Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32018R1862

Règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) n° 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission

PE/36/2018/REV/1

OJ L 312, 7.12.2018, p. 56–106 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/reg/2018/1862/oj

7.12.2018   

FR

Journal officiel de l'Union européenne

L 312/56


RÈGLEMENT (UE) 2018/1862 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 28 novembre 2018

sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) no 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 82, paragraphe 1, second alinéa, point d), son article 85, paragraphe 1, son article 87, paragraphe 2, point a), et son article 88, paragraphe 2, point a),

vu la proposition de la Commission européenne,

après transmission du projet d'acte législatif aux parlements nationaux,

statuant conformément à la procédure législative ordinaire (1),

considérant ce qui suit:

(1)

Le système d'information Schengen (SIS) constitue un outil essentiel pour l'application des dispositions de l'acquis de Schengen tel qu'il a été intégré dans le cadre de l'Union européenne. Il représente l'une des grandes mesures compensatoires qui contribuent au maintien d'un niveau élevé de sécurité dans l'espace de liberté, de sécurité et de justice de l'Union par le soutien qu'il apporte à la coopération opérationnelle entre les autorités nationales compétentes, notamment les garde-frontières, les services de police, les autorités douanières, les autorités chargées de l'immigration et les autorités chargées de la prévention et de la détection des infractions pénales ainsi que des enquêtes et poursuites en la matière ou de l'exécution des sanctions pénales.

(2)

Le SIS a initialement été créé en vertu des dispositions du titre IV de la convention d'application de l'accord de Schengen du 14 juin 1985 entre les gouvernements des États de l'Union économique Benelux, de la République fédérale d'Allemagne et de la République française relatif à la suppression graduelle des contrôles aux frontières communes (2) (ci-après dénommée «convention d'application de l'accord de Schengen»), signée le 19 juin 1990. La Commission a été chargée, par le règlement (CE) no 2424/2001 du Conseil (3) et la décision 2001/886/JAI du Conseil (4), du développement du SIS de deuxième génération (SIS II). Il a ultérieurement été créé par le règlement (CE) no 1987/2006 du Parlement européen et du Conseil (5) et par la décision 2007/533/JAI du Conseil (6). Le SIS II a remplacé le SIS tel qu'il a été créé par la convention d'application de l'accord de Schengen.

(3)

Trois ans après l'entrée en service du SIS II, la Commission a procédé à une évaluation du système conformément au règlement (CE) no 1987/2006 et à la décision 2007/533/JAI. Le 21 décembre 2016, la Commission a présenté au Parlement européen et au Conseil le rapport d'évaluation du système d'information de Schengen de deuxième génération (SIS II) conformément à l'article 24, paragraphe 5, à l'article 43, paragraphe 3, et à l'article 50, paragraphe 5, du règlement (CE) no 1987/2006, et à l'article 59, paragraphe 3, et à l'article 66, paragraphe 5, de la décision 2007/533/JAI, accompagné d'un document de travail des services. Les recommandations formulées dans ces documents devraient être prises en compte, le cas échéant, dans le présent règlement.

(4)

Le présent règlement constitue la base juridique pour le SIS dans les domaines relevant du champ d'application de la troisième partie, titre V, chapitres 4 et 5, du traité sur le fonctionnement de l'Union européenne. Le règlement (UE) 2018/1861 du Parlement européen et du Conseil (7) constitue la base juridique pour le SIS dans les domaines relevant du champ d'application de la troisième partie, titre V, chapitre 2, du traité sur le fonctionnement de l'Union européenne.

(5)

Le fait que la base juridique pour le SIS consiste en des instruments distincts n'affecte pas le principe selon lequel le SIS constitue un système d'information unique qui devrait fonctionner en tant que tel. Il devrait comprendre un réseau unique de bureaux nationaux, dénommés bureaux SIRENE, pour assurer l'échange d'informations supplémentaires. Certaines dispositions de ces instruments devraient donc être identiques.

(6)

Il est nécessaire de préciser les objectifs du SIS, certains éléments de son architecture technique et de son financement, de fixer des règles concernant son fonctionnement et son utilisation de bout en bout et de définir les responsabilités. Il est également nécessaire de déterminer les catégories de données à introduire dans le système, les finalités de leur introduction et de leur traitement, ainsi que les critères pour leur introduction. Des règles sont également nécessaires pour régir la suppression des signalements, les autorités autorisées à avoir accès aux données et l'utilisation de données biométriques, et pour préciser les obligations en matière de protection des données et de traitement des données.

(7)

Les signalements dans le SIS ne contiennent que les informations nécessaires pour identifier une personne ou un objet et déterminer la conduite à tenir. Par conséquent, il convient que les États membres échangent des informations supplémentaires liées aux signalements lorsque c'est nécessaire.

(8)

Le SIS comprend un système central (SIS central) et des systèmes nationaux. Les systèmes nationaux pourraient contenir une copie intégrale ou partielle de la base de données du SIS, qui peut être partagée par deux États membres ou plus. Étant donné que SIS est l'instrument d'échange d'informations le plus important en Europe pour assurer la sécurité et une gestion efficace des frontières, il est nécessaire de garantir son fonctionnement continu au niveau tant central que national. La disponibilité du SIS devrait faire l'objet d'un suivi étroit au niveau central et des États membres, et tout cas d'indisponibilité pour les utilisateurs finaux devrait être consigné et signalé aux parties intéressées au niveau national et de l'Union. Chaque État membre devrait mettre en place un dispositif de secours pour son système national. Les États membres devraient également garantir une connectivité continue avec le SIS central en prévoyant des points de connexion doubles et physiquement et géographiquement séparés. Il convient de gérer le SIS central et l'infrastructure de communication de manière à assurer leur fonctionnement 24 heures sur 24, 7 jours sur 7. Pour cette raison, l'agence de l'Union européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (ci-après dénommée «eu-LISA») créée par le règlement (UE) 2018/1726 du Parlement européen et du Conseil (8) devrait mettre en œuvre des solutions techniques pour renforcer la disponibilité continue du SIS, sous réserve d'une analyse d'impact indépendante et d'une analyse coûts-avantages.

(9)

Il est nécessaire de disposer d'un manuel qui contienne des règles détaillées sur l'échange d'informations supplémentaires concernant la conduite à tenir à la suite de signalements (ci-après dénommé «manuel SIRENE»). Les bureaux SIRENE devraient assurer cet échange d'informations de manière rapide et efficace.

(10)

Pour garantir un échange efficace d'informations supplémentaires, y compris en ce qui concerne la conduite à tenir spécifiée dans les signalements, il y a lieu de renforcer le fonctionnement des bureaux SIRENE en précisant les exigences quant aux ressources disponibles et à la formation des utilisateurs et au délai pour répondre aux demandes de renseignements reçues d'autres bureaux SIRENE.

(11)

Il convient que les États membres veillent à ce que le personnel de leur bureau SIRENE ait les compétences linguistiques et les connaissances du droit et des règles de procédure applicables nécessaires à l'exercice de ses fonctions.

(12)

Afin d'être en mesure de bénéficier pleinement des fonctionnalités du SIS, les États membres devraient veiller à ce que les utilisateurs finaux et le personnel des bureaux SIRENE reçoivent régulièrement des formations, portant notamment sur la sécurité des données, la protection des données et la qualité des données. Les bureaux SIRENE devraient être associés à l'élaboration des programmes de formation. Dans la mesure du possible, les bureaux SIRENE devraient en outre prévoir des échanges de personnel avec d'autres bureaux SIRENE au moins une fois par an. Les États membres sont encouragés à prendre les mesures utiles pour empêcher que la rotation du personnel ne cause une perte de compétences et d'expérience.

(13)

L'eu-LISA est chargée de la gestion opérationnelle des éléments centraux du SIS. Afin de permettre à l'eu-LISA de consacrer les moyens financiers et humains nécessaires pour couvrir tous les aspects de la gestion opérationnelle du SIS central et de l'infrastructure de communication, le présent règlement devrait décrire ses tâches en détail, notamment en ce qui concerne les aspects techniques de l'échange d'informations supplémentaires.

(14)

Sans préjudice de la responsabilité des États membres relative à l'exactitude des données introduites dans le SIS et du rôle des bureaux SIRENE en tant que coordinateurs de la qualité, l'eu-LISA devrait être chargée de renforcer la qualité des données en introduisant un outil de contrôle central de cette qualité et devrait présenter des rapports à la Commission et aux États membres à intervalles réguliers. La Commission devrait faire rapport au Parlement européen et au Conseil sur les problèmes rencontrés quant à la qualité des données. En vue d'améliorer davantage la qualité des données dans le SIS, l'eu-LISA devrait également proposer une formation sur l'utilisation du SISaux organismes de formation nationaux et, dans la mesure du possible, aux bureaux SIRENE et aux utilisateurs finaux.

(15)

En vue d'un meilleur contrôle de l'utilisation du SIS et pour analyser les tendances en matière d'infractions pénales, l'eu-LISA devrait être en mesure d'acquérir la capacité de fournir, en utilisant les méthodes les plus modernes, des rapports statistiques aux États membres, au Parlement européen, au Conseil, à la Commission, à Europol, à Eurojust et à l'Agence européenne de garde-frontières et de garde-côtes sans compromettre l'intégrité des données. Il convient dès lors de créer un fichier central. Les statistiques conservées dans ce fichier ou fournies par celui-ci ne devraient contenir aucune donnée à caractère personnel. Les États membres devraient communiquer, dans le cadre de la coopération entre les autorités de contrôle et le Contrôleur européen de la protection des données prévue par le présent règlement, des statistiques concernant l'exercice du droit d'accès, de rectification des données inexactes et d'effacement des données conservées de manière illicite.

(16)

De nouvelles catégories de données devraient être introduites dans le SIS pour permettre aux utilisateurs finaux de prendre des décisions éclairées fondées sur un signalement sans perdre de temps. Aussi, afin de faciliter l'identification et de détecter les identités multiples, le signalement devrait comporter, lorsqu'une telle information est disponible, une référence au document d'identification personnel de la personne concernée ou au numéro de ce document et une copie du document, si possible en couleurs.

(17)

Les autorités compétentes devraient pouvoir, en cas de nécessité absolue, introduire dans le SIS des informations spécifiques concernant des caractéristiques physiques, spécifiques et objectives d'une personne qui ne sont pas susceptibles de changer, telles que des tatouages, des marques ou des cicatrices.

(18)

Si elles sont disponibles, toutes les données pertinentes, en particulier le prénom de la personne concernée, devraient être insérées lors de la création d'un signalement, afin de réduire autant que possible le risque de fausses réponses positives et les activités opérationnelles inutiles.

(19)

Aucune donnée ayant servi à effectuer des recherches ne devrait être conservée dans le SIS, à l'exception de la tenue de registres afin de pouvoir contrôler la licéité de la recherche et la licéité du traitement des données, d'assurer un autocontrôle et le bon fonctionnement des systèmes nationaux, et de garantir l'intégrité et la sécurité des données.

(20)

Le SIS devrait permettre le traitement des données biométriques afin d'aider à identifier les personnes concernées de manière fiable. Toute introduction de photographies, d'images faciales ou de données dactyloscopiques dans le SIS et toute utilisation de ces données devraient être limitées à ce qui est nécessaire pour atteindre les objectifs poursuivis, devraient être autorisées par le droit de l'Union, devraient respecter les droits fondamentaux, notamment l'intérêt supérieur de l'enfant, et devraient être conformes au droit de l'Union en matière de protection des données, y compris les dispositions applicables en matière de protection des données prévues par le présent règlement. Dans la même optique, de manière à éviter les problèmes causés par des erreurs d'identification, le SIS devrait également permettre le traitement de données relatives à des personnes dont l'identité a été usurpée, sous réserve de garanties adaptées, de l'obtention du consentement des personnes concernées pour chaque catégorie de données, en particulier les empreintes palmaires, et d'une stricte limitation des fins auxquelles ces données à caractère personnel peuvent être traitées de manière licite.

(21)

Les États membres devraient prendre les mesures techniques nécessaires pour que, chaque fois que les utilisateurs finaux ont le droit d'effectuer des recherches dans une base de données nationale des services de police ou d'immigration, ils puissent aussi faire des recherches dans le SIS en parallèle, sous réserve des principes énoncés à l'article 4 de la directive (UE) 2016/680 du Parlement européen et du Conseil (9) et à l'article 5 du règlement (UE) 2016/679 du Parlement européen et du Conseil (10). Ceci devrait garantir que le SIS fonctionne comme la principale mesure compensatoire dans l'espace sans contrôles aux frontières intérieures et tienne mieux compte de la dimension transfrontière de la criminalité et de la mobilité des criminels.

(22)

Le présent règlement devrait définir les conditions d'utilisation des données dactyloscopiques, des photographies et des images faciales à des fins d'identification et de vérification. Les images faciales et les photographies ne devraient être utilisées, dans un premier temps, à des fins d'identification que dans le contexte des points de passage frontalier habituels. Une telle utilisation devrait faire l'objet d'un rapport de la Commission confirmant que la technique requise est disponible, fiable et prête à être employée.

