la date fixée par la Commission conformément au paragraphe 4.

7.   Lorsqu'elle prend les décisions visées au présent article, la Commission peut prévoir des dates différentes pour l'inscription dans l'ECRIS-TCN des données alphanumériques et des données dactyloscopiques visées à l'article 5, ainsi que pour le début des opérations relatives à ces différentes catégories de données.

1.   L'eu-LISA veille à ce que des procédures soient en place pour suivre le développement de l'ECRIS-TCN par rapport aux objectifs fixés en matière de planification et de coûts et suivre le fonctionnement de l'ECRIS-TCN et de l'application de référence de l'ECRIS par rapport aux objectifs fixés en matière de résultats techniques, de coût-efficacité, de sécurité et de qualité du service.

2.   Aux fins du suivi du fonctionnement de l'ECRIS-TCN et de sa maintenance technique, l'eu-LISA a accès aux informations nécessaires concernant les opérations de traitement de données effectuées dans l'ECRIS-TCN et l'application de référence de l'ECRIS.

3.   Au plus tard le 12 décembre 2019, puis tous les six mois pendant la phase de conception et de développement, l'eu-LISA présente un rapport au Parlement européen et au Conseil sur l'état d'avancement du développement de l'ECRIS-TCN et de l'application de référence de l'ECRIS.

4.   Le rapport visé au paragraphe 3 comprend un aperçu des coûts et de l'état d'avancement du projet, une évaluation des incidences financières ainsi que des informations sur les problèmes techniques et les risques susceptibles d'avoir des retombées sur le coût total de l'ECRIS-TCN à imputer sur le budget général de l'Union conformément à l'article 33.

5.   En cas de retards importants dans le processus de développement, l'eu-LISA informe le Parlement européen et le Conseil dès que possible des raisons de ces retards ainsi que de leurs incidences temporelles et financières.

6.   Une fois achevé le développement de l'ECRIS-TCN et de l'application de référence de l'ECRIS, l'eu-LISA soumet un rapport au Parlement européen et au Conseil expliquant la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et justifiant les écarts éventuels.

7.   En cas de mise à niveau technique de l'ECRIS-TCN susceptible d'entraîner des coûts importants, l'eu-LISA informe le Parlement européen et la Commission.

8.   Deux ans après la mise en service de l'ECRIS-TCN et chaque année par la suite, l'eu-LISA présente à la Commission un rapport sur le fonctionnement technique de l'ECRIS-TCN et de l'application de référence de l'ECRIS, y compris sur leur sécurité, fondé notamment sur les statistiques relatives au fonctionnement et à l'utilisation de l'ECRIS-TCN, ainsi que sur l'échange, par l'intermédiaire de l'application de référence de l'ECRIS, d'informations extraites des casiers judiciaires.

9.   Quatre ans après la mise en service de l'ECRIS-TCN et tous les quatre ans par la suite, la Commission procède à une évaluation globale de l'ECRIS-TCN et de l'application de référence de l'ECRIS. Le rapport d'évaluation globale établi sur cette base comprend une évaluation de l'application du présent règlement et un examen des résultats obtenus par rapport aux objectifs fixés ainsi que de l'incidence sur les droits fondamentaux. Le rapport détermine également si les principes de base du fonctionnement de l'ECRIS-TCN restent valables, apprécie la pertinence de l'utilisation des données biométriques aux fins de l'ECRIS-TCN et la sécurité de l'ECRIS-TCN, et en tire toutes les conséquences en matière de sécurité pour le fonctionnement futur. L'évaluation comprend les éventuelles recommandations nécessaires. La Commission transmet le rapport au Parlement européen, au Conseil, au Contrôleur européen de la protection des données et à l'Agence des droits fondamentaux de l'Union européenne.

10.   En outre, la première évaluation globale visée au paragraphe 9 porte notamment sur:

L'évaluation peut, au besoin, être accompagnée de propositions législatives. Les évaluations globales ultérieures peuvent comprendre une appréciation de l'un ou l'autre de ces aspects ou de la totalité d'entre eux.

11.   Les États membres, Eurojust, Europol et le Parquet européen communiquent à l'eu-LISA et à la Commission les informations nécessaires à l'établissement des rapports visés aux paragraphes 3, 8 et 9, dans le respect des indicateurs quantitatifs prédéfinis par la Commission, l'eu-LISA ou la Commission et l'eu-LISA. Ces informations ne portent pas préjudice aux méthodes de travail et ne comprennent pas d'indications sur les sources, les membres du personnel ou les enquêtes.

12.   S'il y a lieu, les autorités de contrôle communiquent à l'eu-LISA et à la Commission les informations nécessaires à l'établissement des rapports visés au paragraphe 9, dans le respect des indicateurs quantitatifs prédéfinis par la Commission, l'eu-LISA ou la Commission et l'eu-LISA. Ces informations ne portent pas préjudice aux méthodes de travail et ne comprennent pas d'indications sur les sources, les membres du personnel ou les enquêtes.

13.   L'eu-LISA communique à la Commission les informations nécessaires pour réaliser les évaluations globales visées au paragraphe 9.

1.   Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.   Le pouvoir d'adopter des actes délégués visé à l'article 6, paragraphe 2, est conféré à la Commission pour une durée indéterminée à compter du 11 juin 2019.

3.   La délégation de pouvoir visée à l'article 6, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.   Avant l'adoption d'un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l'accord interinstitutionnel du 13 avril 2016«Mieux légiférer».

5.   Aussitôt qu'elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

6.   Un acte délégué adopté en vertu de l'article 6, paragraphe 2, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil.

1.   La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.   Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) no 182/2011 s'applique.

Lorsque le comité n'émet aucun avis, la Commission n'adopte pas le projet d'acte d'exécution et l'article 5, paragraphe 4, troisième alinéa, du règlement (UE) no 182/2011 s'applique.

1.   Les États membres prennent les mesures nécessaires pour se conformer au présent règlement dès que possible afin d'assurer le bon fonctionnement de l'ECRIS-TCN.

2.   Pour les condamnations prononcées avant la date de début de l'inscription des données conformément à l'article 35, paragraphe 1, les autorités centrales créent les fichiers de données individuels dans le système central comme suit:

Ce formulaire, disponible sur le site www.eurojust.europa.eu dans les 24 langues officielles des institutions de l’Union, est à adresser dans l’une de ces langues à ECRIS-TCN@eurojust.europa.eu

État ou organisation internationale à l’origine de la demande:

Nom de l’État ou de l’organisation internationale:

Autorité soumettant la demande:

Représentée par (nom de la personne):

Fonctions:

Adresse:

Numéro de téléphone:

Adresse électronique:

Procédure pénale pour laquelle les informations sont demandées:

Numéro de référence interne:

Autorité compétente:

Type d’infractions faisant l’objet d’une enquête (mentionner l’article ou les articles applicables du code pénal):

Autres informations pertinentes (par exemple, urgence de la demande):

Données d’identification de la personne ayant la nationalité d’un pays tiers au sujet de laquelle des informations relatives à l’État membre de condamnation sont demandées:

NB: donner le plus grand nombre possible d’informations disponibles.

Nom (nom de famille):

Prénom(s):

Date de naissance:

Lieu de naissance (ville et pays):

Nationalité(s):

Genre:

Nom(s) précédent(s), le cas échéant:

Noms des parents:

Numéro d’identité:

Type et numéro du ou des documents d’identité de la personne concernée:

Autorité ayant délivré le(s) document(s):

Pseudonymes ou noms d’emprunt:

Si les données dactyloscopiques sont disponibles, veuillez les fournir.

En cas de personnes multiples, veuillez les indiquer séparément.

Un panneau déroulant permettrait l’insertion de sujets supplémentaires

Lieu

Date

Signature et cachet (électroniques):

1.   Le présent règlement, conjointement avec le règlement (UE) 2019/818 du Parlement européen et du Conseil (34), crée un cadre visant à garantir l'interopérabilité entre le système d'entrée/de sortie (EES), le système d'information sur les visas (VIS), le système européen d'information et d'autorisation concernant les voyages (ETIAS), Eurodac, le système d'information Schengen (SIS) et le système européen d'information sur les casiers judiciaires pour les ressortissants de pays tiers (ECRIS-TCN).

2.   Le cadre comprend les éléments d'interopérabilité suivants:

3.   Le présent règlement établit également des dispositions concernant les exigences en matière de qualité des données, le format universel pour les messages (UMF), le répertoire central des rapports et statistiques (CRRS), et les responsabilités des États membres et de l'Agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (eu-LISA) à l'égard de la conception, du développement et du fonctionnement des éléments d'interopérabilité.

4.   Le présent règlement adapte également les procédures et les conditions d'accès des autorités désignées et de l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) à l'EES, au VIS, à ETIAS et à Eurodac aux fins de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière.

5.   Le présent règlement établit également un cadre permettant de vérifier l'identité des personnes et d'identifier des personnes.

1.   En garantissant l'interopérabilité, le présent règlement poursuit les objectifs suivants:

2.   Les objectifs visés au paragraphe 1 sont atteints:

1.   Le présent règlement s'applique à l'EES, au VIS, à ETIAS et au SIS.

2.   Le présent règlement s'applique aux personnes à l'égard desquelles des données à caractère personnel peuvent être traitées dans les systèmes d'information de l'UE visés au paragraphe 1 du présent article et dont les données sont collectées aux fins définies aux articles 1er et 2 du règlement (CE) no 767/2008, à l'article 1er du règlement (UE) 2017/2226, aux articles 1er et 4 du règlement (UE) 2018/1240, à l'article 1er du règlement (UE) 2018/1860 et à l'article 1er du règlement (UE) 2018/1861.

1.   Un portail de recherche européen (ESP) est créé afin de faciliter l'accès rapide, continu, efficace, systématique et contrôlé des autorités des États membres et des agences de l'Union aux systèmes d'information de l'UE, aux données d'Europol et aux bases de données d'Interpol pour l'accomplissement de leurs tâches et conformément à leurs droits d'accès ainsi qu'aux objectifs et finalités de l'EES, du VIS, d'ETIAS, d'Eurodac, du SIS et de l'ECRIS-TCN.

2.   L'ESP se compose des éléments suivants:

3.   L'eu-LISA développe l'ESP et en assure la gestion technique.

1.   L'utilisation de l'ESP est réservée aux autorités des États membres et aux agences de l'Union ayant accès à au moins l'un des systèmes d'information de l'UE conformément aux instruments juridiques régissant ces systèmes d'information de l'UE, au CIR et au MID conformément au présent règlement, aux données d'Europol conformément au règlement (UE) 2016/794, ou aux bases de données d'Interpol conformément au droit de l'Union ou au droit national régissant cet accès.

Ces autorités des États membres et ces agences de l'Union peuvent utiliser l'ESP et les données qu'il fournit uniquement pour les objectifs et finalités prévus dans les instruments juridiques régissant ces systèmes d'information de l'UE, dans le règlement (UE) 2016/794 et dans le présent règlement.

2.   Les autorités des États membres et les agences de l'Union visées au paragraphe 1 utilisent l'ESP pour effectuer des recherches dans les données relatives à des personnes ou à leurs documents de voyage dans les systèmes centraux de l'EES, du VIS et d'ETIAS conformément aux droits d'accès que leur confèrent les instruments juridiques régissant ces systèmes d'information de l'UE et le droit national. Elles utilisent aussi l'ESP pour interroger le CIR conformément aux droits d'accès dont elles bénéficient dans le cadre du présent règlement aux fins visées aux articles 20, 21 et 22.