(23)

L'introduction d'un système automatisé d'identification d'empreintes digitales dans le SIS complète le dispositif actuel fondé sur le traité de Prüm sur l'accès mutuel en ligne transfrontalier à certaines bases de données nationales ADN et à certains systèmes automatisés nationaux d'identification d'empreintes digitales, visé dans les décisions 2008/615/JAI (11) et 2008/616/JAI du Conseil (12). La recherche à l'aide des données dactyloscopiques dans le SIS permet une recherche active de l'auteur d'une infraction. Il devrait donc être possible de charger dans le SIS les données dactyloscopiques d'un auteur inconnu, à condition que la personne à laquelle appartiennent ces données puisse être identifiée avec un degré très élevé de probabilité comme étant l'auteur d'une infraction grave ou d'un acte de terrorisme. C'est notamment le cas si des données dactyloscopiques sont trouvées sur l'arme ou sur tout objet ayant servi à commettre l'infraction. La seule présence des données dactyloscopiques sur le lieu de l'infraction ne devrait toutefois pas être considérée comme indiquant, avec un degré très élevé de probabilité, que ces données dactyloscopiques sont celles de l'auteur. Une autre condition préalable à la création d'un tel signalement devrait être que l'identité du suspect ne puisse pas être établie sur la base de données provenant d'une autre base de données nationale, de l'Union ou internationale pertinente. Si la recherche à l'aide des données dactyloscopiques aboutit à une correspondance potentielle, l'État membre devrait procéder à d'autres vérifications, avec la participation d'experts, pour déterminer si les empreintes conservées dans le SIS appartiennent au suspect, et il devrait établir l'identité de la personne. La procédure devrait être régie par le droit national. Une telle identification pourrait faire avancer considérablement une enquête et pourrait aboutir à une arrestation, pour autant que toutes les conditions pour une arrestation soient remplies.

(24)

Les recherches dans les données dactyloscopiques conservées dans le SIS devraient être autorisées à l'aide de séries complètes ou incomplètes d'empreintes digitales ou d'empreintes palmaires trouvées sur le lieu d'une infraction s'il peut être établi avec un degré élevé de probabilité qu'elles sont celles de l'auteur de l'infraction grave ou de l'infraction terroriste, pour autant qu'une recherche soit effectuée simultanément dans les bases de données d'empreintes digitales nationales pertinentes. Il convient d'accorder une attention particulière à l'établissement de normes de qualité applicables à la conservation de données biométriques, y compris les données dactyloscopiques latentes.

(25)

Chaque fois que l'identité d'une personne ne peut être établie par aucun autre moyen, il convient d'utiliser les données dactyloscopiques pour tenter d'identifier la personne. Il devrait être autorisé dans tous les cas d'identifier une personne en utilisant des données dactyloscopiques.

(26)

Il devrait être possible d'ajouter un profil ADN à un signalement dans des cas clairement définis où l'on ne dispose pas de données dactyloscopiques. Ce profil ADN ne devrait être accessible qu'à des utilisateurs autorisés. Les profils ADN devraient faciliter l'identification des personnes disparues qui ont besoin d'une protection, et en particulier des enfants disparus, notamment en autorisant l'utilisation de profils ADN d'ascendants directs, de descendants ou de frères et sœurs pour permettre l'identification. Les données ADN ne devraient contenir que les informations minimales nécessaires à l'identification de la personne disparue.

(27)

Les profils ADN ne devraient être extraits du SIS que lorsqu'une identification est nécessaire et proportionnée aux fins prévues par le présent règlement. Les profils ADN ne devraient être extraits ou traités à aucune autre fin que celles pour lesquelles ils ont été introduits dans le SIS. Il convient d'appliquer les règles en matière de protection des données et de sécurité des données fixées dans le présent règlement. Des garanties supplémentaires devraient, si nécessaire, être mises en place lors de l'utilisation de profils ADN afin d'éviter les risques de fausses correspondances, de piratage et de communication non autorisée à des tiers.

(28)

Le SIS devrait contenir des signalements concernant des personnes recherchées en vue d'une arrestation aux fins de remise et en vue d'une arrestation aux fins d'extradition. Outre les signalements, il convient de prévoir l'échange, par l'intermédiaire des bureaux SIRENE, d'informations supplémentaires nécessaires aux procédures de remise et d'extradition. En particulier, les données visées à l'article 8 de la décision-cadre 2002/584/JAI du Conseil (13) devraient être traitées dans le SIS. Pour des raisons opérationnelles, il convient que l'État membre signalant, avec l'autorisation des autorités judiciaires, rende temporairement inaccessible un signalement aux fins d'arrestation existant lorsqu'une personne qui fait l'objet d'un mandat d'arrêt européen est intensivement et activement recherchée et que les utilisateurs finaux qui ne participent pas aux opérations de recherche concrètes risquent de compromettre leur succès. L'impossibilité temporaire de consulter ces signalements ne devrait en principe pas dépasser 48 heures.

(29)

Il faudrait prévoir la possibilité d'ajouter dans le SIS une traduction des données complémentaires introduites aux fins de remise en vertu d'un mandat d'arrêt européen et aux fins d'extradition.

(30)

Le SIS devrait contenir des signalements concernant les personnes disparues ou concernant les personnes vulnérables qui doivent être empêchées de voyager pour que leur protection soit garantie ou pour prévenir des menaces contre la sécurité publique ou l'ordre public. Dans le cas d'enfants, ces signalements et les procédures correspondantes devraient servir l'intérêt supérieur de l'enfant conformément à l'article 24 de la Charte des droits fondamentaux de l'Union européenne et à l'article 3 de la convention des Nations unies relative aux droits de l'enfant du 20 novembre 1989. Il convient que les mesures et décisions prises par les autorités compétentes, notamment les autorités judiciaires, à la suite d'un signalement concernant un enfant soient prises en concertation avec les autorités responsables de la protection de l'enfance. Si nécessaire, la ligne nationale d'urgence pour les disparitions d'enfants devrait en être informée.

(31)

Il convient que les signalements concernant des personnes disparues devant être placées sous protection soient introduits à la demande de l'autorité compétente. Tout enfant ayant disparu d'un centre d'accueil d'un État membre devrait faire l'objet d'un signalement concernant des personnes disparues dans le SIS.

(32)

Les signalements concernant des enfants risquant d'être enlevés par un de leurs parents devraient être introduits dans le SIS à la demande des autorités compétentes, y compris les autorités judiciaires compétentes en matière de responsabilité parentale en vertu du droit national. Des signalements concernant des enfants risquant d'être enlevés par un de leurs parents ne devraient être introduits dans le SIS que si ce risque est concret et manifeste et dans des circonstances limitées. Il y a donc lieu de prévoir des garanties rigoureuses et appropriées. Lorsqu'elle évalue s'il existe un risque concret et manifeste qu'un enfant soit déplacé, de manière imminente et illégale, hors d'un État membre, l'autorité compétente devrait tenir compte de la situation personnelle de l'enfant et de l'environnement auquel il est exposé.

(33)

Le présent règlement devrait créer une nouvelle catégorie de signalements pour certaines catégories de personnes vulnérables qui doivent être empêchées de voyager. Il convient de considérer comme vulnérables les personnes qui, en raison de leur âge, d'un handicap ou de leur situation familiale, ont besoin d'une protection.

(34)

Des signalements concernant les enfants qui doivent être empêchés de voyager pour leur propre protection devraient être introduits dans le SIS lorsqu'il existe un risque concret et manifeste qu'ils soient déplacés hors du territoire d'un État membre ou qu'ils le quittent. Il convient d'introduire de tels signalements si voyager leur fait courir le risque de devenir victimes de la traite des êtres humains, d'un mariage forcé ou d'une mutilation génitale féminine ou de toute autre forme de violence fondée sur le genre, de devenir victimes d'infractions terroristes ou d'être impliqués dans de telles infractions, de subir la conscription ou l'enrôlement dans des groupes armés ou de devoir participer activement à des hostilités.

(35)

Il convient d'introduire des signalements concernant des adultes vulnérables qui doivent être empêchés de voyager pour leur propre protection si voyager leur fait courir le risque de devenir victimes de la traite des êtres humains ou de violences fondées sur le genre.

(36)

Afin que des garanties rigoureuses et appropriées soient assurées, il convient que les signalements concernant des enfants ou d'autres personnes vulnérables qui doivent être empêchés de voyager soient, dans la mesure où le droit national l'exige, introduits dans le SIS à la suite d'une décision prononcée par une autorité judiciaire ou d'une décision prise par une autorité compétente ayant été confirmée par une autorité judiciaire.

(37)

Une nouvelle conduite à tenir devrait être introduite afin que la personne concernée puisse être interceptée et interrogée de manière à ce que l'État membre signalant obtienne des informations détaillées. Cette conduite devrait s'appliquer dans les cas où, sur la base d'une indication claire, une personne est soupçonnée d'avoir l'intention de commettre l'une des infractions visées à l'article 2, paragraphes 1 et 2, de la décision-cadre 2002/584/JAI ou est soupçonnée d'avoir commis une telle infraction, lorsque des informations supplémentaires sont nécessaires pour l'exécution d'une peine ou d'une mesure de sûreté privatives de liberté prononcées à l'encontre d'une personne reconnue coupable de l'une des infractions visées à l'article 2, paragraphes 1 et 2, de la décision-cadre 2002/584/JAI, ou lorsqu'il existe des raisons de croire que cette personne va commettre une de ces infractions. Cette conduite à tenir devrait également s'entendre sans préjudice des mécanismes d'entraide judiciaire existants. Elle devrait permettre d'obtenir suffisamment d'informations pour décider des mesures à prendre par la suite. Cette nouvelle conduite ne devrait pas revenir à fouiller la personne ou à l'arrêter. Il convient de préserver les droits procéduraux des suspects et des personnes poursuivies au titre du droit de l'Union et du droit national, y compris leur droit d'accès à un avocat conformément à la directive 2013/48/UE du Parlement européen et du Conseil (14).

(38)

En cas de signalements concernant des objets aux fins d'une saisie ou à titre de preuve dans une procédure pénale, les objets concernés devraient être saisis conformément au droit national qui détermine si un objet doit être saisi et dans quelles conditions, en particulier s'il est en la possession de son propriétaire légitime.

(39)

Le SIS devrait comporter de nouvelles catégories d'objets de grande valeur, tels que les produits informatiques, qui peuvent être identifiés et faire l'objet d'une recherche avec un numéro d'identification unique.

(40)

En ce qui concerne les signalements introduits dans le SIS concernant des documents aux fins d'une saisie ou à titre de preuve dans une procédure pénale, le terme «faux» devrait s'entendre comme désignant aussi bien les documents falsifiés que les documents contrefaits.

(41)

Il y a lieu de prévoir la possibilité pour un État membre d'apposer sur le signalement une mention, appelée «indicateur de validité», tendant à ce que la conduite à tenir sur la base du signalement ne soit pas exécutée sur son territoire. Lorsque des signalements sont introduits en vue d'une arrestation aux fins de remise, rien dans le présent règlement ne devrait être interprété comme dérogeant aux dispositions de la décision-cadre 2002/584/JAI ou comme en empêchant l'application. La décision d'apposer un indicateur de validité sur un signalement en vue de la non-exécution d'un mandat d'arrêt européen ne devrait être fondée que sur les motifs de refus prévus dans ladite décision-cadre.

(42)

Lorsqu'un indicateur de validité a été apposé et que le lieu où se trouve la personne recherchée en vue d'une arrestation aux fins de remise vient à être connu, ce lieu devrait toujours être communiqué à l'autorité judiciaire d'émission, qui peut décider de transmettre un mandat d'arrêt européen à l'autorité judiciaire compétente conformément aux dispositions de la décision-cadre 2002/584/JAI.

(43)

Il devrait être possible pour les États membres de mettre en relation les signalements dans le SIS. Cette mise en relation de deux signalements ou plus ne devrait avoir aucun effet sur la conduite à tenir, le délai de réexamen des signalements ou les droits d'accès aux signalements.

(44)

Les signalements ne devraient pas être conservés dans le SIS pour une durée plus longue que le temps nécessaire à la réalisation des finalités spécifiques pour lesquelles ils ont été introduits. Les délais de réexamen pour les différentes catégories de signalements devraient être appropriés au vu de leur finalité. Les signalements concernant des objets qui sont liés à un signalement concernant une personne ne devraient être conservés que pour la durée pendant laquelle le signalement concernant la personne est conservé. La décision de conserver des signalements concernant des personnes devrait être fondée sur une évaluation individuelle complète. Les États membres devraient réexaminer les signalements concernant des personnes et des objets dans les délais de réexamen prescrits et tenir des statistiques sur le nombre de signalements dont la durée de conservation a été prolongée.

(45)

Lors de l'introduction d'un signalement dans le SIS et du report de la date d'expiration d'un signalement dans le SIS, il convient de respecter une exigence de proportionnalité, impliquant de vérifier si un cas déterminé est suffisamment approprié, pertinent et important pour justifier l'introduction d'un signalement dans le SIS. Dans les cas d'infractions terroristes, le cas devrait être jugé suffisamment approprié, pertinent et important pour justifier un signalement dans le SIS. Pour des raisons de sécurité publique ou nationale, les États membres devraient être autorisés, à titre exceptionnel, à s'abstenir d'introduire un signalement dans le SIS si celui-ci risque de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires.

(46)

Il est nécessaire d'élaborer des règles sur la suppression des signalements. Un signalement ne devrait être conservé que pendant la durée nécessaire à la réalisation de la finalité pour laquelle il a été introduit. Compte tenu des pratiques divergentes des États membres pour déterminer le moment où un signalement a atteint son objectif, il convient d'établir pour chaque catégorie de signalements des critères détaillés permettant de déterminer quand le signalement devrait être supprimé.

(47)

L'intégrité des données du SIS est de la plus haute importance. Il convient dès lors de prévoir des mesures de protection adaptées pour que les données du SIS soient traitées, au niveau tant central que national, d'une manière qui assure leur sécurité de bout en bout. Les autorités intervenant dans le traitement des données devraient être liées par les obligations de sécurité prévues par le présent règlement et soumises à une procédure uniforme de déclaration des incidents. Leur personnel devrait avoir reçu une formation adéquate et être informé des infractions et sanctions éventuelles en la matière.

(48)

Les données traitées dans le SIS et les informations supplémentaires connexes échangées au titre du présent règlement ne devraient pas être transférées à des pays tiers ou à des organisations internationales ni mises à leur disposition.

(49)

Il y a lieu d'accorder un accès au SIS aux services chargés d'immatriculer les véhicules, les bateaux et les aéronefs pour leur permettre de vérifier si le moyen de transport en question est recherché dans les États membres aux fins d'une saisie. Il y a également lieu d'accorder un accès au SIS aux services chargés d'enregistrer les armes à feu pour leur permettre de vérifier si l'arme à feu concernéee fait l'objet de recherches dans les États membres aux fins d'une saisie ou s'il existe un signalement concernant la personne qui demande l'enregistrement.

(50)

Il ne devrait être accordé d'accès direct au SIS qu'aux services publics compétents. Cet accès devrait être limité aux signalements concernant les moyens de transport en cause et leur document ou plaque d'immatriculation, ou les armes à feu en cause et les personnes demandant leur enregistrement. Toute réponse positive dans le SIS devrait être signalée par ces services aux services de police, qui devraient prendre des mesures supplémentaires conformément au signalement particulier figurant dans le SIS et informer l'État membre signalant de la réponse positive par l'intermédiaire des bureaux SIRENE.

(51)

Sans préjudice de règles plus spécifiques prévues par le présent règlement, les dispositions législatives, réglementaires et administratives nationales adoptées en vertu de la directive (UE) 2016/680 devraient s'appliquer aux traitements, y compris la collecte et la communication, de données à caractère personnel effectués en vertu du présent règlement par les autorités nationales compétentes aux fins de la prévention et de la détection d'infractions terroristes ou d'autres infractions pénales graves, des enquêtes et poursuites en la matière ou de l'exécution des sanctions pénales. L'accès aux données introduites dans le SIS et le droit d'effectuer des recherches dans ces données dont disposent les autorités nationales compétentes chargées de la prévention et de la détection des infractions terroristes ou d'autres infractions pénales graves, des enquêtes et poursuites en la matière ou de l'exécution des sanctions pénales sont soumis à toutes les dispositions pertinentes du présent règlement et de la directive (UE) 2016/680 telle qu'elle est transposée en droit national, et en particulier à la surveillance par les autorités de contrôle visées dans la directive (UE) 2016/680.

(52)

Sans préjudice de règles plus spécifiques prévues par le présent règlement en ce qui concerne le traitement de données à caractère personnel, le règlement (UE) 2016/679 devrait s'appliquer aux traitements de données à caractère personnel effectués par les États membres en vertu du présent règlement, sauf si ces traitements sont effectués par les autorités nationales compétentes aux fins de la prévention et de la détection d'infractions terroristes ou d'autres infractions pénales graves, et des enquêtes et poursuites en la matière.

(53)

Le règlement (UE) 2018/1725 du Parlement européen et du Conseil (15) devrait s'appliquer aux traitements de données à caractère personnel effectués par les institutions et organes de l'Union dans l'exercice de leur fonctions au titre du présent règlement.

(54)

Le règlement (UE) 2016/794 du Parlement européen et du Conseil (16) devrait s'appliquer aux traitements de données à caractère personnel effectués par Europol au titre du présent règlement.

(55)

Lorsque des recherches effectuées dans le SIS par des membres nationaux d'Eurojust et leurs assistants révèlent l'existence d'un signalement introduit par un État membre, Eurojust ne devrait pas pouvoir exécuter la conduite demandée. Il devrait dès lors informer l'État membre concerné pour lui permettre de donner suite à l'affaire.

(56)

Lorsqu'elles utilisent le SIS, les autorités compétentes devraient veiller au respect de la dignité et de l'intégrité des personnes dont les données sont traitées. Les traitements de données à caractère personnel aux fins du présent règlement ne doivent aboutir à aucune discrimination à l'encontre des personnes, fondée notamment sur le sexe, l'origine raciale ou ethnique, la religion ou les croyances, le handicap, l'âge ou l'orientation sexuelle.

(57)

En ce qui concerne la confidentialité, les dispositions pertinentes du statut des fonctionnaires de l'Union européenne et du régime applicable aux autres agents de l'Union fixées dans le règlement (CEE, Euratom CECA) no 259/68 du Conseil (17) (ci-après dénommés «statut») devraient s'appliquer aux fonctionnaires et autres agents employés et travaillant dans le cadre du SIS.

(58)

Tant les États membres que l'eu-LISA devraient disposer de plans de sécurité visant à faciliter la mise en œuvre des obligations en matière de sécurité et devraient coopérer de manière à traiter les questions de sécurité dans une perspective commune.

(59)

Les autorités de contrôle indépendantes nationales visées dans le règlement (UE) 2016/679 et la directive (UE) 2016/680 (ci-après dénommées «autorités de contrôle») devraient vérifier la licéité des traitements de données à caractère personnel effectués par les États membres en vertu du présent règlement, y compris les échanges d'informations supplémentaires. Les autorités de contrôle devraient être dotées de ressources suffisantes pour mener à bien cette mission. Il convient de prévoir des dispositions sur le droit des personnes concernées d'avoir accès à leurs données à caractère personnel conservées dans le SIS et d'obtenir la rectification et l'effacement de ces données, et sur tout recours ultérieur devant les juridictions nationales ainsi que sur la reconnaissance mutuelle des décisions judiciaires. Il y a également lieu d'imposer aux États membres l'établisssement de statistiques annuelles.

(60)

Les autorités de contrôle devraient veiller à ce que soit réalisé, tous les quatre ans au minimum, un audit des opérations de traitement des données dans les systèmes nationaux de leur État membre, conformément aux normes internationales d'audit. Cet audit devrait être réalisé par les autorités de contrôle elles-mêmes ou être commandé directement par les autorités de contrôle à un auditeur indépendant en matière de protection des données. Ce dernier devrait rester sous le contrôle et la responsabilité des autorités de contrôle concernées, qui devraient dès lors donner des instructions à l'auditeur et définir clairement l'objet de l'audit, son étendue et sa méthode, et donner des indications et exercer un contrôle sur l'audit et ses résultats finaux.

(61)

Le Contrôleur européen de la protection des données devrait contrôler les activités des institutions et des organes de l'Union dans le domaine du traitement de données à caractère personnel effectué au titre du présent règlement. Le Contrôleur européen de la protection des données et les autorités de contrôle devraient coopérer dans le cadre du suivi du SIS.

(62)

Le Contrôleur européen de la protection des données devrait être doté de ressources suffisantes pour s'acquitter des tâches que lui confie le présent règlement, y compris l'aide de personnes ayant une expertise en matière de données biométriques.

(63)

Le règlement (UE) 2016/794 prévoit qu'Europol appuie et renforce l'action des autorités nationales compétentes et leur coopération mutuelle dans la lutte contre le terrorisme et les formes graves de criminalité, et qu'il fournit des analyses et des évaluations de la menace. L'élargissement des droits d'accès d'Europol aux signalements concernant des personnes disparues devrait encore améliorer sa capacité d'apporter aux autorités répressives nationales un appui opérationnel et analytique complet en matière de traite des êtres humains et d'exploitation sexuelle des enfants, y compris en ligne. Ceci contribuerait à une meilleure prévention de ces infractions pénales, à la protection des victimes potentielles et aux enquêtes sur les auteurs de ces infractions. Ce droit d'accès d'Europol aux signalements concernant des personnes disparues bénéficierait aussi à son Centre européen de lutte contre la cybercriminalité, notamment pour les cas de tourisme sexuel et de pédopornographie en ligne, où les auteurs affirment souvent avoir accès, ou pouvoir avoir accès, à des enfants qui sont susceptibles d'avoir été enregistrés comme personnes disparues.

(64)

Afin de pallier le partage insuffisant d'informations sur le terrorisme, en particulier sur les combattants terroristes étrangers, dont la surveillance des mouvements est essentielle, les États membres sont encouragés à partager avec Europol leurs informations sur les activités liées au terrorisme. Ce partage d'informations devrait s'effectuer par la voie d'échange d'informations supplémentaires avec Europol sur les signalements concernés. À cette fin, Europol devrait établir une connexion avec l'infrastructure de communication.

(65)

Il est également nécessaire d'établir des règles claires à l'intention d'Europol au sujet du traitement et du téléchargement des données du SIS pour lui permettre d'utiliser le SIS de manière complète, à condition que les normes en matière de protection des données soient respectées comme le prévoient le présent règlement et le règlement (UE) 2016/794. Lorsque des recherches effectuées dans le SIS par Europol révèlent l'existence d'un signalement introduit par un État membre, Europol ne peut pas exécuter la conduite requise. Il devrait dès lors informer l'État membre concerné, par la voie d'échange d'informations supplémentaires avec le bureau SIRENE concerné, pour permettre à cet État membre de donner suite à l'affaire.

(66)

Le règlement (UE) 2016/1624 du Parlement européen et du Conseil (18) prévoit, aux fins du présent règlement, que l'État membre hôte autorise les membres des équipes visés à l'article 2, point 8), dudit règlement qui sont déployés par l'Agence européenne de garde-frontières et de garde-côtes à consulter les bases de données de l'Union lorsque cette consultation est nécessaire à la réalisation des objectifs opérationnels précisés dans le plan opérationnel relatif aux vérifications aux frontières, à la surveillance des frontières et au retour. D'autres agences concernées de l'Union, en particulier le Bureau européen d'appui en matière d'asile et Europol, peuvent également déployer, dans le cadre des équipes d'appui à la gestion des flux migratoires, des experts qui n'appartiennent pas au personnel de ces agences de l'Union. Le déploiement des équipes visées à l'article 2, points 8) et 9), dudit règlement a pour objectif de fournir des renforts techniques et opérationnelsaux États membres demandeurs, en particulier à ceux confrontés à des défis migratoires disproportionnés. Pour accomplir les tâches qui leur sont confiées, les équipes visées à l'article 2, points 8) et 9), dudit règlement ont besoin d'avoir accès au SIS par l'intermédiaire d'une interface technique de l'Agence européenne de garde-frontières et de garde-côtes qui permet de se connecter au SIS central. Lorsque des recherches effectuées dans le SIS par les équipes visées à l'article 2, points 8) et 9), du règlement (UE) 2016/1624 ou par les équipes d'agents révèlent l'existence d'un signalement introduit par un État membre, le membre de l'équipe ou l'agent ne peut exécuter la conduite requise que si l'État membre hôte l'y autorise. L'État membre hôte devrait dès lors être informé pour lui permettre de donner suite à l'affaire. L'État membre hôte devrait notifier la réponse positive à l'État membre signalant par la voie d'échange d'informations supplémentaires.

(67)

Certains aspects du SIS ne peuvent pas être couverts de manière exhaustive par le présent règlement en raison de leur nature technique, de leur niveau élevé de précision et de leur nature sujette à de fréquents changements. Ces aspects incluent, par exemple, des règles techniques concernant l'introduction, la mise à jour et la suppression des données, et les recherches dans les données, et concernant la qualité des données, et des règles liées aux données biométriques, des règles sur la compatibilité et l'ordre de priorité des signalements, sur la mise en relation des signalements, sur la fixation de la date d'expiration des signalements dans les limites du délai maximal et sur l'échange d'informations supplémentaires. Il convient donc de conférer des compétences d'exécution relatives à ces aspects à la Commission. Les règles techniques concernant les recherches de signalements devraient tenir compte du bon fonctionnement des applications nationales.

(68)

Afin d'assurer des conditions uniformes d'exécution du présent règlement, il convient de conférer des compétences d'exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (19). La procédure d'adoption des actes d'exécution au titre du présent règlement et du règlement (UE) 2018/1861 devrait être identique.

(69)

Pour assurer la transparence, l'eu-LISA devrait, deux ans après la mise en service du SIS en vertu du présent règlement, établir un rapport sur le fonctionnement technique du SIS central et de l'infrastructure de communication, y compris la sécurité qu'ils offrent, et sur les échanges bilatéraux et multilatéraux d'informations supplémentaires. La Commission devrait procéder à une évaluation globale tous les quatre ans.