3.   Les autorités des États membres visées au paragraphe 1 peuvent utiliser l'ESP pour effectuer des recherches dans les données relatives à des personnes ou à leurs documents de voyage dans le SIS central visé dans les règlements (UE) 2018/1860 et (UE) 2018/1861.

4.   Lorsque le droit de l'Union le prévoit, les agences de l'Union visées au paragraphe 1 utilisent l'ESP pour effectuer des recherches dans les données relatives à des personnes ou à leurs documents de voyage dans le SIS central.

5.   Les autorités des États membres et les agences de l'Union visées au paragraphe 1 peuvent utiliser l'ESP pour effectuer des recherches dans les données relatives à des documents de voyage dans les bases de données d'Interpol lorsque le droit de l'Union et le droit national le prévoient et conformément aux droits d'accès que leur confèrent le droit de l'Union et le droit national.

1.   Afin de permettre l'utilisation de l'ESP, l'eu-LISA crée, en collaboration avec les États membres, un profil basé sur chaque catégorie d'utilisateurs de l'ESP et sur les finalités des requêtes, conformément aux détails techniques et aux droits d'accès visés au paragraphe 2. Chaque profil comprend, conformément au droit de l'Union et au droit national, les informations suivantes:

2.   La Commission adopte des actes d'exécution afin de préciser les détails techniques des profils visés au paragraphe 1 conformément aux droits d'accès des utilisateurs de l'ESP prévus dans les instruments juridiques régissant les systèmes d'information de l'UE et dans le droit national. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 74, paragraphe 2.

3.   Les profils visés au paragraphe 1 sont réexaminés régulièrement, au moins une fois par an, par l'eu-LISA, en collaboration avec les États membres, et, si nécessaire, mis à jour.

1.   Les utilisateurs de l'ESP lancent une requête en soumettant des données alphanumériques ou biométriques à l'ESP. Lorsqu'une requête a été lancée, l'ESP interroge l'EES, ETIAS, le VIS, le SIS, Eurodac, l'ECRIS-TCN et le CIR ainsi que les données d'Europol et les bases de données d'Interpol, simultanément, à l'aide des données envoyées par l'utilisateur et conformément au profil d'utilisateur.

2.   Les catégories de données utilisés pour lancer une requête par l'intermédiaire de l'ESP correspondent aux catégories de données relatives à des personnes ou à des documents de voyage qui peuvent être utilisés pour interroger les différents systèmes d'information de l'UE, les données d'Europol et les bases de données d'Interpol conformément aux instruments juridiques qui les régissent.

3.   L'eu-LISA met en œuvre pour l'ESP, en collaboration avec les États membres, un document de contrôle des interfaces basé sur l'UMF visé à l'article 38.

4.   Lorsqu'une requête est lancée par un utilisateur de l'ESP, l'EES, ETIAS, le VIS, le SIS, Eurodac, l'ECRIS-TCN, le CIR et le MID, ainsi que les données d'Europol et les bases de données d'Interpol, fournissent en réponse à la requête les données qu'ils détiennent.

Sans préjudice de l'article 20, la réponse fournie par l'ESP indique à quel système d'information de l'UE ou à quelle base de données les données appartiennent.

L'ESP ne fournit aucune information concernant des données contenues dans des systèmes d'information de l'UE, les données d'Europol et les bases de données d'Interpol auxquels l'utilisateur n'a pas accès en vertu du droit de l'Union ou du droit national applicable.

5.   Toute interrogation des bases de données d'Interpol lancée via l'ESP est effectuée de telle manière qu'aucune information n'est révélée au propriétaire du signalement Interpol.

6.   L'ESP fournit des réponses à l'utilisateur dès que des données sont disponibles dans un des systèmes d'information de l'UE, dans les données d'Europol ou dans les bases de données d'Interpol. Ces réponses comportent uniquement les données auxquelles l'utilisateur a accès en vertu du droit de l'Union ou du droit national.

7.   La Commission adopte un acte d'exécution afin de préciser la procédure technique permettant à l'ESP d'interroger les systèmes d'information de l'UE, les données d'Europol et les bases de données d'Interpol et déterminer le format des réponses de l'ESP. Cet acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 74, paragraphe 2.

1.   Sans préjudice de l'article 46 du règlement (UE) 2017/2226, de l'article 34 du règlement (CE) no 767/2008, de l'article 69 du règlement (UE) 2018/1240 et des articles 12 et 18 du règlement (UE) 2018/1861, l'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans l'ESP. Ces registres contiennent les informations suivantes:

2.   Chaque État membre tient des registres des requêtes introduites par ses autorités et le personnel de ces autorités dûment autorisé à utiliser l'ESP. Chaque agence de l'Union tient des registres des requêtes introduites par son personnel dûment autorisé.

3.   Les registres visés aux paragraphes 1 et 2 ne peuvent être utilisés que pour contrôler la protection des données, y compris vérifier la recevabilité d'une requête et la licéité du traitement des données, et pour garantir la sécurité et l'intégrité des données. Ces registres sont protégés par des mesures appropriées empêchant tout accès non autorisé et sont effacés un an après leur création. Cependant, s'ils sont nécessaires à des procédures de contrôle qui ont déjà été engagées, ils sont effacés dès qu'ils ne sont plus nécessaires aux procédures de contrôle.

1.   Lorsqu'il est techniquement impossible d'utiliser l'ESP pour interroger un ou plusieurs des systèmes d'information de l'UE ou le CIR, en raison d'une défaillance de l'ESP, l'eu-LISA le notifie, de manière automatisée, aux utilisateurs de l'ESP.

2.   Lorsqu'il est techniquement impossible d'utiliser l'ESP pour interroger un ou plusieurs des systèmes d'information de l'UE ou le CIR, en raison d'une défaillance de l'infrastructure nationale d'un État membre, cet État membre le notifie, de manière automatisée, à l'eu-LISA et à la Commission.

3.   Dans les cas visés au paragraphe 1 ou 2 du présent article, et jusqu'à ce qu'il soit remédié à la défaillance technique, l'obligation visée à l'article 7, paragraphes 2 et 4, ne s'applique pas et les États membres ont accès aux systèmes d'information de l'UE ou au CIR directement lorsque le droit de l'Union ou le droit national l'exige.

4.   Lorsqu'il est techniquement impossible d'utiliser l'ESP pour interroger un ou plusieurs des systèmes d'information de l'UE ou le CIR, en raison d'une défaillance de l'infrastructure d'une agence de l'Union, ladite agence le notifie, de manière automatisée, à l'eu-LISA et à la Commission.

1.   Un service partagé d'établissement de correspondances biométriques (BMS partagé) stockant des modèles biométriques obtenus à partir des données biométriques visées à l'article 13 qui sont stockées dans le CIR et le SIS et permettant d'effectuer des recherches à l'aide de données biométriques dans plusieurs systèmes d'information de l'UE est mis en place afin de soutenir le CIR et le MID ainsi que les objectifs de l'EES, du VIS, d'Eurodac, du SIS et de l'ECRIS-TCN.

2.   Le BMS partagé se compose des éléments suivants:

3.   L'eu-LISA développe le BMS partagé et en assure la gestion technique.

1.   Le BMS partagé stocke les modèles biométriques qu'il obtient à partir des données biométriques suivantes:

Les modèles biométriques sont stockés dans le BMS partagé sous une forme séparée logiquement en fonction du système d'information de l'UE d'où les données proviennent.

2.   Pour chaque ensemble de données visé au paragraphe 1, le BMS partagé inclut, dans chaque modèle biométrique, une référence aux systèmes d'information de l'UE dans lesquels les données biométriques correspondantes sont stockées et une référence aux enregistrements concrets dans ces systèmes d'information de l'UE.

3.   Les modèles biométriques sont introduits dans le BMS partagé uniquement après que le BMS partagé a effectué un contrôle automatisé de la qualité des données biométriques ajoutées à l'un des systèmes d'information de l'UE, pour s'assurer du respect d'une norme minimale de qualité des données.

4.   Le stockage des données visées au paragraphe 1 respecte les normes de qualité visées à l'article 37, paragraphe 2.

5.   La Commission définit, par la voie d'un acte d'exécution, les exigences relatives aux performances du BMS partagé et les modalités pratiques pour le suivi des performances du BMS partagé afin de veiller à ce que l'efficacité des recherches biométriques soit adaptée à la rapidité requise par des procédures telles que les vérifications aux frontières et les identifications. Cet acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 74, paragraphe 2.

1.   Sans préjudice de l'article 46 du règlement (UE) 2017/2226, de l'article 34 du règlement (CE) no 767/2008 et des articles 12 et 18 du règlement (UE) 2018/1861, l'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le BMS partagé. Ces registres contiennent les informations suivantes:

2.   Chaque État membre tient des registres des requêtes introduites par ses autorités et le personnel de ces autorités dûment autorisé à utiliser le BMS partagé. Chaque agence de l'Union tient des registres des requêtes introduites par son personnel dûment autorisé.

3.   Les registres visés aux paragraphes 1 et 2 ne peuvent être utilisés que pour contrôler la protection des données, y compris vérifier la recevabilité d'une requête et la licéité du traitement des données, et pour garantir la sécurité et l'intégrité des données. Ces registres sont protégés par des mesures appropriées empêchant tout accès non autorisé et sont effacés un an après leur création. Cependant, s'ils sont nécessaires à des procédures de contrôle qui ont déjà été engagées, ils sont effacés dès qu'ils ne sont plus nécessaires aux procédures de contrôle.

1.   Un répertoire commun de données d'identité (CIR), créant un dossier individuel pour chaque personne enregistrée dans l'EES, le VIS, ETIAS, Eurodac ou l' ECRIS-TCN contenant les données visées à l'article 18, est établi afin de faciliter l'identification correcte des personnes enregistrées dans l'EES, le VIS, ETIAS, Eurodac et l'ECRIS-TCN et d'aider à cette identification conformément à l'article 20, de soutenir le fonctionnement du MID conformément à l'article 21 et de faciliter et de rationaliser l'accès des autorités désignées et d'Europol à l'EES, au VIS, à ETIAS et à Eurodac, lorsque cela est nécessaire à des fins de prévention ou de détection d'infractions terroristes ou d'autres infractions pénales graves ou d'enquêtes en la matière conformément à l'article 22.

2.   Le CIR se compose des éléments suivants:

3.   L'eu-LISA développe le CIR et en assure la gestion technique.

4.   Lorsqu'il est techniquement impossible, en raison d'une défaillance du CIR, d'interroger le CIR aux fins de l'identification d'une personne en vertu de l'article 20, de la détection d'identités multiples en vertu de l'article 21 ou à des fins de prévention ou de détection d'infractions terroristes ou d'autres infractions pénales graves, ou d'enquêtes en la matière, en vertu de l'article 22, l'eu-LISA le notifie aux utilisateurs du CIR de manière automatisée.

5.   L'eu-LISA met en œuvre pour le CIR, en collaboration avec les États membres, un document de contrôle des interfaces basé sur l'UMF visé à l'article 38.

1.   Le CIR stocke les données suivantes, séparées logiquement en fonction du système d'information d'où elles proviennent:

2.   Pour chaque ensemble de données visé au paragraphe 1, le CIR comporte une référence aux systèmes d'information de l'UE auxquels appartiennent les données.