(70)

Afin de garantir le bon fonctionnement du SIS, il convient de déléguer à la Commission le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne en ce qui concerne de nouvelles sous-catégories d'objets à rechercher dans le cadre de signalements concernant des objets aux fins d'une saisie ou à titre de preuve dans une procédure pénale, et la détermination des circonstances dans lesquelles des photographies et des images faciales peuvent être utilisées aux fins de l'identification de personnes dans un contexte autre que celui des points de passage frontaliers habituels. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l'accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (20). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d'experts de la Commission traitant de la préparation des actes délégués.

(71)

Étant donné que les objectifs du présent règlement, à savoir l'établissement d'un système d'information de l'Union et la fixation de règles applicables à ce système ainsi que l'échange d'informations supplémentaires connexes, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent en raison de leur nature l'être mieux au niveau de l'Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre ces objectifs.

(72)

Le présent règlement respecte les droits fondamentaux et observe les principes reconnus, notamment, par la Charte des droits fondamentaux de l'Union européenne. En particulier, le présent règlement respecte pleinement la protection des données à caractère personnel conformément à l'article 8 de la Charte des droits fondamentaux de l'Union européenne, tout en cherchant à assurer un environnement sûr pour toutes les personnes résidant sur le territoire de l'Union et une protection spéciale pour les enfants qui pourraient être victimes de la traite des êtres humains ou d'un enlèvement. Dans les affaires concernant un enfant, l'intérêt supérieur de l'enfant devrait être une considération primordiale.

(73)

Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark ne participe pas à l'adoption du présent règlement et n'est pas lié par celui-ci ni soumis à son application. Le présent règlement développant l'acquis de Schengen, le Danemark décide, conformément à l'article 4 dudit protocole, dans un délai de six mois à partir de la décision du Conseil sur le présent règlement, s'il le transpose dans son droit interne.

(74)

Le Royaume-Uni participe au présent règlement, conformément à l'article 5, paragraphe 1, du protocole no 19 sur l'acquis de Schengen intégré dans le cadre de l'Union européenne, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, et conformément à l'article 8, paragraphe 2, de la décision 2000/365/CE du Conseil (21).

(75)

L'Irlande participe au présent règlement, conformément à l'article 5, paragraphe 1, du protocole no 19, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, et conformément à l'article 6, paragraphe 2, de la décision 2002/192/CE du Conseil (22).

(76)

En ce qui concerne l'Islande et la Norvège, le présent règlement constitue un développement des dispositions de l'acquis de Schengen au sens de l'accord conclu par le Conseil de l'Union européenne, la République d'Islande et le Royaume de Norvège sur l'association de ces deux États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (23), qui relèvent du domaine visé à l'article 1er, point G, de la décision 1999/437/CE du Conseil (24).

(77)

En ce qui concerne la Suisse, le présent règlement constitue un développement des dispositions de l'acquis de Schengen au sens de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (25) qui relèvent du domaine visé à l'article 1er, point G, de la décision 1999/437/CE, lue en liaison avec l'article 3 de la décision 2008/149/JAI du Conseil (26).

(78)

En ce qui concerne le Liechtenstein, le présent règlement constitue un développement des dispositions de l'acquis de Schengen au sens du protocole entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (27) qui relèvent du domaine visé à l'article 1er, point G, de la décision 1999/437/CE, lue en liaison avec l'article 3 de la décision 2011/349/UE du Conseil (28).

(79)

En ce qui concerne la Bulgarie et la Roumanie, le présent règlement constitue un acte fondé sur l'acquis de Schengen ou qui s'y rapporte, au sens de l'article 4, paragraphe 2, de l'acte d'adhésion de 2005 et il doit être lu en combinaison avec les décisions 2010/365/UE (29) et (UE) 2018/934 du Conseil (30).

(80)

En ce qui concerne la Croatie, le présent règlement constitue un acte fondé sur l'acquis de Schengen ou qui s'y rapporte, au sens de l'article 4, paragraphe 2, de l'acte d'adhésion de 2011 et il doit être lu en combinaison avec la décision (UE) 2017/733 du Conseil (31).

(81)

En ce qui concerne Chypre, le présent règlement constitue un acte fondé sur l'acquis de Schengen ou qui s'y rapporte, au sens de l'article 3, paragraphe 2, de l'acte d'adhésion de 2003.

(82)

Le présent règlement devrait s'appliquer à l'Irlande à des dates fixées conformémentaux procédures prévues dans les instruments pertinents concernant l'application de l'acquis de Schengen à cet État.

(83)

Le présent règlement apporte une série d'améliorations au SIS qui le rendront plus efficace, renforceront la protection des données et élargiront les droits d'accès. Certaines de ces améliorations n'exigent pas d'avancées techniques complexes, tandis que d'autres nécessitent des évolutions techniques d'une ampleur variable. Afin que les utilisateurs finaux puissent disposer des améliorations du système aussi vite que possible, le présent règlement apporte des modifications à la décision 2007/533/JAI en plusieurs étapes. Un certain nombre d'améliorations apportées au système devraient s'appliquer immédiatement, dès l'entrée en vigueur du présent règlement, tandis que d'autres devraient s'appliquer un an ou deux ans après son entrée en vigueur. Le présent règlement devrait s'appliquer dans son intégralité dans un délai de trois ans après son entrée en vigueur. Afin d'éviter les retards dans son application, la mise en œuvre progressive du présent règlement devrait être étroitement suivie.

(84)

Le règlement (CE) no 1986/2006 du Parlement européen et du Conseil (32), la décision 2007/533/JAI et la décision 2010/261/UE de la Commission (33) devraient être abrogés avec effet à la date de l'application intégrale du présent règlement.

(85)

Le Contrôleur européen de la protection des données a été consulté conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001 du Parlement européen et du Conseil (34), et a rendu un avis le 3 mai 2017,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

Dispositions générales

Article premier

Objectif général du SIS

L'objet du SIS est d'assurer un niveau élevé de sécurité dans l'espace de liberté, de sécurité et de justice de l'Union, y compris la préservation de la sécurité publique et de l'ordre public et la sauvegarde de la sécurité sur les territoires des États membres, et d'assurer l'application des dispositions de la troisième partie, titre V, chapitres 4 et 5, du traité sur le fonctionnement de l'Union européenne relatives à la libre circulation des personnes sur les territoires des États membres, à l'aide des informations transmises par ce système.

Article 2

Objet

1.   Le présent règlement établit les conditions et les procédures relatives à l'introduction et au traitement dans le SIS des signalements concernant des personnes ou des objets, et à l'échange d'informations supplémentaires et de données complémentaires aux fins de la coopération policière et de la coopération judiciaire en matière pénale.

2.   Le présent règlement prévoit également des dispositions concernant l'architecture technique du SIS, les responsabilités incombant aux États membres et à l'Agence de l'Union européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (ci-après dénommée «eu-LISA»), le traitement des données, les droits des personnes concernées et la responsabilité.

Article 3

Définitions

Aux fins du présent règlement, on entend par:

1)   «signalement»: un ensemble de données introduites dans le SIS permettant aux autorités compétentes d'identifier une personne ou un objet en vue de tenir une conduite particulière à son égard;

2)   «informations supplémentaires»: les informations ne faisant pas partie des données d'un signalement stockées dans le SIS, mais en rapport avec des signalements dans le SIS, qui doivent être échangées par l'intermédiaire des bureaux SIRENE:

a)

afin de permettre aux États membres de se consulter ou de s'informer mutuellement lors de l'introduction d'un signalement;

b)

à la suite d'une réponse positive afin que la conduite requise puisse être exécutée;

c)

en cas d'impossibilité d'exécuter la conduite requise;

d)

en ce qui concerne la qualité des données du SIS;

e)

en ce qui concerne la compatibilité des signalements et leur ordre de priorité;

f)

en ce qui concerne l'exercice du droit d'accès;

3)   «données complémentaires»: les données stockées dans le SIS et en rapport avec des signalements dans le SIS, qui doivent être immédiatement accessibles aux autorités compétentes lorsqu'une personne au sujet de laquelle des données ont été introduites dans le SIS est localisée à la suite de recherches effectuées dans le SIS;

4)   «données à caractère personnel»: les données à caractère personnel au sens de l'article 4, point 1), du règlement (UE) 2016/679;

5)   «traitement de données à caractère personnel»: toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'enregistrement dans un registre, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;

6)   «correspondance»: la succession des étapes suivantes:

a)

une recherche a été effectuée dans le SIS par un utilisateur final;

b)

cette recherche a révélé l'existence d'un signalement introduit dans le SIS par un autre État membre, et

c)

les données relatives au signalement introduit dans le SIS correspondent aux données de la recherche;

7)   «réponse positive»: une correspondance qui satisfait aux critères suivants:

a)

elle a été confirmée par:

i)

l'utilisateur final, ou

ii)

l'autorité compétente conformément aux procédures nationales, lorsque la correspondance en question était fondée sur la comparaison de données biométriques;

et

b)

une conduite complémentaire est demandée;

8)   «indicateur de validité»: une suspension de la validité d'un signalement au niveau national, qui peut être ajoutée aux signalements en vue d'une arrestation, aux signalements concernant des personnes disparues et des personnes vulnérables et aux signalements en vue de contrôles discrets, de contrôles d'investigation ou de contrôles spécifiques;

9)   «État membre signalant»: l'État membre qui a introduit le signalement dans le SIS;

10)   «État membre d'exécution»: l'État membre qui exécute ou a exécuté la conduite demandée à la suite d'une réponse positive;

11)   «utilisateur final»: un membre du personnel d'une autorité compétente autorisé à effectuer des recherches directement dans le CS-SIS, le N.SIS ou dans une copie technique de ceux-ci;

12)   «données biométriques»: les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques ou physiologiques d'une personne physique, qui permettent ou confirment son identification unique, à savoir les photographies, les images faciales, les données dactyloscopiques et le profil ADN;

13)   «données dactyloscopiques»: les données relatives aux empreintes digitales et empreintes palmaires qui, en raison de leur caractère unique et des points de référence qu'elles contiennent, permettent de réaliser des comparaisons précises et concluantes en ce qui concerne l'identité d'une personne;

14)   «image faciale»: les images numériques du visage, d'une résolution et d'une qualité d'image suffisantes pour servir à l'établissement automatisé de correspondances biométriques;

15)   «profil ADN»: un code alphanumérique qui représente un ensemble de caractéristiques d'identification de la partie non codante d'un échantillon d'ADN humain analysé, à savoir la structure moléculaire particulière issue de divers segments d'ADN (loci);

16)   «infractions terroristes»: les infractions prévues par le droit national visées aux articles 3 à 14 de la directive (UE) 2017/541 du Parlement européen et du Conseil (35) ou qui sont équivalentes à l'une de ces infractions pour les États membres qui ne sont pas liés par cette directive;

17)   «menace pour la santé publique»: une menace pour la santé publique au sens de l'article 2, point 21), du règlement (UE) 2016/399 du Parlement européen et du Conseil (36).

Article 4

Architecture technique et mode de fonctionnement du SIS

1.   Le SIS se compose:

a)

d'un système central (ci-après dénommé «SIS central») comprenant:

i)

une fonction de support technique (ci-après dénommée «CS-SIS») contenant une base de données (ci-après dénommée «base de données du SIS»), et comprenant un CS-SIS de secours;

ii)

une interface nationale uniforme (ci-après dénommée «NI-SIS»);

b)

d'un système national (ci-après dénommé «N.SIS») dans chaque État membre, constitué des systèmes de données nationaux reliés au SIS central, y compris au moins un N.SIS de secours national ou partagé; et

c)

d'une infrastructure de communication entre le CS-SIS, le CS-SIS de secours et le NI-SIS de secours (ci-après dénommée «infrastructure de communication»), fournissant un réseau virtuel crypté consacré aux données du SIS et à l'échange de données entre les bureaux SIRENE visés à l'article 7, paragraphe 2.

Un N.SIS, tel que visé au point b), peut contenir un fichier de données (ci-après dénommé «copie nationale») comportant une copie complète ou partielle de la base de données du SIS. Deux États membres ou plus peuvent mettre en place dans l'un de leurs N.SIS une copie partagée qui peut être utilisée conjointement par ces États membres. Cette copie partagée est considérée comme la copie nationale de chacun de ces États membres.

Un N.SIS de secours partagé, tel que visé au point b), peut être utilisé conjointement par deux États membres ou plus. Dans de tels cas, le N.SIS de secours partagé est considéré comme le N.SIS de secours de chacun de ces États membres. Le N.SIS et le N.SIS de secours peuvent être utilisés simultanément en vue d'assurer la disponibilité continue pour les utilisateurs finaux.

Les États membres souhaitant mettre en place une copie partagée ou un N.SIS de secours partagé à utiliser conjointement conviennent par écrit de leurs responsabilités respectives. Ils notifient leur arrangement à la Commission.

L'infrastructure de communication apporte son soutien et sa contribution pour assurer la disponibilité continue du SIS. Elle comprend des chemins redondants et séparés pour les connexions entre le CS-SIS et le CS-SIS de secours, ainsi que des chemins redondants et séparés pour les connexions entre chaque point d'accès national du réseau au SIS et le CS-SIS et le CS-SIS de secours.

2.   Les États membres introduisent, mettent à jour, et suppriment les données du SIS et effectuent des recherches dans les données du SIS par l'intermédiaire de leur propre N.SIS. Les États membres utilisant une copie nationale partielle ou complète ou une copie partagée partielle ou complète mettent cette copie à disposition pour effectuer des recherches automatisées sur le territoire de chacun de ces États membres. La copie nationale partielle ou la copie partagée partielle contient au moins les données énumérées à l'article 20, paragraphe 3, points a) à v). Il n'est pas possible d'effectuer des recherches dans les fichiers de données des N.SIS des autres États membres, sauf s'il s'agit de copies partagées.

3.   Le CS-SIS assure des fonctions techniques de contrôle et de gestion et dispose d'un CS-SIS de secours capable d'assurer l'ensemble des fonctionnalités du CS-SIS principal en cas de défaillance de ce système. Le CS-SIS et le CS-SIS de secours sont situés sur les deux sites techniques de l'eu-LISA.

4.   L'eu-LISA met en œuvre des solutions techniques pour renforcer la disponibilité continue du SIS, soit par le fonctionnement simultané du CS-SIS et du CS-SIS de secours, pour autant que le CS-SIS de secours demeure capable d'assurer le fonctionnement du SIS en cas de défaillance du CS-SIS, soit par la duplication du système ou de ses éléments. Nonobstant les exigences de procédure fixées à l'article 10 du règlement (UE) 2018/1726, l'eu-LISA réalise, au plus tard le 28 décembre 2019, une étude sur les options de solutions techniques, comportant une analyse d'impact indépendante et un analyse coûts-avantages.

5.   Si nécessaire dans des circonstances exceptionnelles, l'eu-LISA peut provisoirement mettre en place une copie supplémentaire de la base de données du SIS.

6.   Le CS-SIS assure les services nécessaires à l'introduction et au traitement des données du SIS, y compris les recherches dans la base de données du SIS. Pour les États membres qui utilisent une copie nationale ou partagée, le CS-SIS assure:

a)

les mises à jour en ligne des copies nationales;

b)

la synchronisation et la cohérence entre les copies nationales et la base de données du SIS; et

c)

les opérations d'initialisation et de restauration des copies nationales.

7.   Le CS-SIS assure une disponibilité continue.

Article 5

Coûts

1.   Les coûts d'exploitation, de maintenance et de développement ultérieur du SIS central et de l'infrastructure de communication sont à la charge du budget général de l'Union. Ces coûts couvrent les travaux effectués en ce qui concerne le CS-SIS afin d'assurer la fourniture des services visés à l'article 4, paragraphe 6.

2.   Les coûts de mise en place, d'exploitation, de maintenance et de développement ultérieur de chaque N.SIS sont à la charge de l'État membre concerné.

CHAPITRE II

Responsabilités incombant aux États membres

Article 6

Systèmes nationaux

Chaque État membre est chargé de mettre en place, d'exploiter et de continuer à développer son N.SIS, ainsi que d'en assurer la maintenance, et de le connecter au NI-SIS.

Chaque État membre assume la responsabilité de garantir aux utilisateurs finaux une disponibilité continue des données du SIS.

Chaque État membre transmet ses signalements par l'intermédiaire de son N.SIS.

Article 7

Office N.SIS et bureau SIRENE

1.   Chaque État membre désigne une autorité (ci-après dénommée «office N.SIS») qui assume la responsabilité centrale de son N.SIS.

Cette autorité est responsable du bon fonctionnement et de la sécurité du N.SIS, fait en sorte que les autorités compétentes aient accès au SIS et prend les mesures nécessaires pour assurer le respect du présent règlement. Elle est chargée de veiller à ce que toutes les fonctionnalités du SIS soient dûment mises à la disposition des utilisateurs finaux.

2.   Chaque État membre désigne une autorité nationale qui est pleinement opérationnelle 24 heures sur 24 et 7 jours sur 7 et qui assure l'échange et la disponibilité de toutes les informations supplémentaires (ci-après dénommée «bureau SIRENE»), conformément au manuel SIRENE. Chaque bureau SIRENE sert de point de contact unique pour son État membre pour l'échange des informations supplémentaires concernant les signalements et pour faciliter les conduites à tenir demandées lorsque des signalements concernant des personnes ou des objets ont été introduits dans le SIS et que ces personnes ou ces objets sont localisés à la suite d'une réponse positive.

Chaque bureau SIRENE dispose, dans le respect du droit national, d'un accès facile direct ou indirect à toutes les informations nationales pertinentes, y compris aux bases de données nationales et à toutes les informations sur les signalements de son État membre, ainsi qu'aux avis d'experts, afin d'être à même de réagir aux demandes d'informations supplémentaires rapidement et dans les délais prévus à l'article 8.

Les bureaux SIRENE coordonnent la vérification de la qualité des informations introduites dans le SIS. À ces fins, ils ont accès aux données traitées dans le SIS.

3.   Les États membres communiquent à l'eu-LISA les coordonnées de leur office N.SIS et de leur bureau SIRENE. L'eu-LISA publie la liste des offices N.SIS et des bureaux SIRENE ainsi que la liste visée à l'article 56, paragraphe 7.

Article 8

Échange d'informations supplémentaires

1.   Les informations supplémentaires sont échangées conformément aux dispositions du manuel SIRENE et au moyen de l'infrastructure de communication. Les États membres fournissent les moyens techniques et humains nécessaires pour assurer la disponibilité continue et l'échange rapide et efficace d'informations supplémentaires. Au cas où l'infrastructure de communication ne serait pas accessible, les États membres utilisent d'autres moyens techniques correctement sécurisés pour échanger des informations supplémentaires. Une liste des moyens techniques correctement sécurisés figure dans le manuel SIRENE.

2.   Les informations supplémentaires ne sont utilisées qu'aux fins auxquelles elles ont été transmises conformément à l'article 64, à moins que l'État membre signalant n'ait consenti au préalable à une autre utilisation.

3.   Les bureaux SIRENE s'acquittent de leurs tâches de manière rapide et efficace, notamment en répondant aux demandes d'informations supplémentaires dans les meilleurs délais, mais au plus tard 12 heures après la réception de la demande. En cas de signalements relatifs à des infractions terroristes, de signalements concernant des personnes recherchées en vue d'une arrestation aux fins de remise ou d'extradition et de signalements concernant des enfants visés à l'article 32, paragraphe 1, point c), les bureaux SIRENE agissent immédiatement.

Les formulaires SIRENE concernant des demandes d'informations supplémentaires présentant la priorité la plus élevée portent la mention «URGENT» et les motifs de l'urgence sont précisés.

4.   La Commission adopte des actes d'exécution pour établir les modalités relatives aux tâches confiées aux bureaux SIRENE en vertu du présent règlement et à l'échange d'informations supplémentaires sous la forme d'un manuel intitulé «manuel SIRENE». Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 9

Conformité technique et fonctionnelle

1.   Pour permettre une transmission rapide et efficace des données, chaque État membre respecte, lors de la création de son N.SIS, les normes communes, les protocoles et les procédures techniques établis afin de permettre la compatibilité de son N.SIS avec le SIS central.

2.   Si un État membre utilise une copie nationale, il veille, au moyen des services fournis par le CS-SIS et des mises à jour automatiques visées à l'article 4, paragraphe 6, à ce que les données stockées dans la copie nationale soient identiques à la base de données du SIS et compatibles avec elle, et à ce qu'une recherche dans cette copie nationale produise un résultat équivalent à celui d'une recherche dans la base de données du SIS.

3.   Les utilisateurs finaux reçoivent les données dont ils ont besoin pour s'acquitter de leurs tâches, en particulier, et si nécessaire, toutes les données disponibles permettant d'identifier la personne concernée et d'exécuter la conduite à tenir demandée.

4.   Les États membre et l'eu-LISA réalisent régulièrement des tests pour vérifier la conformité technique des copies nationales visées au paragraphe 2. Les résultats de ces tests sont pris en considération dans le cadre du mécanisme instauré par le règlement (UE) no 1053/2013 du Conseil (37).

5.   La Commission adopte des actes d'exécution pour établir et préciser les normes communes, les protocoles et les procédures techniques visés au paragraphe 1 du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 10

Sécurité — États membres

1.   Chaque État membre adopte, pour son N.SIS, les mesures, dont un plan de sécurité, un plan de continuité des opérations et un plan de rétablissement après sinistre, nécessaires pour:

a)

assurer la protection physique des données, notamment en élaborant des plans d'urgence pour la protection des infrastructures critiques;

b)

empêcher l'accès de toute personne non autorisée aux installations utilisées pour le traitement de données à caractère personnel (contrôle de l'accès aux installations);

c)

empêcher toute lecture, copie ou modification ou tout retrait non autorisés de supports de données (contrôle des supports de données);

d)

empêcher l'introduction non autorisée de données ainsi que le contrôle, la modification ou la suppression non autorisés de données à caractère personnel stockées (contrôle du stockage);

e)

empêcher l'utilisation des systèmes de traitement automatisé de données par des personnes non autorisées au moyen de matériel de transmission de données (contrôle des utilisateurs);

f)

empêcher le traitement non autorisé de données dans le SIS et toute modification ou tout effacement non autorisés de données traitées dans le SIS (contrôle de la saisie des données);

g)

garantir que les personnes autorisées à utiliser un système de traitement automatisé de données ne puissent avoir accès qu'aux données couvertes par leur autorisation d'accès, uniquement grâce à des identifiants d'utilisateur individuels et uniques et à des modes d'accès confidentiels (contrôle de l'accès aux données);

h)

s'assurer que toutes les autorités ayant un droit d'accès au SIS ou aux installations de traitement de données créent des profils décrivant les fonctions et responsabilités des personnes autorisées à avoir accès aux données, à les introduire, à les mettre à jour, et à les supprimer et à effectuer des recherches dans ces données et mettent sans tarder, et à leur demande, ces profils à la disposition des autorités de contrôle visées à l'article 69, paragraphe 1 (profils des membres du personnel);

i)

garantir la possibilité de vérifier et d'établir à quels organismes des données à caractère personnel peuvent être transmises au moyen de matériel de transmission de données (contrôle de la transmission);

j)

garantir la possibilité de vérifier et d'établir a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé de données, à quel moment, par qui et à quelle fin (contrôle de l'introduction);

k)

empêcher toute lecture, copie, modification ou suppression non autorisées de données à caractère personnel pendant la transmission de données à caractère personnel ou durant le transport de supports de données, en particulier au moyen de techniques de cryptage adaptées (contrôle du transport);

l)

contrôler l'efficacité des mesures de sécurité prévues au présent paragraphe et prendre les mesures organisationnelles nécessaires en matière de contrôle interne pour assurer le respect du présent règlement (autocontrôle);

m)

garantir le rétablissement des systèmes installés en cas d'interruption (rétablissement); et

n)

garantir que le SIS exécute correctement ses fonctions, que les erreurs soient signalées (fiabilité) et que les données à caractère personnel stockées dans le SIS ne puissent pas être corrompues par le dysfonctionnement du système (intégrité).

2.   Les États membres prennent des mesures équivalentes à celles visées au paragraphe 1 pour assurer la sécurité du traitement et de l'échange d'informations supplémentaires, y compris par la sécurisation des locaux des bureaux SIRENE.

3.   Les États membres prennent des mesures équivalentes à celles visées au paragraphe 1 du présent article pour assurer la sécurité du traitement des données du SIS effectué par les autorités visées à l'article 44.

4.   Les mesures décrites aux paragraphes 1, 2 et 3 peuvent faire partie d'une approche et d'un plan de sécurité génériques au niveau national englobant des systèmes informatiques multiples. Dans de tels cas, les exigences énoncées au présent article et leur applicabilité au SIS sont clairement identifiables dans ce plan et respectées par ce plan.

Article 11

Confidentialité — États membres

1.   Chaque État membre applique à l'égard de toutes les personnes et de tous les organismes appelés à travailler avec des données du SIS et des informations supplémentaires ses règles en matière de secret professionnel ou leur impose des obligations de confidentialité équivalentes, conformément à son droit national. Cette obligation continue de s'appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après que ces organismes ont cessé leur activité.

2.   Lorsqu'un État membre coopère avec des prestataires externes sur toute tâche liée au SIS, il suit de près les activités des prestataires afin de veiller au respect de l'ensemble des dispositions du présent règlement, notamment en ce qui concerne la sécurité, la confidentialité et la protection des données.

3.   La gestion opérationnelle des N.SIS ou de copies techniques n'est en aucun cas confiée à une entreprise ou organisation privée.

Article 12

Tenue de registres au niveau national

1.   Les États membres veillent à ce que tous les accès à des données à caractère personnel et tous les échanges de données à caractère personnel au sein du CS-SIS soient enregistrés dans leur N.SIS afin de pouvoir contrôler la licéité de la recherche et la licéité du traitement des données, d'assurer un autocontrôle et le bon fonctionnement du N.SIS et de garantir l'intégrité et la sécurité des données. Cette exigence ne s'applique pas aux processus automatiques visés à l'article 4, paragraphe 6, points a), b) et c).

2.   Les registres indiquent, en particulier, l'historique du signalement, la date et l'heure de l'opération de traitement des données, les données utilisées pour effectuer une recherche, la référence aux données traitées et les identifiants d'utilisateur individuels et uniques de l'autorité compétente et de la personne traitant les données.