3.   Les autorités qui disposent d'un accès au CIR y accèdent conformément à leurs droits d'accès prévus dans les instruments juridiques qui régissent les systèmes d'information de l'UE, au droit national et à leurs droits d'accès prévus au présent règlement pour les fins visées aux articles 20, 21 et 22.

4.   Pour chaque ensemble de données visé au paragraphe 1, le CIR comporte une référence à l'enregistrement effectivement réalisé dans les systèmes d'information de l'UE auxquels appartiennent les données.

5.   Le stockage des données visées au paragraphe 1 respecte les normes de qualité visées à l'article 37, paragraphe 2.

1.   Lorsque des données sont ajoutées, modifiées ou supprimées dans l'EES, le VIS et ETIAS, les données visées à l'article 18 qui sont stockées dans le dossier individuel du CIR font l'objet, de manière automatisée, d'un ajout, d'une modification ou d'une suppression en conséquence.

2.   Lorsqu'un lien blanc ou rouge est créé dans le MID conformément à l'article 32 ou 33 entre les données de deux ou plusieurs des systèmes d'information de l'UE alimentant le CIR, au lieu de créer un nouveau dossier individuel, le CIR ajoute les nouvelles données au dossier individuel des données liées.

1.   Les interrogations du CIR sont effectuées par un service de police conformément aux paragraphes 2 et 5 uniquement dans les circonstances suivantes:

Ces interrogations ne peuvent viser des mineurs de moins de 12 ans, à moins que ce ne soit dans l'intérêt supérieur de l'enfant.

2.   Lorsqu'une des circonstances énumérées au paragraphe 1 se produit et qu'un service de police y a été habilité par les mesures législatives nationales visées au paragraphe 5, elle peut, uniquement aux fins de l'identification d'une personne, interroger le CIR à l'aide des données biométriques de cette personne relevées en direct lors d'un contrôle d'identité, à condition que la procédure ait été initiée en présence de ladite personne.

3.   Lorsque le résultat de l'interrogation indique que des données concernant cette personne sont stockées dans le CIR, le service de police a accès en consultation aux données visées à l'article 18, paragraphe 1.

Lorsque les données biométriques de la personne ne peuvent pas être utilisées ou lorsque la requête introduite avec ces données échoue, cette dernière est introduite à l'aide des données d'identité de cette personne, combinées aux données du document de voyage, ou à l'aide des données d'identité fournies par cette personne.

4.   Lorsqu'un service de police y a été habilité par des mesures législatives nationales visées au paragraphe 6, il peut, en cas de catastrophe naturelle, d'accident ou d'attaque terroriste, et uniquement aux fins d'identification de personnes inconnues qui ne sont pas en mesure de s'identifier elles-mêmes ou de restes humains non identifiés, interroger le CIR à l'aide des données biométriques de ces personnes.

5.   Les États membres qui souhaitent faire usage de la possibilité prévue au paragraphe 2 adoptent des mesures législatives nationales. Ce faisant, les États membres tiennent compte de la nécessité d'éviter toute discrimination à l'encontre de ressortissants de pays tiers. Ces mesures législatives indiquent les finalités précises de l'identification, parmi les finalités visées à l'article 2, paragraphe 1, points b) et c). Elles désignent les services de police compétents et fixent les procédures, les conditions et les critères relatifs à ces contrôles.

6.   Les États membres qui souhaitent faire usage de la possibilité prévue au paragraphe 4 adoptent des mesures législatives nationales fixant les procédures, les conditions et les critères.

1.   Lorsque le résultat d'une interrogation du CIR donne lieu à un lien jaune conformément à l'article 28, paragraphe 4, l'autorité chargée de la vérification manuelle des différentes identités conformément à l'article 29 a accès, aux seules fins de cette vérification, aux données visées à l'article 18, paragraphes 1 et 2, stockées dans le CIR reliées par un lien jaune.

2.   Lorsque le résultat d'une interrogation du CIR donne lieu à un lien rouge conformément à l'article 32, les autorités visées à l'article 26, paragraphe 2, ont accès, aux seules fins de lutter contre la fraude à l'identité, aux données visées à l'article 18, paragraphes 1 et 2, stockées dans le CIR reliées par un lien rouge.

1.   Dans des cas particuliers, lorsqu'il existe des motifs raisonnables de croire que la consultation des systèmes d'information de l'UE contribuera à la prévention ou à la détection des infractions terroristes ou d'autres infractions pénales graves, ou aux enquêtes en la matière, notamment lorsqu'il y a lieu de penser que la personne soupçonnée d'avoir commis une infraction terroriste ou d'autres infractions pénales graves, ou l'auteur ou la victime de telles infractions est une personne dont les données sont stockées dans l'EES, le VIS ou ETIAS, les autorités désignées et Europol peuvent consulter le CIR pour savoir si des données sur une personne en particulier figurent dans l'EES, le VIS ou ETIAS.

2.   Lorsque, en réponse à une requête, le CIR indique que des données sur cette personne figurent dans l'EES, le VIS ou ETIAS, le CIR fournit aux autorités désignées et à Europol une réponse sous la forme d'une référence, telle que visée à l'article 18, paragraphe 2, indiquant le ou les systèmes d'information de l'UE qui contiennent des données correspondantes. Le CIR fournit une réponse selon des modalités qui ne compromettent pas la sécurité des données.

La réponse indiquant que des données concernant cette personne figurent dans l'un des systèmes d'information de l'UE visés au paragraphe 1 n'est utilisée qu'aux fins de l'introduction d'une demande d'accès complet sous réserve des conditions et des procédures fixées dans les différents instruments juridiques régissant l'accès en question.

En cas d'une ou plusieurs correspondances, l'autorité désignée ou Europol demande un accès complet à au moins un des systèmes d'information avec lesquels une correspondance a été établie.

Si, à titre exceptionnel, cet accès complet n'est pas demandé, la justification de cette absence de demande est enregistrée par les autorités désignées de manière à pouvoir être reliée au dossier national. Europol enregistre la justification dans le dossier concerné.

3.   L'accès complet aux données figurant dans l'EES, le VIS ou ETIAS à des fins de prévention ou de détection des infractions terroristes ou des infractions pénales graves, ou d'enquêtes en la matière, reste soumis aux conditions et procédures fixées dans les instruments juridiques respectifs régissant cet accès.

1.   Les données visées à l'article 18, paragraphes 1, 2 et 4, sont supprimées du CIR de manière automatisée conformément aux dispositions relatives à la conservation des données des règlements (UE) 2017/2226, (CE) no 767/2008 et (UE) 2018/1240 respectivement.

2.   Le dossier individuel n'est stocké dans le CIR qu'aussi longtemps que les données correspondantes sont stockées dans au moins un des systèmes d'information de l'UE dont les données figurent dans le CIR. La création d'un lien n'a aucune incidence sur la période de conservation de chaque élément des données liées.

1.   Sans préjudice de l'article 46 du règlement (UE) 2017/2226, de l'article 34 du règlement (CE) no 767/2008 et de l'article 69 du règlement (UE) 2018/1240, l'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le CIR conformément aux paragraphes 2, 3 et 4 du présent article.

2.   L'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le CIR en vertu de l'article 20. Ces registres contiennent les informations suivantes:

3.   L'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le CIR en vertu de l'article 21. Ces registres contiennent les informations suivantes:

4.   L'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le CIR en vertu de l'article 22. Ces registres contiennent les informations suivantes:

L'autorité de contrôle compétente, conformément à l'article 41 de la directive (UE) 2016/680, ou le Contrôleur européen de la protection des données, conformément à l'article 43 du règlement (UE) 2016/794, vérifient régulièrement les registres de ces accès, à des intervalles ne dépassant pas six mois, afin de vérifier si les procédures et conditions prévues à l'article 22, paragraphes 1 et 2 du présent règlement sont respectées.

5.   Chaque État membre tient des registres des requêtes introduites en vertu des articles 20, 21 et 22 par ses autorités et le personnel de ces autorités dûment autorisé à utiliser le CIR. Chaque agence de l'Union tient des registres des requêtes introduites par son personnel dûment autorisé en vertu des articles 21 et 22.

En outre, pour tout accès au CIR accordé en vertu de l'article 22, chaque État membre tient les registres suivants:

6.   Conformément au règlement (UE) 2016/794, pour tout accès au CIR accordé en vertu de l'article 22 du présent règlement, Europol tient des registres de l'identifiant unique de l'agent qui a introduit la requête et de celui de l'agent qui a ordonné la requête.

7.   Les registres visés aux paragraphes 2 à 6 ne peuvent être utilisés que pour contrôler la protection des données, y compris vérifier l'admissibilité d'une requête et la licéité du traitement des données, et pour garantir la sécurité et l'intégrité des données. Ces registres sont protégés par des mesures appropriées empêchant tout accès non autorisé et sont effacés un an après leur création. Cependant, s'ils sont nécessaires à des procédures de contrôle qui sont déjà engagées, ils sont effacés dès qu'ils ne sont plus nécessaires aux procédures de contrôle.

8.   L'eu-LISA conserve les registres relatifs à l'historique des données dans les dossiers individuels. L'eu-LISA efface ces registres, de manière automatisée, une fois les données effacées.

1.   Un détecteur d'identités multiples (MID) qui crée et stocke les dossiers de confirmation d'identité visés à l'article 34, contenant des liens entre les données des systèmes d'information de l'UE figurant dans le CIR et dans le SIS et permettant la détection des identités multiples, avec le double objectif de faciliter les contrôles d'identité et de lutter contre la fraude à l'identité, est établi afin de soutenir le fonctionnement du CIR et les objectifs de l'EES, du VIS, d'ETIAS, d'Eurodac, du SIS et de l'ECRIS-TCN.

2.   Le MID se compose des éléments suivants:

3.   L'eu-LISA développe le MID et en assure la gestion technique.

1.   Aux fins de la vérification manuelle des différentes identités visée à l'article 29, l'accès aux données visées à l'article 34 stockées dans le MID est accordé:

2.   Les autorités des États membres et les agences de l'Union ayant accès à au moins un système d'information de l'UE alimentant le CIR ou au SIS ont accès aux données visées à l'article 34, points a) et b), en ce qui concerne les liens rouges visés à l'article 32.

3.   Les autorités des États membres et les agences de l'Union ont accès aux liens blancs visés à l'article 33 lorsqu'elles ont accès aux deux systèmes d'information de l'UE contenant des données entre lesquelles le lien blanc a été créé.

4.   Les autorités des États membres et les agences de l'Union ont accès aux liens verts visés à l'article 31 lorsqu'elles ont accès aux deux systèmes d'information de l'UE contenant des données entre lesquelles le lien vert a été créé et qu'une interrogation de ces systèmes d'information a révélé une correspondance avec les deux séries de données liées.

1.   Une détection d'identités multiples dans le CIR et le SIS est lancée lorsque:

2.   Lorsque les données figurant dans un système d'information de l'UE visé au paragraphe 1 comportent des données biométriques, le CIR et le SIS central utilisent le BMS partagé pour détecter les identités multiples. Le BMS partagé compare les modèles biométriques obtenus à partir de toute nouvelle donnée biométrique avec les modèles biométriques figurant déjà dans le BMS partagé afin de vérifier si des données appartenant à la même personne sont déjà stockées dans le CIR ou dans le SIS central.