3.   Par dérogation au paragraphe 2 du présent article, si la recherche est effectuée à l'aide de données dactyloscopiques ou d'une image faciale conformément à l'article 43, les registres indiquent le type de données utilisées pour effectuer la recherche au lieu des données réelles.

4.   Les registres ne sont utilisés qu'aux fins visées au paragraphe 1 et sont supprimés trois ans après leur création. Les registres contenant l'historique des signalements sont supprimés trois ans après la suppression des signalements.

5.   Les registres peuvent être conservés au-delà des périodes visées au paragraphe 4 s'ils sont nécessaires à des procédures de contrôle déjà engagées.

6.   Les autorités nationales compétentes chargées de contrôler la licéité des recherches et la licéité des traitements de données, d'assurer un autocontrôle et le bon fonctionnement du N.SIS, et de garantir l'intégrité et la sécurité des données, ont accès aux registres, dans les limites de leurs compétences et sur demande, afin de pouvoir s'acquitter de leurs tâches.

7.   Lorsque les États membres, conformément au droit national, effectuent des recherches automatisées par scan de plaques minéralogiques des véhicules à moteur via les systèmes de reconnaissance automatique des plaques minéralogiques, ils tiennent un registre des recherches conformément au droit national. Si nécessaire, il peut être mené une recherche complète dans le SIS afin de vérifier si une réponse positive a été obtenue. Les paragraphes 1 à 6 s'appliquent à toute recherche complète.

8.   La Commission adopte des actes d'exécution pour établir le contenu du registre visé au paragraphe 7 du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 13

Autocontrôle

Les États membres veillent à ce que chaque autorité autorisée à avoir accès aux données du SIS prenne les mesures nécessaires pour se conformer au présent règlement et coopère, si nécessaire, avec l'autorité de contrôle.

Article 14

Formation du personnel

1.   Avant d'être autorisé à traiter des données stockées dans le SIS, puis à intervalles réguliers après avoir obtenu l'accès à ces données, le personnel des autorités qui a un droit d'accès au SIS reçoit une formation appropriée sur la sécurité des données, sur les droits fondamentaux, dont les règles en matière de protection des données, et sur les règles et procédures relatives au traitement des données énoncées dans le manuel SIRENE. Le personnel est informé de toute disposition pertinente relative aux infractions pénales et aux sanctions, dont celles prévues à l'article 73.

2.   Les États membres disposent d'un programme de formation SIS national qui comporte une formation pour les utilisateurs finaux ainsi que pour le personnel des bureaux SIRENE.

Ce programme de formation peut faire partie d'un programme de formation général au niveau national englobant des formations dans d'autres domaines pertinents.

3.   Des formations communes sont organisées au niveau de l'Union au moins une fois par an pour renforcer la coopération entre les bureaux SIRENE.

CHAPITRE III

Responsabilités de l'eu-LISA

Article 15

Gestion opérationnelle

1.   L'eu-LISA est chargée de la gestion opérationnelle du SIS central. Elle veille, en coopération avec les États membres, à ce que le SIS central utilise en permanence la meilleure technologie disponible, sous réserve d'une analyse coûts-avantages.

2.   Il incombe également à l'eu-LISA d'assumer les tâches ci-après en ce qui concerne l'infrastructure de communication:

a)

la supervision;

b)

la sécurité;

c)

la coordination des relations entre les États membres et le fournisseur;

d)

les tâches relatives à l'exécution du budget;

e)

l'acquisition et le renouvellement; et

f)

les questions contractuelles.

3.   L'eu-LISA est également chargée des tâches ci-après en ce qui concerne les bureaux SIRENE et la communication entre les bureaux SIRENE:

a)

la coordination, la gestion et le soutien des activités de test;

b)

la gestion et la mise à jour des spécifications techniques relatives à l'échange d'informations supplémentaires entre les bureaux SIRENE et l'infrastructure de communication; et

c)

la gestion des effets des modifications techniques lorsqu'elles ont une incidence à la fois sur le SIS et sur les échanges d'informations supplémentaires entre les bureaux SIRENE.

4.   L'eu-LISA élabore et gère un dispositif et des procédures de contrôle de qualité des données du CS-SIS. Elle présente, à intervalles réguliers, des rapports aux États membres à cet effet.

L'eu-LISA présente à la Commission, à intervalles réguliers, un rapport indiquant les problèmes rencontrés et les États membres concernés.

La Commission présente au Parlement européen et au Conseil, à intervalles réguliers, un rapport sur les problèmes rencontrés quant à la qualité des données.

5.   L'eu-LISA s'acquitte également des tâches liées à l'offre d'une formation relative à l'utilisation technique du SIS et aux mesures destinées à améliorer la qualité des données du SIS.

6.   La gestion opérationnelle du SIS central comprend toutes les tâches nécessaires pour que le SIS central puisse fonctionner 24 heures sur 24, 7 jours sur 7 conformément au présent règlement, en particulier les travaux de maintenance et les développements techniques indispensables au bon fonctionnement du système. Ces tâches incluent également la coordination, la gestion et le soutien des activités de test concernant le SIS central et les N.SIS qui garantissent que le SIS central et les N.SIS fonctionnent conformément aux exigences de conformité technique et fonctionnelle énoncées à l'article 9.

7.   La Commission adopte des actes d'exécution pour établir les exigences techniques de l'infrastructure de communication. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 16

Sécurité — eu-LISA

1.   L'eu-LISA adopte, pour le SIS central et l'infrastructure de communication, les mesures, dont un plan de sécurité, un plan de continuité des opérations et un plan de rétablissement après sinistre, nécessaires pour:

a)

assurer la protection physique des données, notamment en élaborant des plans d'urgence pour la protection des infrastructures critiques;

b)

empêcher l'accès de toute personne non autorisée aux installations utilisées pour le traitement de données à caractère personnel (contrôle de l'accès aux installations);

c)

empêcher toute lecture, copie ou modification ou tout retrait non autorisés de supports de données (contrôle des supports de données);

d)

empêcher l'introduction non autorisée de données ainsi que le contrôle, la modification ou la suppression non autorisés de données à caractère personnel stockées (contrôle du stockage);

e)

empêcher l'utilisation des systèmes de traitement automatisé de données par des personnes non autorisées au moyen de matériel de transmission de données (contrôle des utilisateurs);

f)

empêcher le traitement non autorisé de données dans le SIS et toute modification ou tout effacement non autorisés de données traitées dans le SIS (contrôle de la saisie des données);

g)

garantir que les personnes autorisées à utiliser un système de traitement automatisé de données ne puissent avoir accès qu'aux données couvertes par leur autorisation d'accès, uniquement grâce à des identifiants d'utilisateur individuels et uniques et à des modes d'accès confidentiels (contrôle de l'accès aux données);

h)

créer des profils décrivant les fonctions et responsabilités des personnes autorisées à avoir accès aux données ou aux installations de traitement de données, et mettre ces profils à la disposition du Contrôleur européen de la protection des données, sans tarder et à la demande de celui-ci (profils des membres du personnel);

i)

garantir la possibilité de vérifier et d'établir à quels organismes des données à caractère personnel peuvent être transmises au moyen de matériel de transmission de données (contrôle de la transmission);

j)

garantir la possibilité de vérifier et d'établir a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé de données, à quel moment et par qui (contrôle de l'introduction);

k)

empêcher toute lecture, copie, modification ou suppression non autorisées de données à caractère personnel pendant la transmission de données à caractère personnel ou durant le transport de supports de données, en particulier au moyen de techniques de cryptage adaptées (contrôle du transport);

l)

contrôler l'efficacité des mesures de sécurité visées au présent paragraphe et prendre les mesures organisationnelles nécessaires en matière de contrôle interne pour assurer le respect du présent règlement (autocontrôle);

m)

garantir le rétablissement des systèmes installés en cas d'interruption des opérations (rétablissement);

n)

garantir que le SIS exécute correctement ses fonctions, que les erreurs soient signalées (fiabilité) et que les données à caractère personnel conservées dans le SIS ne puissent pas être corrompues par le dysfonctionnement du système (intégrité); et

o)

garantir la sécurité de ses sites techniques.

2.   L'eu-LISA prend des mesures équivalentes à celles visées au paragraphe 1 pour assurer la sécurité du traitement et de l'échange d'informations supplémentaires par l'intermédiaire de l'infrastructure de communication.

Article 17

Confidentialité — eu-LISA

1.   Sans préjudice de l'article 17 du statut, l'eu-LISA applique à l'égard de tous les membres de son personnel appelés à travailler avec des données du SIS des règles appropriées en matière de secret professionnel ou leur impose des obligations de confidentialité équivalentes d'un niveau comparable à celui prévu à l'article 11 du présent règlement. Cette obligation continue de s'appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la fin de leurs activités.

2.   L'eu-LISA prend des mesures équivalentes à celles visées au paragraphe 1 pour assurer la confidentialité de l'échange d'informations supplémentaires par l'intermédiaire de l'infrastructure de communication.

3.   Lorsque l'eu-LISA coopère avec des prestataires externes sur toute tâche liée au SIS, elle suit de près les activités des prestataires afin de veiller au respect de l'ensemble des dispositions du présent règlement, notamment en ce qui concerne la sécurité, la confidentialité et la protection des données.

4.   La gestion opérationnelle du CS-SIS n'est en aucun cas confiée à une entreprise ou organisation privée.

Article 18

Tenue de registres au niveau central

1.   L'eu-LISA veille à ce que tous les accès aux données à caractère personnel et tous les échanges de données à caractère personnel au sein du CS-SIS soient enregistrés aux fins mentionnées à l'article 12, paragraphe 1.

2.   Les registres indiquent, en particulier, l'historique du signalement, la date et l'heure de l'opération de traitement des données, les données utilisées pour effectuer une recherche, la référence aux données traitées et les identifiants d'utilisateur individuels et uniques de l'autorité compétente traitant les données.

3.   Par dérogation au paragraphe 2 du présent article, si la recherche est effectuée à l'aide de données dactyloscopiques ou d'images faciales conformément à l'article 43, les registres indiquent le type de données utilisées pour effectuer la recherche au lieu des données réelles.

4.   Les registres ne sont utilisés qu'aux fins visées au paragraphe 1, et sont supprimés trois ans après leur création. Les registres contenant l'historique des signalements sont supprimés trois ans après la suppression des signalements.

5.   Les registres peuvent être conservés au-delà des périodes visées au paragraphe 4 s'ils sont nécessaires à des procédures de contrôle déjà engagées.

6.   À des fins d'autocontrôle et pour garantir le bon fonctionnement du CS-SIS ainsi que l'intégrité et la sécurité des données, l'eu-LISA a accès à ces registres, dans les limites de ses compétences.

Le Contrôleur européen de la protection des données a accès à ces registres à sa demande, dans les limites de ses compétences et afin de pouvoir s'acquitter de ses tâches.

CHAPITRE IV

Information du public

Article 19

Campagnes d'information sur le SIS

Au début de l'application du présent règlement, la Commission, en coopération avec les autorités de contrôle et le Contrôleur européen de la protection des données, organise une campagne visant à faire connaître au public les objectifs du SIS, les données stockées dans le SIS, les autorités ayant accès au SIS et les droits des personnes concernées. La Commission mène régulièrement des campagnes de ce type, en coopération avec les autorités de contrôle et le Contrôleur européen de la protection des données. La Commission gère un site internet accessible au public qui fournit toutes les informations pertinentes relatives au SIS. Les États membres, en coopération avec leurs autorités de contrôle, élaborent et mettent en œuvre les politiques nécessaires pour assurer l'information générale de leurs citoyens et résidents sur le SIS.

CHAPITRE V

Catégories de données et apposition d'un indicateur de validité

Article 20

Catégories de données

1.   Sans préjudice de l'article 8, paragraphe 1, ou des dispositions du présent règlement prévoyant le stockage de données complémentaires, le SIS ne comporte que les catégories de données qui sont fournies par chaque État membre nécessaires aux fins prévues aux articles 26, 32, 34, 36, 38 et 40.

2.   Les catégories de données sont les suivantes:

a)

les renseignements sur les personnes pour lesquelles un signalement a été introduit;

b)

les renseignements sur les objets visés aux articles 26, 32, 34, 36 et 38.

3.   Tout signalement dans le SIS qui comporte des renseignements concernant des personnes comprend uniquement les données suivantes:

a)

les noms;

b)

les prénoms;

c)

les noms à la naissance;

d)

les noms utilisés antérieurement et les pseudonymes;

e)

les signes physiques particuliers, objectifs et inaltérables;

f)

le lieu de naissance;

g)

la date de naissance;

h)

le genre;

i)

toutes les nationalités possédées;

j)

l'indication que la personne concernée:

i)

est armée;

ii)

est violente;

iii)

s'est enfuie ou échappée;

iv)

présente un risque de suicide;

v)

représente une menace pour la santé publique; ou

vi)

est impliquée dans une activité visée aux articles 3 à 14 de la directive (UE) 2017/541;

k)

le motif du signalement;

l)

l'autorité qui a créé le signalement;

m)

une référence à la décision qui est à l'origine du signalement;

n)

la conduite à tenir en cas de réponse positive;

o)

les liens vers d'autres signalements en vertu de l'article 63;

p)

le type d'infraction;

q)

le numéro d'immatriculation de la personne dans un registre national;

r)

pour les signalements visés à l'article 32, paragraphe 1, une catégorisation du type de dossier;

s)

la catégorie des documents d'identification de la personne;

t)

le pays de délivrance des documents d'identification de la personne;

u)

le ou les numéros des documents d'identification de la personne;

v)

la date de délivrance des documents d'identification de la personne;

w)

les photographies et les images faciales;

x)

conformément à l'article 42, paragraphe 3, les profils ADN pertinents;

y)

les données dactyloscopiques;

z)

une copie des documents d'identification, si possible en couleurs.