3.   Outre le processus visé au paragraphe 2, le CIR et le SIS central utilisent l'ESP pour effectuer des recherches dans les données stockées, respectivement, dans le SIS central et le CIR, à l'aide des données suivantes:

4.   Outre le processus visé aux paragraphes 2 et 3, le CIR et le SIS central utilisent l'ESP pour effectuer des recherches dans les données stockées, respectivement, dans le SIS central et le CIR, à l'aide des données du document de voyage.

5.   La détection d'identités multiples n'est lancée que pour comparer les données disponibles dans un système d'information de l'UE à celles qui sont disponibles dans d'autres systèmes d'information de l'UE.

1.   Lorsque la recherche visée à l'article 27, paragraphes 2, 3 et 4, ne génère aucune correspondance, les procédures visées à l'article 27, paragraphe 1, se poursuivent conformément aux instruments juridiques qui les régissent.

2.   Lorsque la recherche visée à l'article 27, paragraphes 2, 3 et 4, génère une ou plusieurs correspondances, le CIR et, s'il y a lieu, le SIS créent un lien entre les données utilisées pour lancer la recherche et les données ayant déclenché la correspondance.

Lorsque plusieurs correspondances sont générées, un lien est créé entre toutes les données ayant déclenché la correspondance. Lorsque les données étaient déjà liées, le lien existant est étendu aux données utilisées pour lancer la recherche.

3.   Lorsque la recherche visée à l'article 27, paragraphes 2, 3 et 4, génère une ou plusieurs correspondances et que les données d'identité des dossiers liés sont les mêmes ou similaires, un lien blanc est créé conformément à l'article 33.

4.   Lorsque la recherche visée à l'article 27, paragraphes 2, 3 et 4, génère une ou plusieurs correspondances et que les données d'identité des dossiers liés ne peuvent pas être considérées comme similaires, un lien jaune est créé conformément à l'article 30 et la procédure visée à l'article 29 s'applique.

5.   La Commission adopte des actes délégués conformément à l'article 73 fixant les procédures permettant de déterminer les cas dans lesquels les données d'identité peuvent être considérées comme étant les mêmes ou similaires.

6.   Les liens sont stockés dans le dossier de confirmation d'identité visé à l'article 34.

7.   La Commission fixe, par voie d'actes d'exécution, en coopération avec l'eu-LISA, les règles techniques permettant de créer des liens entre les données de différents systèmes d'information de l'UE. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 74, paragraphe 2.

1.   Sans préjudice du paragraphe 2, l'autorité chargée de la vérification manuelle des différentes identités est:

Le MID indique l'autorité chargée de la vérification manuelle des différentes identités dans le dossier de confirmation d'identité.

2.   L'autorité chargée de la vérification manuelle des différentes identités dans le dossier de confirmation d'identité est le bureau SIRENE de l'État membre qui a créé le signalement lorsqu'un lien est créé vers les données contenues dans un signalement concernant:

3.   Sans préjudice du paragraphe 4 du présent article, l'autorité chargée de la vérification manuelle des différentes identités a accès aux données liées figurant dans le dossier de confirmation d'identité pertinent et aux données d'identité liées figurant dans le CIR et, s'il y a lieu, dans le SIS. Elle évalue sans retard les différentes identités. Une fois cette évaluation réalisée, elle met à jour le lien conformément aux articles 31, 32 et 33, et l'ajoute sans retard au dossier de confirmation d'identité.

4.   Lorsque l'autorité chargée de la vérification manuelle des différentes identités dans le dossier de confirmation d'identité est l'autorité compétente désignée conformément à l'article 9, paragraphe 2, du règlement (UE) 2017/2226 qui crée ou met à jour un dossier individuel dans l'EES conformément à l'article 14 dudit règlement, et en cas de création d'un lien jaune, cette autorité effectue des vérifications supplémentaires. Cette autorité a, à cette seule fin, accès aux données connexes figurant dans le dossier de confirmation d'identité pertinent. Elle évalue les différentes identités, met à jour le lien conformément aux articles 31, 32 et 33 du présent règlement, et l'ajoute sans retard au dossier de confirmation d'identité.

Cette vérification manuelle des différentes identités s'effectue en présence de la personne concernée, à qui est donnée la possibilité d'expliquer les circonstances à l'autorité responsable, laquelle tient compte de ces explications.

Lorsque la vérification manuelle des différentes identités s'effectue à la frontière, elle a lieu dans un délai de douze heures à compter de la création d'un lien jaune en vertu de l'article 28, paragraphe 4, dans la mesure du possible.

5.   En cas de création de plusieurs liens, l'autorité chargée de la vérification manuelle des différentes identités évalue chaque lien séparément.

6.   Lorsque des données générant une correspondance étaient déjà liées, l'autorité chargée de la vérification manuelle des différentes identités tient compte des liens existants lorsqu'elle envisage d'en créer de nouveaux.

1.   Lorsque la vérification manuelle des différentes identités n'a pas encore eu lieu, un lien entre des données provenant d'au moins deux systèmes d'information de l'UE est classé comme jaune dans les cas suivants:

2.   Lorsqu'un lien est classé comme jaune conformément au paragraphe 1, la procédure prévue à l'article 29 s'applique.

1.   Un lien entre des données provenant d'au moins deux systèmes d'information de l'UE est classé comme vert lorsque:

2.   Lorsque le CIR ou le SIS sont interrogés et qu'il existe un lien vert entre des données figurant dans au moins deux systèmes d'information de l'UE, le MID indique que les données d'identité des données liées ne correspondent pas à la même personne.

3.   Si une autorité d'un État membre dispose d'éléments de preuve suggérant qu'un lien vert a été enregistré de manière incorrecte dans le MID ou qu'un lien vert n'est pas à jour, ou que des données ont été traitées dans le MID ou les systèmes d'information de l'UE en violation du présent règlement, elle vérifie les données pertinentes stockées dans le CIR et le SIS et, si nécessaire, rectifie ou efface sans retard le lien du MID. L'autorité de l'État membre en question informe sans retard l'État membre responsable de la vérification manuelle des différentes identités.

1.   Un lien entre des données provenant d'au moins deux systèmes d'information de l'UE est classé comme rouge dans les cas suivants:

2.   Lorsque le CIR ou le SIS sont interrogés et qu'il existe un lien rouge entre des données figurant dans au moins deux systèmes d'information de l'UE, le MID indique les données visées à l'article 34. Les mesures à prendre pour donner suite à un lien rouge sont exécutées conformément au droit de l'Union et au droit national, toute conséquence juridique pour la personne concernée ne reposant que sur les données pertinentes concernant cette personne. Aucune conséquence juridique pour la personne concernée ne peut découler de la seule existence d'un lien rouge.

3.   Lorsqu'un lien rouge est créé entre des données dans l'EES, le VIS, ETIAS, Eurodac ou l'ECRIS-TCN, le dossier individuel stocké dans le CIR est mis à jour conformément à l'article 19, paragraphe 2.

4.   Sans préjudice des dispositions relatives au traitement des signalements dans le SIS prévues dans les règlements (UE) 2018/1860, (UE) 2018/1861 et (UE) 2018/1862, et sans préjudice des restrictions nécessaires pour protéger la sécurité et l'ordre public, prévenir la criminalité et garantir qu'aucune enquête nationale ne sera compromise, lorsqu'un lien rouge est créé, l'autorité chargée de la vérification manuelle des différentes identités informe la personne concernée de la présence de données d'identités multiples illicites et lui fournit le numéro d'identification unique visé à l'article 34, point c), du présent règlement, la référence de l'autorité chargée de la vérification manuelle des différentes identités visée à l'article 34, point d), du présent règlement et l'adresse internet du portail en ligne établi conformément à l'article 49 du présent règlement.

5.   Les informations visées au paragraphe 4 sont fournies par écrit au moyen d'un formulaire type par l'autorité chargée de la vérification manuelle des différentes identités. La Commission détermine le contenu et la présentation de ce formulaire par la voie d'actes d'exécution. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 74, paragraphe 2.

6.   Lorsqu'un lien rouge est créé, le MID le notifie, de manière automatisée, aux autorités responsables des données liées.

7.   Si une autorité d'un État membre ou une agence de l'Union ayant accès au CIR ou au SIS détient une preuve suggérant qu'un lien rouge a été enregistré de manière incorrecte dans le MID ou que les données ont été traitées dans le MID, le CIR ou le SIS en violation du présent règlement, cette autorité ou cette agence vérifie les données pertinentes stockées dans le CIR et le SIS et:

Si un bureau SIRENE est contacté en vertu du premier alinéa, point a), il vérifie les preuves fournies par l'autorité de l'État membre ou l'agence de l'Union et, s'il y a lieu, rectifie ou efface immédiatement le lien du MID.

L'autorité de l'État membre qui a obtenu la preuve informe sans retard l'État membre responsable de la vérification manuelle des différentes identités de toute rectification ou suppression pertinente d'un lien rouge.

1.   Un lien entre des données provenant d'au moins deux systèmes d'information de l'UE est classé comme blanc dans les cas suivants:

2.   Lorsque le CIR ou le SIS sont interrogés et qu'il existe un lien blanc entre des données figurant dans au moins deux systèmes d'information de l'UE, le MID indique que les données d'identité des données liées correspondent à la même personne. Les systèmes d'information de l'UE interrogés fournissent une réponse indiquant, le cas échéant, toutes les données liées sur la personne, déclenchant ainsi une correspondance au regard des données liées par le lien blanc, si l'autorité qui a lancé la recherche a accès aux données liées en vertu du droit de l'Union ou du droit national.

3.   Lorsqu'un lien blanc est créé entre des données dans l'EES, le VIS, ETIAS, Eurodac ou l'ECRIS-TCN, le dossier individuel stocké dans le CIR est mis à jour conformément à l'article 19, paragraphe 2.

4.   Sans préjudice des dispositions relatives au traitement des signalements dans le SIS contenues dans les règlements (UE) 2018/1860, (UE) 2018/1861 et (UE) 2018/1862, et sans préjudice des restrictions nécessaires pour protéger la sécurité et l'ordre public, prévenir la criminalité et garantir qu'aucune enquête nationale ne sera compromise, lorsqu'un lien blanc est créé à la suite d'une vérification manuelle des différentes identités, l'autorité chargée de la vérification manuelle des différentes identités informe la personne concernée de la présence de données d'identité similaires ou différentes et lui fournit le numéro d'identification unique visé à l'article 34, point c), du présent règlement, la référence de l'autorité chargée de la vérification manuelle des différentes identités visée à l'article 34, point d), du présent règlement et l'adresse internet du portail en ligne établi conformément à l'article 49 du présent règlement.

5.   Si une autorité d'un État membre dispose d'éléments de preuve suggérant qu'un lien blanc a été enregistré de manière incorrecte dans le MID ou qu'un lien blanc n'est pas à jour, ou que des données ont été traitées dans le MID ou les systèmes d'information de l'UE en violation du présent règlement, elle vérifie les données pertinentes stockées dans le CIR et le SIS et, si nécessaire, rectifie ou efface sans retard le lien du MID. L'autorité de l'État membre en question informe sans retard l'État membre responsable de la vérification manuelle des différentes identités.

6.   Les informations visées au paragraphe 4 sont fournies par écrit au moyen d'un formulaire type par l'autorité chargée de la vérification manuelle des différentes identités. La Commission détermine le contenu et la présentation de ce formulaire par la voie d'actes d'exécution. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 74, paragraphe 2.

1.   L'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le MID. Ces registres contiennent les informations suivantes:

2.   Chaque État membre tient des registres des requêtes introduites par ses autorités et le personnel de ces autorités dûment autorisé à utiliser le MID. Chaque agence de l'Union tient des registres des requêtes introduites par son personnel dûment autorisé.

3.   Les registres visés aux paragraphes 1 et 2 ne peuvent être utilisés que pour contrôler la protection des données, y compris vérifier l'admissibilité d'une requête et de la licéité du traitement des données, et pour garantir la sécurité et l'intégrité des données. Ces registres sont protégés par des mesures appropriées empêchant tout accès non autorisé et sont effacés un an après leur création. Cependant, s'ils sont nécessaires à des procédures de contrôle qui ont déjà été engagées, ils sont effacés dès qu'ils ne sont plus nécessaires aux procédures de contrôle.

1.   Sans préjudice des responsabilités des États membres en ce qui concerne la qualité des données introduites dans les systèmes, l'eu-LISA met en place des mécanismes et des procédures automatisés de contrôle de la qualité des données pour les données stockées dans l'EES, le VIS, ETIAS, le SIS, le BMS partagé et le CIR.

2.   L'eu-LISA met en œuvre des mécanismes d'évaluation de l'exactitude du BMS partagé, des indicateurs communs de qualité des données et des normes de qualité minimales pour le stockage de données dans l'EES, le VIS, ETIAS, le SIS, le BMS partagé et le CIR.

Seules les données répondant aux normes de qualité minimales peuvent être introduites dans l'EES, le VIS, ETIAS, le SIS, le BMS partagé, le CIR et le MID.

3.   L'eu-LISA présente aux États membres des rapports réguliers sur les mécanismes et procédures automatisés de contrôle de la qualité des données et les indicateurs communs de qualité des données. L'eu-LISA fournit également à la Commission un rapport régulier sur les problèmes rencontrés et les États membres concernés. L'eu-LISA fournit également ce rapport au Parlement européen et au Conseil à leur demande. Aucun des rapports visés au présent paragraphe ne contient de données à caractère personnel.

4.   Les détails des mécanismes et procédures automatisés de contrôle de la qualité des données, des indicateurs communs de qualité des données et des normes de qualité minimales pour le stockage de données dans l'EES, le VIS, ETIAS, le SIS, le BMS partagé et le CIR, notamment en ce qui concerne les données biométriques, sont définis dans des actes d'exécution. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 74, paragraphe 2.

5.   Un an après la mise en place des mécanismes et procédures automatisés de contrôle de la qualité des données, des indicateurs communs de qualité des données et des normes minimales de qualité des données, puis tous les ans, la Commission évalue la mise en œuvre de la qualité des données par les États membres et formule les recommandations nécessaires en la matière. Les États membres fournissent à la Commission un plan d'action visant à remédier aux manquements constatés dans le rapport d'évaluation et, notamment, aux problèmes de qualité des données découlant de données erronées figurant dans les systèmes d'information de l'UE. Les États membres font régulièrement rapport à la Commission sur les progrès réalisés au regard de ce plan d'action jusqu'à ce que celui-ci soit entièrement mis en œuvre.

La Commission transmet le rapport d'évaluation au Parlement européen, au Conseil, au Contrôleur européen de la protection des données, au comité européen de la protection des données et à l'Agence des droits fondamentaux de l'Union européenne instituée par le règlement (CE) no 168/2007 du Conseil (39).

1.   La norme de format universel pour les messages (UMF) est établie. L'UMF définit les normes applicables à certains éléments du contenu des échanges d'informations transfrontières entre les systèmes d'information, les autorités ou les organismes dans le domaine de la justice et des affaires intérieures.

2.   La norme UMF est utilisée pour le développement de l'EES, d'ETIAS, de l'ESP, du CIR, du MID et, au besoin, pour l'élaboration, par l'eu-LISA ou par toute autre agence de l'Union, de nouveaux modèles d'échange d'informations et systèmes d'information dans le domaine de la justice et des affaires intérieures.

3.   La Commission adopte un acte d'exécution pour définir et élaborer la norme UMF visée au paragraphe 1 du présent article. Cet acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 74, paragraphe 2.

1.   Un répertoire central des rapports et statistiques (CRRS) est créé pour soutenir les objectifs de l'EES, du VIS, d'ETIAS et du SIS, conformément aux différents instruments juridiques régissant ces systèmes, et pour fournir des statistiques intersystèmes et des rapports analytiques à des fins stratégiques, opérationnelles et de qualité des données.

2.   L'eu-LISA établit, met en œuvre et héberge sur ses sites techniques le CRRS contenant les données et les statistiques visées à l'article 63 du règlement (UE) 2017/2226, à l'article 17 du règlement (CE) no 767/2008, à l'article 84 du règlement (UE) 2018/1240, à l'article 60 du règlement (UE) 2018/1861 et à l'article 16 du règlement (UE) 2018/1860, séparées logiquement par système d'information de l'UE. L'accès au CRRS est accordé, moyennant un accès contrôlé et sécurisé et des profils d'utilisateur spécifiques, aux seules fins de l'élaboration de rapports et de statistiques, aux autorités visées à l'article 63 du règlement (UE) 2017/2226, à l'article 17 du règlement (CE) no 767/2008, à l'article 84 du règlement (UE) 2018//1240 et à l'article 60 du règlement (UE) 2018/1861.

3.   L'eu-LISA anonymise les données et enregistre ces données anonymisées dans le CRRS. Le processus d'anonymisation des données est automatisé.

Les données contenues dans le CRRS ne permettent pas l'identification des personnes.

4.   Le CRRS se compose des éléments suivants:

5.   La Commission adopte un acte délégué conformément à l'article 73 fixant des règles détaillées concernant le fonctionnement du CRRS, notamment des garanties spécifiques pour le traitement des données à caractère personnel dans le cadre des paragraphes 2 et 3 du présent article, ainsi que des règles de sécurité applicables au répertoire.

1.   En ce qui concerne le traitement des données dans le BMS partagé, les autorités des États membres qui sont responsables du traitement pour l'EES, le VIS et le SIS, respectivement, sont les responsables du traitement au sens de l'article 4, point 7), du règlement (UE) 2016/679 ou de l'article 3, point 8), de la directive (UE) 2016/680 en ce qui concerne les modèles biométriques obtenus à partir des données visées à l'article 13 du présent règlement qu'elles introduisent dans les systèmes sous-jacents et sont chargées du traitement des modèles biométriques dans le BMS partagé.

2.   En ce qui concerne le traitement des données dans le CIR, les autorités des États membres qui sont responsables du traitement pour l'EES, le VIS et ETIAS, respectivement, sont les responsables du traitement au sens de l'article 4, point 7), du règlement (UE) 2016/679 en ce qui concerne les données visées à l'article 18 du présent règlement qu'elles introduisent dans les systèmes sous-jacents et sont chargées du traitement de ces données à caractère personnel dans le CIR.

3.   En ce qui concerne le traitement des données dans le MID:

4.   Aux fins du contrôle de la protection des données, y compris la vérification de l'admissibilité d'une requête et de la licéité du traitement des données, les responsables du traitement ont accès aux registres visés aux articles 10, 16, 24 et 36 en vue de l'autocontrôle visé à l'article 44.

1.   L'eu-LISA, l'unité centrale ETIAS, Europol et les autorités des États membres veillent à la sécurité des opérations de traitement de données à caractère personnel effectuées en vertu du présent règlement. L'eu-LISA, l'unité centrale ETIAS, Europol et les autorités des États membres coopèrent pour l'exécution des tâches liées à la sécurité.

2.   Sans préjudice de l'article 33 du règlement (UE) 2018/1725, l'eu-LISA prend les mesures nécessaires pour assurer la sécurité des éléments d'interopérabilité et de leurs infrastructures de communication qui y sont liées.

3.   En particulier, l'eu-LISA adopte les mesures nécessaires, y compris un plan de sécurité, un plan de continuité des activités et un plan de rétablissement après sinistre, afin:

4.   Les États membres, Europol et l'unité centrale ETIAS prennent des mesures équivalentes à celles visées au paragraphe 3 en ce qui concerne la sécurité du traitement des données à caractère personnel par les autorités ayant un droit d'accès à l'un des éléments d'interopérabilité.

1.   Tout événement ayant ou pouvant avoir un impact sur la sécurité des éléments d'interopérabilité et susceptible de causer aux données qui y sont stockées des dommages ou des pertes est considéré comme un incident de sécurité, en particulier lorsque des données peuvent avoir été consultées sans autorisation ou que la disponibilité, l'intégrité et la confidentialité de données ont été ou peuvent avoir été compromises.

2.   Les incidents de sécurité sont gérés de telle sorte qu'une réponse rapide, efficace et idoine y soit apportée.

3.   Sans préjudice de la notification et de la communication de toute violation de données à caractère personnel en application de l'article 33 du règlement (UE) 2016/679, de l'article 30 de la directive (UE) 2016/680 ou de ces deux dispositions, les États membres notifient sans retard tout incident de sécurité à la Commission, à l'eu-LISA, aux autorités de contrôle compétentes et au Contrôleur européen de la protection des données.

Sans préjudice des articles 34 et 35 du règlement (UE) 2018/1725 et de l'article 34 du règlement (UE) 2016/794, l'unité centrale ETIAS et Europol notifient sans retard tout incident de sécurité à la Commission, à l'eu-LISA et au Contrôleur européen de la protection des données.

En cas d'incident de sécurité concernant l'infrastructure centrale des éléments d'interopérabilité, l'eu-LISA le notifie à la Commission et au Contrôleur européen de la protection des données sans retard.

4.   Les informations relatives à un incident de sécurité ayant ou pouvant avoir un impact sur le fonctionnement des éléments d'interopérabilité, ou sur la disponibilité, l'intégrité et la confidentialité des données, sont communiquées sans retard aux États membres, à l'unité centrale ETIAS et à Europol et consignées conformément au plan de gestion des incidents qui doit être élaboré par l'eu-LISA.

5.   Les États membres concernés, l'unité centrale ETIAS, Europol et l'eu-LISA coopèrent en cas d'incident de sécurité. La Commission établit les modalités de cette procédure de coopération au moyen d'actes d'exécution. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 74, paragraphe 2.

1.   Sans préjudice du droit à réparation de la part du responsable du traitement ou du sous-traitant et de la responsabilité de ceux-ci au titre du règlement (UE) 2016/679, de la directive (UE) 2016/680 et du règlement (UE) 2018/1725:

L'État membre concerné, Europol, l'Agence européenne de garde-frontières et de garde-côtes ou l'eu-LISA sont exonérés, totalement ou partiellement, de leur responsabilité en vertu du premier alinéa, s'ils prouvent que le fait générateur du dommage ne leur est pas imputable.

2.   Si le non-respect, par un État membre, des obligations qui lui incombent au titre du présent règlement cause un dommage aux éléments d'interopérabilité, cet État membre en est tenu pour responsable, sauf si, et dans la mesure où, l'eu-LISA ou un autre État membre lié par le présent règlement n'a pas pris de mesures raisonnables pour prévenir le dommage ou en atténuer les effets.

3.   Les actions en réparation intentées à l'encontre d'un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par le droit national de l'État membre défendeur. Les actions en réparation intentées contre le responsable du traitement ou l'eu-LISA pour les dommages visés aux paragraphes 1 et 2 s'entendent sous réserve des conditions prévues dans les traités.