4.   La Commission adopte des actes d'exécution pour établir et préciser les règles techniques nécessaires pour l'introduction, la mise à jour, et la suppression des données visées aux paragraphes 2 et 3 du présent article et pour les recherches dans ces données, ainsi que les normes communes visées au paragraphe 5 du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

5.   Ces règles techniques sont similaires pour les recherches dans le CS-SIS, dans les copies nationales ou partagées et dans les copies techniques réalisées en vertu de l'article 56, paragraphe 2. Elles sont fondées sur des normes communes.

Article 21

Proportionnalité

1.   Avant d'introduire un signalement et de prolonger la durée de validité d'un signalement, les États membres vérifient si le cas est suffisamment approprié, pertinent et important pour justifier un signalement dans le SIS.

2.   Lorsqu'une personne ou un objet sont recherchés dans le cadre d'un signalement lié à une infraction terroriste, le cas est considéré comme étant suffisamment approprié, pertinent et important pour justifier un signalement dans le SIS. Pour des raisons de sécurité publique ou nationale, les États membres peuvent, à titre exceptionnel, s'abstenir d'introduire le signalement si celui-ci risque de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires.

Article 22

Exigence à remplir pour l'introduction d'un signalement

1.   Tout signalement introduit dans le SIS comprend au minimum l'ensemble des données visées à l'article 20, paragraphe 3, points a), g), k), et n), sauf dans les situations visées à l'article 40. Les autres données visées audit paragraphe sont également introduites dans le SIS, si elles sont disponibles.

2.   Les données visées à l'article 20, paragraphe 3, point e), du présent règlement ne sont introduites que si cela est strictement nécessaire aux fins de l'identification de la personne concernée. Lors de l'introduction de ces données, les États membres veillent au respect de l'article 10 de la directive (UE) 2016/680.

Article 23

Compatibilité des signalements

1.   Avant d'introduire un signalement, l'État membre vérifie si la personne ou l'objet concerné fait déjà l'objet d'un signalement dans le SIS. Pour vérifier si une personne fait déjà l'objet d'un signalement, il est procédé à une vérification à l'aide des données dactyloscopiques, si ces données sont disponibles.

2.   Chaque État membre n'introduit dans le SIS qu'un seul signalement par personne ou par objet. Si nécessaire, de nouveaux signalements concernant la même personne ou le même objet peuvent être introduits par d'autres États membres, conformément au paragraphe 3.

3.   Lorsqu'une personne ou un objet fait déjà l'objet d'un signalement dans le SIS, l'État membre qui souhaite introduire un nouveau signalement vérifie qu'il n'y a pas d'incompatibilité entre les signalements. S'il n'y a pas d'incompatibilité, l'État membre peut introduire le nouveau signalement. Si les signalements sont incompatibles, les bureaux SIRENE des États membres concernés se consultent par la voie d'échanges d'informations supplémentaires pour parvenir à un accord. Les règles relatives à la compatibilité des signalements sont fixées dans le manuel SIRENE. Il peut être dérogé aux règles de compatibilité après consultation entre les États membres si des intérêts nationaux essentiels sont en jeu.

4.   En cas de réponses positives à des signalements multiples concernant la même personne ou le même objet, l'État membre d'exécution observe les règles de priorité pour les signalements fixées dans le manuel SIRENE.

Si une personne fait l'objet de signalements multiples introduits par différents États membres, les signalements en vue d'une arrestation introduits conformément à l'article 26 sont exécutés en priorité, sous réserve de l'article 25.

Article 24

Dispositions générales concernant l'apposition d'un indicateur de validité

1.   Si un État membre estime que la mise en œuvre d'un signalement introduit conformément à l'article 26, 32 ou 36 n'est pas compatible avec son droit national, ses obligations internationales ou des intérêts nationaux essentiels, il peut exiger que soit apposé sur ledit signalement un indicateur de validité visant à ce que la conduite à tenir sur la base du signalement ne soit pas exécutée sur son territoire. L'indicateur de validité est apposé par le bureau SIRENE de l'État membre signalant.

2.   Afin de permettre aux États membres de demander qu'un indicateur de validité soit apposé sur un signalement introduit conformément à l'article 26, tous les États membres sont informés automatiquement, par la voie d'échange d'informations supplémentaires, de tout nouveau signalement relevant de cette catégorie.

3.   Si, dans des cas particulièrement urgents et graves, un État membre signalant demande l'exécution de la conduite, l'État membre d'exécution examine s'il peut autoriser le retrait de l'indicateur de validité qui a été apposé à sa demande. Si l'État membre d'exécution est en mesure de le faire, il prend les dispositions nécessaires afin que la conduite à tenir puisse être exécutée immédiatement.

Article 25

Apposition d'un indicateur de validité sur les signalements en vue d'une arrestation aux fins de remise

1.   Lorsque la décision-cadre 2002/584/JAI s'applique, un État membre demande à l'État membre signalant d'apposer un indicateur de validité visant à prévenir une arrestation pour répondre à un signalement en vue d'une arrestation aux fins de remise si l'autorité judiciaire compétente en vertu du droit national pour l'exécution d'un mandat d'arrêt européen a refusé cette exécution en invoquant un motif de non-exécution et si l'apposition de l'indicateur de validité a été demandée.

Un État membre peut également demander qu'un indicateur de validité soit apposé sur le signalement si son autorité judiciaire compétente remet en liberté la personne faisant l'objet du signalement au cours de la procédure de remise.

2.   Toutefois, à la demande d'une autorité judiciaire compétente en vertu du droit national, un État membre peut également exiger de l'État membre signalant qu'il appose un indicateur de validité sur un signalement en vue d'une arrestation aux fins de remise si, sur la base d'une instruction générale ou dans un cas particulier, il est évident que l'exécution du mandat d'arrêt européen devra être refusée.

CHAPITRE VI

Signalements concernant des personnes recherchées en vue d'une arrestation aux fins de remise ou d'extradition

Article 26

Objectifs des signalements et conditions auxquelles ils sont introduits

1.   Les signalements concernant des personnes recherchées en vue d'une arrestation aux fins de remise sur la base d'un mandat d'arrêt européen ou les signalements concernant des personnes recherchées en vue d'une arrestation aux fins d'extradition sont introduits à la demande de l'autorité judiciaire de l'État membre signalant.

2.   Les signalements en vue d'une arrestation aux fins de remise sont également introduits sur la base de mandats d'arrêt émis conformément aux accords conclus entre l'Union et des pays tiers sur le fondement des traités, aux fins de la remise de personnes sur la base d'un mandat d'arrêt, qui prévoient la transmission d'un tel mandat d'arrêt par l'intermédiaire du SIS.

3.   Toute référence, dans le présent règlement, à des dispositions de la décision-cadre 2002/584/JAI s'entend comme comprenant les dispositions correspondantes des accords conclus entre l'Union et des pays tiers sur le fondement des traités, aux fins de la remise de personnes sur la base d'un mandat d'arrêt, qui prévoient la transmission d'un tel mandat d'arrêt par l'intermédiaire du SIS.

4.   En cas d'opérations en cours, l'État membre signalant peut faire en sorte qu'un signalement en vue d'une arrestation introduit conformément au présent article soit temporairement inaccessible à des fins de recherche par les utilisateurs finaux dans les États membres concernés par l'opération. Dans de tels cas, le signalement n'est accessible qu'aux bureaux SIRENE. Les États membres ne rendent un signalement inaccessible que si:

a)

la finalité de l'opération ne peut pas être atteinte par d'autres mesures;

b)

une autorisation préalable a été donnée par l'autorité judiciaire compétente de l'État membre signalant; et

c)

tous les États membres concernés par l'opération ont été informés par la voie d'échange d'informations supplémentaires.

La fonctionnalité prévue au premier alinéa n'est utilisée que pour une période n'excédant pas 48 heures. Toutefois, si cela est nécessaire sur le plan opérationnel, son utilisation peut être prolongée pour d'autres périodes de 48 heures. Les États membres tiennent des statistiques concernant le nombre de signalements pour lesquels cette fonctionnalité a été utilisée.

5.   Lorsqu'il existe une indication claire d'un lien entre des objets visés à l'article 38, paragraphe 2, points a), b), c), e), g), h), j) et k), et une personne faisant l'objet d'un signalement en vertu des paragraphes 1 et 2 du présent article, des signalements concernant ces objets peuvent être introduits afin de localiser la personne. Dans de tels cas, le signalement concernant la personne et le signalement concernant l'objet sont mis en relation conformément à l'article 63.

6.   La Commission adopte des actes d'exécution pour établir et préciser les règles nécessaires pour l'introduction, la mise à jour, et la suppression des données visées au paragraphe 5 du présent article et les recherches dans ces données. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 27

Données complémentaires concernant les personnes recherchées en vue d'une arrestation aux fins de remise

1.   Lorsqu'une personne est recherchée en vue d'une arrestation aux fins de remise sur la base d'un mandat d'arrêt européen, l'État membre signalant introduit dans le SIS une copie de l'original du mandat d'arrêt européen.

Tout État membre peut introduire dans un signalement en vue d'une arrestation aux fins de remise la copie de plusieurs mandats d'arrêt européens.

2.   L'État membre signalant peut introduire une copie de la traduction du mandat d'arrêt européen dans une ou plusieurs autres langues officielles des institutions de l'Union.

Article 28

Informations supplémentaires concernant les personnes recherchées en vue d'une arrestation aux fins de remise

L'État membre signalant qui introduit un signalement en vue d'une arrestation aux fins de remise communique aux autres États membres les informations visées à l'article 8, paragraphe 1, de la décision-cadre 2002/584/JAI par la voie d'échange d'informations supplémentaires.

Article 29

Informations supplémentaires concernant les personnes recherchées en vue d'une arrestation aux fins d'extradition

1.   L'État membre signalant qui introduit un signalement en vue d'une extradition communique à tous les autres États membres les données ci-après par voie d'échange d'informations supplémentaires:

a)

l'autorité dont émane la demande d'arrestation;

b)

l'existence ou non d'un mandat d'arrêt ou d'un document ayant la même force juridique, ou d'un jugement exécutoire;

c)

la nature et la qualification légale de l'infraction;

d)

la description des circonstances dans lesquelles l'infraction a été commise, y compris le moment, le lieu et le degré de participation à l'infraction de la personne pour laquelle un signalement a été introduit;

e)

dans la mesure du possible, les conséquences de l'infraction; et

f)

toute autre information utile ou nécessaire à l'exécution du signalement.

2.   Les données énumérées au paragraphe 1 du présent article ne sont pas communiquées lorsque les données visées à l'article 27 ou 28 ont déjà été fournies et sont considérées comme suffisantes pour l'exécution du signalement par l'État membre d'exécution.

Article 30

Conversion d'une conduite à tenir concernant des signalements en vue d'une arrestation aux fins de remise ou d'extradition

S'il n'est pas possible de procéder à une arrestation soit en raison du refus opposé par l'État membre qui est requis d'y procéder conformément aux procédures relatives à l'apposition d'un indicateur de validité prévues à l'article 24 ou 25, soit parce que, dans le cas d'un signalement en vue d'une arrestation aux fins d'extradition, une enquête n'est pas encore terminée, l'État membre qui est requis pour procéder à l'arrestation traite le signalement en communiquant le lieu où se trouve la personne concernée.

Article 31

Exécution d'une conduite fondée sur un signalement en vue d'une arrestation aux fins de remise ou d'extradition

1.   Un signalement introduit dans le SIS conformément à l'article 26 et les données complémentaires visées à l'article 27 constituent ensemble un mandat d'arrêt européen émis conformément à la décision-cadre 2002/584/JAI et produisent les mêmes effets qu'un tel mandat, lorsque ladite décision-cadre s'applique.

2.   Lorsque la décision-cadre 2002/584/JAI ne s'applique pas, un signalement introduit dans le SIS conformément aux articles 26 et 29 a la même force juridique qu'une demande d'arrestation provisoire au titre de l'article 16 de la convention européenne d'extradition du 13 décembre 1957 ou de l'article 15 du traité Benelux d'extradition et d'entraide judiciaire en matière pénale du 27 juin 1962.