1.   L'autorité qui collecte les données à caractère personnel à stocker dans le BMS partagé, le CIR ou le MID fournit aux personnes dont les données sont collectées les informations requises en vertu des articles 13 et 14 du règlement (UE) 2016/679, des articles 12 et 13 de la directive (UE) 2016/680 et des articles 15 et 16 du règlement (UE) 2016/1725. L'autorité fournit les informations au moment de la collecte de ces données.

2.   Toutes les informations sont mises à disposition, en des termes clairs et simples, dans une version linguistique que la personne concernée comprend ou dont on peut raisonnablement supposer qu'elle la comprend. Cela comprend également la fourniture d'informations de manière appropriée en fonction de l'âge des personnes concernées mineures.

3.   Les personnes dont les données sont enregistrées dans l'EES, le VIS ou ETIAS sont informées du traitement de données à caractère personnel aux fins du présent règlement conformément au paragraphe 1 lorsque:

1.   Pour exercer ses droits au titre des articles 15 à 18 du règlement (UE) 2016/679, des articles 17 à 20 du règlement (UE) 2018/1725 et des articles 14, 15 et 16 de la directive (UE) 2016/680, toute personne a le droit de s'adresser à l'autorité compétente de tout État membre, qui examine la demande et y répond.

2.   L'État membre qui examine cette demande répond sans retard injustifié et, en tout état de cause, dans un délai de quarante-cinq jours à compter de la réception de celle-ci. Au besoin, ce délai peut être prolongé de 15 jours, compte tenu de la complexité et du nombre de demandes. L'État membre qui examine la demande informe la personne concernée de cette prolongation et des motifs du report dans un délai de quarante-cinq jours à compter de la réception de la demande. Les États membres peuvent décider que les réponses sont données par des services centraux.

3.   Si une demande de rectification ou d'effacement de données à caractère personnel est présentée à un État membre autre que l'État membre responsable de la vérification manuelle des différentes identités, l'État membre auquel la demande a été présentée prend contact avec les autorités de l'État membre responsable de la vérification manuelle des différentes identités dans un délai de sept jours. L'État membre responsable de la vérification manuelle des différentes identités vérifie l'exactitude des données et la licéité du traitement des données sans retard injustifié et, en tout état de cause, dans un délai de trente jours à compter de cette prise de contact. Au besoin, ce délai peut être prolongé de 15 jours, compte tenu de la complexité et du nombre de demandes. L'État membre responsable de la vérification manuelle des différentes identités informe l'État membre qui l'a contacté de toute prolongation et des motifs du report. La personne concernée est informée de la suite de la procédure par l'État membre qui a contacté l'autorité de l'État membre responsable de la vérification manuelle des différentes identités.

4.   Si une demande de rectification ou d'effacement de données à caractère personnel est présentée à un État membre dans lequel l'unité centrale ETIAS était responsable de la vérification manuelle des différentes identités, l'État membre auquel la demande a été présentée prend contact avec l'unité centrale ETIAS dans un délai de sept jours et demande son avis. L'unité centrale ETIAS donne son avis sans retard injustifié et, en tout état de cause, dans un délai de trente jours à compter de cette prise de contact. Au besoin, ce délai peut être prolongé de 15 jours, compte tenu de la complexité et du nombre de demandes. La personne concernée est informée de la suite de la procédure par l'État membre qui a contacté l'unité centrale ETIAS.

5.   Lorsque, à la suite d'un examen, il apparaît que les données stockées dans le MID sont erronées ou y ont été enregistrées de façon illicite, l'État membre responsable de la vérification manuelle des différentes identités ou, lorsqu'aucun État membre n'était responsable de la vérification manuelle des différentes identités ou que l'unité centrale ETIAS était responsable de la vérification manuelle des différentes identités, l'État membre auquel la demande a été présentée rectifie ou efface ces données sans retard injustifié. La personne concernée est informée par écrit de la rectification ou de l'effacement de ses données.

6.   Lorsque des données stockées dans le MID sont modifiées par un État membre au cours de leur période de conservation, cet État membre procède au traitement prévu à l'article 27 et, selon le cas, à l'article 29 afin de déterminer si les données modifiées doivent être liées. Lorsque le traitement ne génère aucune correspondance, cet État membre efface les données du dossier de confirmation d'identité. Lorsque le traitement automatisé génère une ou plusieurs correspondances, cet État membre crée ou met à jour le lien correspondant conformément aux dispositions pertinentes du présent règlement.

7.   Lorsque l'État membre responsable de la vérification manuelle des différentes identités ou, le cas échéant, l'État membre auquel la demande a été présentée n'estime pas que les données stockées dans le MID sont erronées ou y ont été enregistrées de façon illicite, il prend une décision de nature administrative indiquant par écrit et sans retard à la personne concernée les raisons pour lesquelles il n'est pas disposé à rectifier ou à effacer les données la concernant.

8.   La décision visée au paragraphe 7 fournit également à la personne concernée des précisions sur la possibilité de contester la décision prise au sujet de la demande d'accès aux données à caractère personnel, de rectification, d'effacement ou de limitation du traitement de ces données et, s'il y a lieu, des informations sur les modalités de recours ou de plainte devant les autorités ou les juridictions compétentes, ainsi que sur toute aide disponible, y compris de la part des autorités de contrôle.

9.   Toute demande d'accès aux données à caractère personnel, de rectification, d'effacement ou de limitation du traitement de ces données comporte les informations nécessaires à l'identification de la personne concernée. Ces informations sont utilisées exclusivement pour permettre l'exercice des droits visés au présent article et sont ensuite immédiatement effacées.

10.   L'État membre responsable de la vérification manuelle des différentes identités ou, le cas échéant, l'État membre auquel la demande a été présentée consigne, dans un document écrit, le fait qu'une demande d'accès à des données à caractère personnel, de rectification, d'effacement ou de limitation du traitement de telles données a été présentée et la manière dont cette demande a été traitée, et met sans retard ce document à la disposition des autorités de contrôle.

11.   Le présent article s'applique sans préjudice des limitations et restrictions aux droits énoncés dans le présent article prévues par le règlement (UE) 2016/679 et la directive (UE) 2016/680.

1.   Un portail en ligne est créé pour faciliter l'exercice des droits d'accès aux données à caractère personnel, de rectification, d'effacement ou de limitation du traitement de telles données.

2.   Le portail en ligne comporte des informations sur les droits et les procédures visés aux articles 47 et 48 ainsi qu'une interface utilisateur permettant aux personnes dont les données sont traitées dans le MID et qui ont été informées de la présence d'un lien rouge conformément à l'article 32, paragraphe 4, de recevoir les coordonnées de l'autorité compétente de l'État membre responsable de la vérification manuelle des différentes identités.

3.   Pour obtenir les coordonnées de l'autorité compétente de l'État membre responsable de la vérification manuelle des différentes identités, la personne dont les données sont traitées dans le MID devrait indiquer la référence de l'autorité responsable de la vérification manuelle des différentes identités visée à l'article 34, point d). Le portail en ligne utilise cette référence pour extraire les coordonnées de l'autorité compétente de l'État membre responsable de la vérification manuelle des différentes identités. Le portail en ligne comporte également un modèle de courriel destiné à faciliter la communication entre l'utilisateur du portail et l'autorité compétente de l'État membre responsable de la vérification manuelle des différentes identités. Ce courriel comporte un champ destiné au numéro d'identification unique visé à l'article 34, point c), afin de permettre à l'autorité compétente de l'État membre responsable de la vérification manuelle des différentes identités d'identifier les données concernées.

4.   Les États membres communiquent à l'eu-LISA les coordonnées de toutes les autorités compétentes pour examiner toute demande visée aux articles 47 et 48 et pour y répondre et vérifient régulièrement que ces coordonnées sont à jour.

5.   L'eu-LISA développe le portail en ligne et en assure la gestion technique.

6.   La Commission adopte un acte délégué conformément à l'article 73 afin de fixer des règles détaillées sur le fonctionnement du portail en ligne, y compris l'interface utilisateur, les langues dans lesquelles le portail est disponible ainsi que le modèle de courriel.

1.   Chaque État membre veille à ce que les autorités de contrôle contrôlent en toute indépendance la licéité du traitement des données à caractère personnel dans le cadre du présent règlement par l'État membre concerné, y compris de leur transmission à partir des éléments d'interopérabilité et vers ceux-ci.

2.   Chaque État membre veille à ce que les dispositions législatives, réglementaires et administratives nationales qu'il a adoptées en application de la directive (UE) 2016/680 s'appliquent aussi, s'il y a lieu, à l'accès aux éléments d'interopérabilité par les services de police et les autorités désignées, y compris pour ce qui est des droits des personnes aux données desquelles l'accès a ainsi été donné.

3.   Les autorités de contrôle veillent à ce que les autorités nationales responsables réalisent, tous les quatre ans au minimum, aux fins du présent règlement, un audit des opérations de traitement des données à caractère personnel, conformément aux normes internationales d'audit applicables.

Les autorités de contrôle publient chaque année le nombre de demandes visant à faire rectifier ou effacer des données à caractère personnel, ou à en faire limiter le traitement, les mesures prises par la suite et le nombre de rectifications et d'effacements auxquels il a été procédé et de limitations apportées au traitement, en réponse aux demandes des personnes concernées.

4.   Les États membres veillent à ce que leurs autorités de contrôle disposent de ressources et d'expertise suffisantes pour s'acquitter des tâches qui leur sont confiées en vertu du présent règlement.

5.   Les États membres communiquent toutes les informations demandées par une autorité de contrôle visée à l'article 51, paragraphe 1, du règlement (UE) 2016/679 et lui fournissent, en particulier, des informations relatives aux activités menées dans l'exercice de leurs fonctions au titre du présent règlement. Les États membres octroient aux autorités de contrôle visées à l'article 51, paragraphe 1, du règlement (UE) 2016/679 l'accès à leurs registres visés aux articles 10, 16, 24 et 36 du présent règlement, aux justifications visées à l'article 22, paragraphe 2, du présent règlement et leur permettent d'accéder, à tout moment, à l'ensemble de leurs locaux utilisés à des fins d'interopérabilité.

1.   Les autorités de contrôle et le Contrôleur européen de la protection des données, agissant chacun dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités respectives et assurent un contrôle coordonné de l'utilisation des éléments d'interopérabilité et de l'application d'autres dispositions du présent règlement, notamment si le Contrôleur européen de la protection des données ou une autorité de contrôle découvre des différences importantes entre les pratiques des États membres ou l'existence de transferts potentiellement illicites transitant par les canaux de communication des éléments d'interopérabilité.

2.   Dans les cas visés au paragraphe 1 du présent article, un contrôle coordonné est assuré conformément à l'article 62 du règlement (UE) 2018/1725.

3.   Le comité européen de la protection des données envoie un rapport d'activités conjoint au Parlement européen, au Conseil, à la Commission, à Europol, à l'Agence européenne de garde-frontières et de garde-côtes et à l'eu-LISA au plus tard le 12 juin 2021 puis tous les deux ans. Ce rapport comporte un chapitre sur chaque État membre, établi par l'autorité de contrôle de l'État membre concerné.

1.   L'eu-LISA veille à ce que le fonctionnement des infrastructures centrales des éléments d'interopérabilité soit conforme au présent règlement.

2.   Les éléments d'interopérabilité sont hébergés par l'eu-LISA sur ses sites techniques et fournissent les fonctionnalités prévues dans le présent règlement conformément aux conditions de sécurité, de disponibilité, de qualité et de performance visées à l'article 55, paragraphe 1.

3.   L'eu-LISA est responsable du développement des éléments d'interopérabilité, de toutes les adaptations nécessaires pour établir l'interopérabilité entre les systèmes centraux de l'EES, du VIS, d'ETIAS, du SIS, d'Eurodac, de l'ECRIS-TCN ainsi que de l'ESP, du BMS partagé, du CIR, du MID et du CRRS.

Sans préjudice de l'article 66, l'eu-LISA n'a accès à aucune des données à caractère personnel traitées via l'ESP, le BMS partagé, le CIR ou le MID.

L'eu-LISA définit la conception de l'architecture matérielle des éléments d'interopérabilité, y compris leur infrastructure de communication, ainsi que les spécifications techniques et leur évolution en ce qui concerne l'infrastructure centrale et l'infrastructure de communication sécurisée, qui est adoptée par le conseil d'administration après avis favorable de la Commission. L'eu-LISA met également en œuvre tout aménagement éventuellement nécessaire de l'EES, du VIS, d'ETIAS ou du SIS, résultant de l'établissement de l'interopérabilité et prévu par le présent règlement.

L'eu-LISA développe et met en œuvre les éléments d'interopérabilité dès que possible après l'entrée en vigueur du présent règlement et l'adoption par la Commission des mesures prévues à l'article 8, paragraphe 2, à l'article 9, paragraphe 7, à l'article 28, paragraphes 5 et 7, à l'article 37, paragraphe 4, à l'article 38, paragraphe 3, à l'article 39, paragraphe 5, à l'article 43, paragraphe 5 et à l'article 78, paragraphe 10.

Le développement consiste en l'élaboration et la mise en œuvre des spécifications techniques, en la réalisation d'essais et en la gestion et la coordination générales du projet.

4.   Pendant la phase de conception et de développement, un conseil de gestion du programme, composé d'un maximum de 10 membres, est créé. Il est constitué de sept membres nommés par le conseil d'administration de l'eu-LISA parmi ses membres ou ses suppléants, du président du groupe consultatif sur l'interopérabilité visé à l'article 75, d'un membre représentant l'eu-LISA désigné par son directeur exécutif et d'un membre désigné par la Commission. Les membres nommés par le conseil d'administration de l'eu-LISA sont choisis uniquement parmi les États membres qui sont pleinement liés, en vertu du droit de l'Union, par les instruments juridiques régissant le développement, la création, le fonctionnement et l'utilisation de tous les systèmes d'information de l'UE et qui participeront aux éléments d'interopérabilité.

5.   Le conseil de gestion du programme se réunit régulièrement et au moins trois fois par trimestre. Il veille à la bonne gestion de la phase de conception et de développement des éléments d'interopérabilité.

Le conseil de gestion du programme soumet chaque mois au conseil d'administration de l'eu-LISA des rapports écrits sur l'état d'avancement du projet. Le conseil de gestion du programme n'a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter les membres du conseil d'administration de l'eu-LISA.

6.   Le conseil d'administration de l'eu-LISA définit le règlement intérieur du conseil de gestion du programme, qui comprend notamment des règles sur:

La présidence est exercée par un État membre qui est pleinement lié, en vertu du droit de l'Union, par les instruments juridiques régissant le développement, la création, le fonctionnement et l'utilisation de tous les systèmes d'information de l'UE et qui participera aux éléments d'interopérabilité.

Tous les frais de voyage et de séjour exposés par les membres du conseil de gestion du programme sont pris en charge par l'eu-LISA et l'article 10 du règlement intérieur de l'eu-LISA s'applique mutatis mutandis. Le secrétariat du conseil de gestion du programme est assuré par l'eu-LISA.

Le groupe consultatif sur l'interopérabilité visé à l'article 75 se réunit régulièrement jusqu'à la mise en service des éléments d'interopérabilité. Après chaque réunion, il rend compte au comité de gestion du programme. Il fournit l'expertise technique nécessaire à l'appui des tâches du conseil de gestion du programme et suit l'état de préparation des États membres.

1.   Après la mise en service de chaque élément d'interopérabilité, l'eu-LISA est responsable de la gestion technique de l'infrastructure centrale des éléments d'interopérabilité, y compris leur maintenance et leurs évolutions technologiques. Elle veille, en coopération avec les États membres, à ce que la meilleure technologie disponible soit utilisée, sous réserve d'une analyse coûts-avantages. L'eu-LISA est également responsable de la gestion technique de l'infrastructure de communication visée aux articles 6, 12, 17, 25 et 39.

La gestion technique des éléments d'interopérabilité comprend toutes les tâches et solutions techniques nécessaires au fonctionnement des éléments d'interopérabilité et la fourniture continue de services aux États membres et aux agences de l'Union, 24 heures sur 24, 7 jours sur 7, conformément au présent règlement. Elle comprend, en particulier, les travaux de maintenance et les perfectionnements techniques indispensables pour que les éléments d'interopérabilité fonctionnent à un niveau satisfaisant de qualité technique, notamment quant au temps de réponse pour l'interrogation des infrastructures centrales, conformément aux spécifications techniques.

Tous les éléments d'interopérabilité sont élaborés et gérés de manière à assurer un accès rapide, continu, efficace et contrôlé aux éléments et données stockés dans le MID, le BMS partagé et le CIR ainsi que leur disponibilité totale et ininterrompue, et un temps de réponse adapté aux besoins opérationnels des autorités des États membres et des agences de l'Union.

2.   Sans préjudice de l'article 17 du statut des fonctionnaires de l'Union européenne, l'eu-LISA applique des règles appropriées en matière de secret professionnel ou impose des obligations de confidentialité équivalentes à tous les membres de son personnel appelés à travailler avec les données stockées dans les éléments d'interopérabilité. Cette obligation continue de s'appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leur activité.

Sans préjudice de l'article 66, l'eu-LISA n'a accès à aucune des données à caractère personnel traitées via l'ESP, le BMS partagé, le CIR et le MID.

3.   L'eu-LISA élabore et gère un mécanisme et des procédures de contrôle de la qualité des données stockées dans le BMS partagé et dans le CIR, conformément à l'article 37.

4.   L'eu-LISA s'acquitte aussi des tâches liées à l'offre d'une formation relative à l'utilisation technique des éléments d'interopérabilité.

1.   Chaque État membre est responsable:

2.   Chaque État membre connecte au CIR ses autorités désignées.

1.   Le personnel dûment autorisé des autorités compétentes des États membres, de la Commission et de l'eu-LISA a accès en consultation aux données énumérées ci-après concernant l'ESP, uniquement aux fins de l'établissement de rapports et de statistiques:

Il n'est pas possible d'identifier des personnes à partir de ces données.

2.   Le personnel dûment autorisé des autorités compétentes des États membres, de la Commission et de l'eu-LISA a accès en consultation aux données énumérées ci-après concernant le CIR, uniquement aux fins de l'établissement de rapports et de statistiques:

Il n'est pas possible d'identifier des personnes à partir de ces données.

3.   Le personnel dûment autorisé des autorités compétentes des États membres, de la Commission et de l'eu-LISA a accès en consultation aux données énumérées ci-après concernant le MID, uniquement aux fins de l'établissement de rapports et de statistiques:

Il n'est pas possible d'identifier des personnes à partir de ces données.

4.   Le personnel dûment autorisé de l'Agence européenne de garde-frontières et de garde-côtes a accès en consultation aux données visées aux paragraphes 1, 2 et 3 du présent article pour effectuer les analyses des risques et les évaluations de la vulnérabilité visées aux articles 11 et 13 du règlement (UE) 2016/1624 du Parlement européen et du Conseil (40).

5.   Le personnel dûment autorisé d'Europol a accès en consultation aux données visées aux paragraphes 2 et 3 du présent article pour effectuer les analyses de nature stratégique ou thématique et les analyses opérationnelles prévues à l'article 18, paragraphe 2, points b) et c), du règlement (UE) 2016/794.

6.   Aux fins des paragraphes 1, 2 et 3, l'eu-LISA stocke les données visées auxdits paragraphes dans le CRRS. Il n'est pas possible d'identifier des personnes à partir des données figurant dans le CRRS mais les données doivent permettre aux autorités énumérées aux paragraphes 1, 2 et 3 d'obtenir des rapports et des statistiques personnalisables afin d'améliorer l'efficacité des vérifications aux frontières, d'aider les autorités à traiter les demandes de visa et de favoriser l'élaboration, au niveau de l'Union, de politiques en matière de migration et de sécurité fondées sur des données concrètes.

7.   Sur demande, la Commission met les informations pertinentes à la disposition de l'Agence des droits fondamentaux de l'Union européenne afin que celle-ci évalue l'incidence du présent règlement sur les droits fondamentaux.

1.   Pendant une période de deux ans à compter de la date de la mise en service de l'ESP, les obligations visées à l'article 7, paragraphes 2 et 4, ne s'appliquent pas et l'utilisation de l'ESP est facultative.

2.   La Commission est habilitée à adopter un acte délégué conformément à l'article 73 afin de modifier le présent règlement en prolongeant une seule fois, d'une année au maximum, la période visée au paragraphe 1 du présent article, lorsqu'une évaluation de la mise en œuvre de l'ESP a mis en évidence la nécessité de prolonger ce délai, particulièrement en raison de l'incidence de la mise en service de l'ESP sur l'organisation et la durée des contrôles aux frontières.

1.   Pendant une période d'un an suivant la notification par l'eu-LISA de l'achèvement de l'essai du MID visé à l'article 72, paragraphe 4, point b), et avant la mise en service du MID, l'unité centrale ETIAS est responsable de la détection d'identités multiples à l'aide des données stockées dans l'EES, le VIS, Eurodac et le SIS. Les détections d'identités multiples ne sont effectuées qu'à l'aide de données biométriques.

2.   Lorsque la recherche génère une ou plusieurs correspondances et que les données d'identité dans les dossiers liés sont les mêmes ou similaires, un lien blanc est créé conformément à l'article 33.

Lorsque la recherche génère une ou plusieurs correspondances et que les données d'identité dans les dossiers liés ne peuvent pas être considérées comme similaires, un lien jaune est créé conformément à l'article 30 et la procédure visée à l'article 29 s'applique.

Lorsque plusieurs correspondances sont générées, un lien est créé entre chaque élément de donnée ayant donné lieu à la correspondance.

3.   Lorsqu'un lien jaune est créé, le MID accorde à l'unité centrale ETIAS l'accès aux données d'identité figurant dans les différents systèmes d'information de l'UE.

4.   Lorsqu'un lien est créé avec un signalement figurant dans le SIS, autre qu'un signalement créé dans le cadre de l'article 3 du règlement (UE) 2018/1860, des articles 24 et 25 du règlement (UE) 2018/1861 ou de l'article 38 du règlement (UE) 2018/1862, le MID accorde au bureau SIRENE de l'État membre qui a créé le signalement l'accès aux données d'identité figurant dans les différents systèmes d'information de l'UE.

5.   L'unité centrale ETIAS ou, dans les cas visés au paragraphe 4 du présent article, le bureau SIRENE de l'État membre qui a créé le signalement a accès aux données figurant dans le dossier de confirmation d'identité, évalue les différentes identités et met à jour le lien conformément aux articles 31, 32 et 33, et l'ajoute au dossier de confirmation d'identité.

6.   L'unité centrale ETIAS n'informe la Commission conformément à l'article 71, paragraphe 3, qu'une fois que tous les liens jaunes ont été vérifiés manuellement et que leur statut a été mis à jour en tant que liens verts, blancs ou rouges.

7.   Les États membres aident, au besoin, l'unité centrale ETIAS à effectuer la détection d'identités multiples visée au présent article.

8.   La Commission est habilitée à adopter un acte délégué conformément à l'article 73 afin de modifier le présent règlement en prolongeant la période visée au paragraphe 1 du présent article de six mois, renouvelables deux fois, chaque fois pour six mois. Une telle prolongation n'est accordée qu'après qu'une évaluation du délai estimé nécessaire pour achever la détection d'identités multiples visée au présent article a démontré que la détection d'identités multiples ne peut être achevée avant l'expiration soit de la période restante prévue au paragraphe 1 du présent article soit de toute prolongation en cours, pour des raisons indépendantes de l'unité centrale ETIAS, et qu'il n'est pas possible de recourir à des mesures correctives. L'évaluation est effectuée au plus tard trois mois avant l'expiration du délai visé au paragraphe 1 ou de la prolongation en cours.

1.   Les coûts afférents à la création et au fonctionnement de l'ESP, du BMS partagé, du CIR et du MID sont à la charge du budget général de l'Union.

2.   Les coûts afférents à l'intégration des infrastructures nationales existantes et à leur connexion aux interfaces uniformes nationales, ainsi qu'à l'hébergement des interfaces uniformes nationales, sont à la charge du budget général de l'Union.

Les coûts suivants ne sont pas admissibles:

3.   Sans préjudice d'un financement supplémentaire à cette fin à partir d'autres sources du budget général de l'Union européenne, un montant de 32 077 000 EUR est mobilisé dans l'enveloppe de 791 000 000 EUR prévue à l'article 5, paragraphe 5, point b), du règlement (UE) no 515/2014 pour couvrir les coûts de mise en œuvre du présent règlement, comme le prévoient les paragraphes 1 et 2 du présent article.

4.   À partir de l'enveloppe visée au paragraphe 3, 22 861 000 EUR sont alloués à l'eu-LISA, 9 072 000 EUR sont alloués à Europol et 144 000 EUR sont alloués à l'Agence de l'Union européenne pour la formation des services répressifs (CEPOL), afin de soutenir ces agences dans l'exécution de leurs tâches respectives dans le cadre du présent règlement. Ce financement est mis en œuvre en gestion partagée.

5.   Les coûts encourus par les autorités désignées sont à la charge de l'État membre qui a procédé à la désignation et d'Europol, respectivement. Les coûts afférents à la connexion de chaque autorité désignée au CIR sont à la charge de chaque État membre.

Les coûts encourus par Europol, y compris ceux afférents à la connexion au CIR, sont à la charge d'Europol.

1.   Les États membres notifient à l'eu-LISA le nom des autorités visées aux articles 7, 20, 21 et 26 qui peuvent, respectivement, utiliser l'ESP, le CIR et le MID ou y avoir accès.

Une liste consolidée de ces autorités est publiée au Journal officiel de l'Union européenne dans un délai de trois mois à compter de la date à laquelle chaque élément d'interopérabilité a été mis en service conformément à l'article 72. En cas de modifications apportées à cette liste, l'eu-LISA publie une fois par an une version consolidée actualisée.

2.   L'eu-LISA notifie à la Commission les résultats concluants des essais visés à l'article 72, paragraphe 1, point b), paragraphe 2, point b), paragraphe 3, point b), paragraphe 4, point b), paragraphe 5, point b), paragraphe 6, point b).

3.   L'unité centrale ETIAS informe la Commission de l'exécution concluante de la période transitoire prévue à l'article 69.

4.   La Commission met les informations notifiées en application du paragraphe 1 à la disposition des États membres et du public, par l'intermédiaire d'un site web public actualisé en permanence.

1.   La Commission détermine, par la voie d'un acte d'exécution, la date de mise en service de l'ESP, dès que les conditions suivantes sont remplies:

L'ESP interroge les bases de données d'Interpol uniquement lorsque les aménagements techniques permettent de se conformer à l'article 9, paragraphe 5. S'il est impossible de respecter l'article 9, paragraphe 5, l'ESP n'interroge pas les bases de données d'Interpol, sans que la mise en service de l'ESP ne soit pour autant retardée.

La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date d'adoption de l'acte d'exécution.

2.   La Commission détermine, par la voie d'un acte d'exécution, la date de mise en service du BMS partagé, dès que les conditions suivantes sont remplies:

La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date de l'adoption de l'acte d'exécution.

3.   La Commission détermine, par la voie d'un acte d'exécution, la date de mise en service du CIR, dès que les conditions suivantes sont remplies:

La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date de l'adoption de l'acte d'exécution.

4.   La Commission détermine, par la voie d'un acte d'exécution, la date de mise en service du MID, dès que les conditions suivantes sont remplies:

La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date de l'adoption de l'acte d'exécution.

5.   La Commission détermine, par la voie d'actes d'exécution, la date à partir de laquelle les mécanismes et procédures automatisés de contrôle de la qualité des données, les indicateurs communs de qualité des données et les normes de qualité minimales doivent être utilisés, dès que les conditions suivantes sont remplies:

La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date de l'adoption de l'acte d'exécution.

6.   La Commission détermine, par la voie d'un acte d'exécution, la date de mise en service du CRRS, dès que les conditions suivantes sont remplies:

La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date de l'adoption de l'acte d'exécution.

7.   La Commission informe le Parlement européen et le Conseil des résultats des essais effectués en vertu des paragraphes 1, point b), 2, point b), 3, point b), 4, point b), 5, point b), et 6, point b).

8.   Les États membres, l'unité centrale ETIAS et Europol commencent à utiliser chacun des éléments d'interopérabilité à partir de la date fixée par la Commission conformément aux paragraphes 1, 2, 3 et 4, respectivement.

1.   Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.   Le pouvoir d'adopter des actes délégués visé à l'article 28, paragraphe 5, à l'article 39, paragraphe 5, à l'article 49, paragraphe 6, à l'article 67, paragraphe 2, et à l'article 69, paragraphe 8, est conféré à la Commission pour une période de cinq ans à compter du 11 juin 2019. La Commission élabore un rapport relatif à la délégation de pouvoir au plus tard neuf mois avant la fin de la période de cinq ans. La délégation de pouvoir est tacitement prorogée pour des périodes d'une durée identique, sauf si le Parlement européen ou le Conseil s'oppose à cette prorogation trois mois au plus tard avant la fin de chaque période.

3.   La délégation de pouvoir visée à l'article 28, paragraphe 5, à l'article 39, paragraphe 5, à l'article 49, paragraphe 6, à l'article 67, paragraphe 2, et à l'article 69, paragraphe 8, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.   Avant l'adoption d'un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l'accord interinstitutionnel du 13 avril 2016«Mieux légiférer».

5.   Aussitôt qu'elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

6.   Un acte délégué adopté en vertu de l'article 28, paragraphe 5, de l'article 39, paragraphe 5, de l'article 49, paragraphe 6, de l'article 67, paragraphe 2, et de l'article 69, paragraphe 8, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil.

1.   La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.   Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) no 182/2011 s'applique.

Lorsque le comité n'émet aucun avis, la Commission n'adopte pas le projet d'acte d'exécution, et l'article 5, paragraphe 4, troisième alinéa, du règlement (UE) no 182/2011 s'applique.

1.   L'eu-LISA veille à ce que des procédures soient mises en place pour suivre le développement des éléments d'interopérabilité et leur connexion à l'interface nationale uniforme par rapport aux objectifs fixés en matière de planification et de coûts et pour suivre le fonctionnement des éléments d'interopérabilité par rapport aux objectifs fixés en matière de résultats techniques, de coût-efficacité, de sécurité et de qualité du service.

2.   Au plus tard le 12 décembre 2019, puis tous les six mois pendant la phase de développement des éléments d'interopérabilité, l'eu-LISA présente un rapport au Parlement européen et au Conseil sur l'état d'avancement du développement des éléments d'interopérabilité et leur connexion à l'interface uniforme nationale. Une fois le développement achevé, un rapport est présenté au Parlement européen et au Conseil, qui explique en détail la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et justifie les éventuels écarts.

3.   Quatre ans après la mise en service de chaque élément d'interopérabilité conformément à l'article 72, puis tous les quatre ans, l'eu-LISA présente au Parlement européen, au Conseil et à la Commission un rapport sur le fonctionnement technique des éléments d'interopérabilité, y compris sur leur sécurité.

4.   En outre, un an après chaque rapport de l'eu-LISA, la Commission réalise une évaluation globale des éléments d'interopérabilité, y compris:

Les évaluations globales prévues au premier alinéa du présent paragraphe comprennent les éventuelles recommandations nécessaires. La Commission transmet le rapport d'évaluation au Parlement européen, au Conseil, au Contrôleur européen de la protection des données et à l'Agence des droits fondamentaux de l'Union européenne.

5.   Au plus tard le 12 juin 2020 puis chaque année jusqu'à l'adoption par la Commission des actes d'exécution visés à l'article 72, la Commission présente au Parlement européen et au Conseil un rapport sur l'état d'avancement des préparations pour la mise en œuvre complète du présent règlement. Ce rapport contient également des informations détaillées sur les coûts encourus ainsi que des informations relatives à tout risque susceptible d'avoir des retombées sur les coûts totaux.

6.   Deux ans après la mise en service du MID conformément à l'article 72, paragraphe 4, la Commission examine l'incidence du MID sur le droit à la non-discrimination. À la suite de ce premier rapport, l'examen de l'incidence du MID sur le droit à la non-discrimination fait partie intégrante de l'examen visé au paragraphe 4, point b), du présent article.

7.   Les États membres et Europol communiquent à l'eu-LISA et à la Commission les informations nécessaires à l'établissement des rapports visés aux paragraphes 3 à 6. Ces informations ne peuvent porter préjudice aux méthodes de travail ni comprendre des indications sur les sources, les membres du personnel ou les enquêtes des autorités désignées.

8.   L'eu-LISA fournit à la Commission les informations nécessaires pour élaborer l'évaluation globale visée au paragraphe 4.

9.   Tout en respectant les dispositions du droit national relatives à la publication d'informations sensibles, et sans préjudice des restrictions nécessaires pour protéger la sécurité et l'ordre public, prévenir la criminalité et garantir qu'aucune enquête nationale ne sera compromise, chaque État membre et Europol établissent des rapports annuels sur l'efficacité de l'accès aux données stockées dans le CIR à des fins de prévention ou de détection des infractions terroristes ou d'autres infractions pénales graves, ou d'enquêtes en la matière, comportant des informations et des statistiques sur:

Les rapports annuels préparés par les États membres et par Europol sont transmis à la Commission au plus tard le 30 juin de l'année suivante.

10.   Une solution technique est mise à la disposition des États membres afin de gérer les demandes d'accès des utilisateurs visées à l'article 22 et de faciliter la collecte d'informations au titre des paragraphes 7 et 9 du présent article, en vue de générer les rapports et statistiques visés dans ces paragraphes. La Commission adopte des actes d'exécution pour fixer les spécifications de la solution technique. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 74, paragraphe 2.