CHAPITRE VII

Signalements concernant des personnes disparues ou des personnes vulnérables qui doivent être empêchées de voyager

Article 32

Objectifs des signalements et conditions auxquelles ils sont introduits

1.   Les signalements concernant les catégories ci-après de personnes sont introduits dans le SIS à la demande de l'autorité compétente de l'État membre signalant:

a)

les personnes disparues qui doivent être placées sous protection:

i)

dans l'intérêt de leur propre protection;

ii)

pour prévenir une menace à l'ordre public ou à la sécurité publique;

b)

les personnes disparues qui ne doivent pas être placées sous protection;

c)

les enfants risquant d'être enlevés par un de leurs parents, un membre de leur famille ou un tuteur, qui doivent être empêchés de voyager;

d)

les enfants qui doivent être empêchés de voyager en raison du risque concret et manifeste qu'ils courent d'être déplacés hors du territoire d'un État membre ou de le quitter et

i)

de devenir victimes de la traite des êtres humains, ou d'un mariage forcé, d'une mutilation génitale féminine ou de toute autre forme de violence fondée sur le genre;

ii)

de devenir victimes d'infractions terroristes ou d'être impliqués dans de telles infractions; ou

iii)

de subir la conscription ou l'enrôlement dans des groupes armés ou de devoir participer activement à des hostilités;

e)

les personnes vulnérables majeures et qui doivent être empêchées de voyager dans l'intérêt de leur propre protection en raison du risque concret et manifeste qu'elles courent d'être déplacées hors du territoire d'un État membre ou de le quitter et de devenir victimes de la traite des êtres humains ou de violences fondées sur le genre.

2.   Le paragraphe 1, point a), s'applique en particulier aux enfants et aux personnes qui doivent être placées en institution à la suite d'une décision d'une autorité compétente.

3.   Un signalement concernant un enfant visé au paragraphe 1, point c), est introduit à la suite d'une décision des autorités compétentes, y compris des autorités judiciaires des États membres ayant compétence en matière de responsabilité parentale, lorsqu'il existe un risque concret et manifeste que l'enfant puisse être déplacé, de manière illégale et imminente, hors de l'État membre où se trouvent les autorités compétentes.

4.   Les signalements concernant les personnes visées au paragraphe 1, points d) et e), sont introduits à la suite d'une décision des autorités compétentes, y compris des autorités judiciaires.

5.   L'État membre signalant réexamine régulièrement la nécessité de maintenir les signalements visés au paragraphe 1, points c), d) et e), du présent article conformément à l'article 53, paragraphe 4.

6.   L'État membre signalant veille à ce qui suit:

a)

les données qu'il introduit dans le SIS précisent à quelle catégorie parmi celles visées au paragraphe 1 appartient la personne concernée par le signalement;

b)

les données qu'il introduit dans le SIS indiquent quel est le type de dossier concerné, chaque fois que le type de dossier est connu; et

c)

en ce qui concerne les signalements introduits conformément au paragraphe 1, points c), d) et e), son bureau SIRENE ait à sa disposition toutes les informations pertinentes au moment de la création du signalement.

7.   Quatre mois avant qu'un enfant faisant l'objet d'un signalement au titre du présent article n'atteigne l'âge de la majorité conformément au droit national de l'État membre signalant, le CS-SIS informe automatiquement l'État membre signalant que le motif du signalement et la conduite à tenir doivent être actualisés ou que le signalement doit être supprimé.

8.   Lorsqu'il existe une indication claire d'un lien entre les objets visés à l'article 38, paragraphe 2, points a), b), c), e), g), h) et k), et une personne faisant l'objet d'un signalement en vertu du paragraphe 1 du présent article, des signalements relatifs à ces objets peuvent être introduits pour localiser la personne. Dans de tels cas, le signalement concernant la personne et le signalement concernant l'objet sont mis en relation conformément à l'article 63.

9.   La Commission adopte des actes d'exécution pour établir et préciser les règles relatives à la catégorisation des types de dossiers et à l'introduction des données visées au paragraphe 6. Les types de dossiers concernant des personnes disparues qui sont des enfants comprennent, sans s'y limiter, les cas d'enfants fugueurs, d'enfants non accompagnés dans le contexte des migrations et d'enfants risquant d'être enlevés par un de leurs parents.

La Commission adopte également des actes d'exécution pour établir et préciser les règles techniques nécessaires pour l'introduction, la mise à jour, et la suppression des données visées au paragraphe 8, et les recherches dans ces données.

Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 33

Exécution de la conduite à tenir sur la base d'un signalement

1.   Lorsqu'une personne visée à l'article 32 est localisée, les autorités compétentes de l'État membre d'exécution communiquent le lieu où elle se trouve à l'État membre signalant, sous réserve des exigences du paragraphe 4.

2.   Dans le cas des personnes qui doivent être placées sous protection visées à l'article 32, paragraphe 1, points a), c), d) et e), l'État membre d'exécution consulte immédiatement ses propres autorités compétentes ainsi que celles de l'État membre signalant par la voie d'échange d'informations supplémentaires afin de convenir sans tarder des mesures à prendre. Les autorités compétentes de l'État membre d'exécution peuvent, conformément au droit national, placer ces personnes en lieu sûr aux fins de les empêcher de poursuivre leur voyage.

3.   S'il s'agit d'enfants, toute décision sur les mesures à prendre ou toute décision de placement de l'enfant en lieu sûr conformément au paragraphe 2 est prise dans le respect de l'intérêt supérieur de l'enfant. Ces décisions sont prises immédiatement et au plus tard dans un délai de 12 heures suivant le moment où l'enfant a été localisé, en concertation avec les autorités responsables de la protection de l'enfance concernées, s'il y a lieu.

4.   La communication, autre que celle qui a lieu entre les autorités compétentes, de données concernant une personne majeure disparue qui a été localisée est subordonnée au consentement de cette personne. Les autorités compétentes peuvent cependant indiquer à la personne qui a signalé la disparition que le signalement a été supprimé, du fait que la personne disparue a été localisée.

CHAPITRE VIII

Signalements concernant des personnes recherchées dans le but de rendre possible leur concours dans le cadre d'une procédure judiciaire

Article 34

Objectifs des signalements et conditions auxquelles ils sont introduits

1.   Aux fins de la communication du lieu de séjour ou du domicile de personnes, les États membres introduisent des signalements dans le SIS, à la demande d'une autorité compétente, concernant:

a)

les témoins;

b)

les personnes citées à comparaître ou recherchées pour être citées à comparaître devant les autorités judiciaires dans le cadre d'une procédure pénale afin de répondre de faits pour lesquels elles font l'objet de poursuites;

c)

les personnes qui doivent faire l'objet d'une notification d'un jugement en matière pénale ou d'autres documents en rapport avec une procédure pénale afin de répondre de faits pour lesquels elles font l'objet de poursuites;

d)

les personnes qui doivent faire l'objet d'une demande de se présenter pour subir une peine privative de liberté.

2.   Lorsqu'il existe une indication claire d'un lien entre les objets visés à l'article 38, paragraphe 2, points a), b), c), e), g), h) et k), et une personne faisant l'objet d'un signalement en vertu du paragraphe 1 du présent article, des signalements concernant ces objets peuvent être introduits pour localiser la personne. Dans de tels cas, le signalement concernant la personne et le signalement concernant l'objet sont mis en relation conformément à l'article 63.

3.   La Commission adopte des actes d'exécution pour établir et préciser les règles techniques nécessaires pour régir l'introduction, la mise à jour, et la suppression des données visées au paragraphe 2 du présent article et les recherches dans ces données. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 35

Exécution de la conduite à tenir sur la base d'un signalement

Les renseignements demandés sont communiqués à l'État membre signalant par la voie d'échange d'informations supplémentaires.

CHAPITRE IX

Signalements concernant des personnes et des objets aux fins de contrôles discrets, de contrôles d'investigation ou de contrôles spécifiques

Article 36

Objectifs des signalements et conditions auxquelles ils sont introduits

1.   Les signalements concernant des personnes, des objets visés à l'article 38, paragraphe 2, points a), b), c), e), g), h), j), k) et l), et des moyens de paiement autres que les espèces sont introduits conformément au droit national de l'État membre signalant, aux fins de contrôles discrets, de contrôles d'investigation ou de contrôles spécifiques, conformément à l'article 37, paragraphes 3, 4 et 5.

2.   Lors de l'introduction de signalements aux fins de contrôles discrets, de contrôles d'investigation ou de contrôles spécifiques et lorsque les informations demandées par l'État membre signalant viennent s'ajouter à celles prévues à l'article 37, paragraphe 1, points a) à h), l'État membre signalant ajoute au signalement toutes les informations demandées. Si ces informations portent sur des catégories particulières de données à caractère personnel visées à l'article 10 de la directive (UE) 2016/680, elles ne sont demandées que si cela est strictement nécessaire aux fins spécifiques du signalement et en ce qui concerne l'infraction pénale pour laquelle le signalement a été introduit.

3.   Les signalements concernant des personnes aux fins de contrôles discrets, de contrôles d'investigation ou de contrôles spécifiques peuvent être introduits à des fins de prévention et de détection d'infractions pénales, d'enquêtes et de poursuites en la matière et d'exécution d'une condamnation pénale et de prévention de menaces pour la sécurité publique dans une ou plusieurs des circonstances suivantes:

a)

lorsqu'il existe une indication claire qu'une personne a l'intention de commettre ou commet l'une des infractions visées à l'article 2, paragraphes 1 et 2, de la décision-cadre 2002/584/JAI;

b)

lorsque les informations visées à l'article 37, paragraphe 1, sont nécessaires pour l'exécution d'une peine ou d'une mesure de sûreté privatives de liberté prononcées à l'encontre d'une personne reconnue coupable de l'une des infractions visées à l'article 2, paragraphes 1 et 2, de la décision-cadre 2002/584/JAI;

c)

lorsque l'appréciation globale portée sur une personne, en particulier sur la base des infractions pénales commises jusqu'alors, laisse supposer qu'elle peut commettre à l'avenir les infractions visées à l'article 2, paragraphes 1 et 2, de la décision-cadre 2002/584/JAI.

4.   En outre, les signalements concernant des personnes aux fins de contrôles discrets, de contrôles d'investigation ou de contrôles spécifiques peuvent être introduits conformément au droit national, à la demande des autorités chargées de la sûreté nationale, lorsque des indices concrets laissent supposer que les informations visées à l'article 37, paragraphe 1, sont nécessaires à la prévention d'une menace grave posée par la personne concernée ou d'autres menaces graves pour la sûreté intérieure et extérieure de l'État. L'État membre qui a introduit le signalement conformément au présent paragraphe informe les autres États membres de ce signalement. Chaque État membre détermine à quelles autorités cette information est transmise. L'information est transmise par l'intermédiaire des bureaux SIRENE.

5.   Lorsqu'il existe une indication claire d'un lien entre les objets visés à l'article 38, paragraphe 2, points a), b), c), e), g), h), j), k), et l), ou des moyens de paiement autres que les espèces et les infractions graves visées au paragraphe 3 du présent article ou les menaces graves visées au paragraphe 4 du présent article, des signalements concernant ces objets peuvent être introduits et mis en relation avec les signalements introduits conformément aux paragraphes 3 et 4 du présent article.

6.   La Commission adopte des actes d'exécution pour établir et préciser les règles techniques nécessaires pour l'introduction, la mise à jour, et la suppression des données visées au paragraphe 5 du présent article ainsi que des informations complémentaires visées au paragraphe 2 du présent article, et pour les recherches dans ces données et informations. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 37

Exécution de la conduite à tenir sur la base d'un signalement

1.   Dans le cadre des contrôles discrets, des contrôles d'investigation ou des contrôles spécifiques, l'État membre d'exécution recueille et transmet à l'État membre signalant tout ou partie des informations ci-après:

a)

le fait que la personne qui fait l'objet d'un signalement a été localisée, ou que les objets visés à l'article 38, paragraphe 2, points a), b), c), e), g), h), j), k) et l), ou les moyens de paiement autres que les espèces qui font l'objet d'un signalement ont été localisés;

b)

le lieu, l'heure et la raison du contrôle;

c)

l'itinéraire suivi et la destination visée;

d)

les personnes qui accompagnent la personne faisant l'objet du signalement ou les occupants du véhicule, du bateau ou de l'aéronef ou les personnes qui accompagnent le détenteur du document officiel vierge ou du document d'identité délivré, dont il est raisonnablement permis de supposer qu'ils sont associés à l'objet du signalement;

e)

toute identité révélée et toute description de la personne ayant fait usage du document officiel vierge ou du document d'identité délivré faisant l'objet du signalement;

f)

les objets visés à l'article 38, paragraphe 2, points a), b), c), e), g), h), j), k) et l), ou les moyens de paiement autres que les espèces utilisés;

g)

les objets transportés, y compris les documents de voyage;

h)

les circonstances dans lesquelles la personne, les objets visés à l'article 38, paragraphe 2, points a), b), c), e), g), h), j), k) et l), ou les moyens de paiement autres que les espèces utilisés ont été localisés;

i)

toute autre information demandée par l'État membre signalant conformément à l'article 36, paragraphe 2.

Si l'information visée au premier alinéa, point i), du présent paragraphe porte sur des catégories particulières de données à caractère personnel visées à l'article 10 de la directive (UE) 2016/680, elle est traitée conformément aux conditions énoncées audit article et uniquement si elle complète d'autres données à caractère personnel traitées aux mêmes fins.

2.   L'État membre d'exécution communique les informations visées au paragraphe 1 par la voie d'échange d'informations supplémentaires.

3.   Un contrôle discret comprend le recueil discret d'autant d'informations décrites au paragraphe 1 que possible au cours des activités de routine menées par les autorités nationales compétentes de l'État membre d'exécution. Le recueil de ces informations ne met pas en péril le caractère discret des contrôles, et la personne faisant l'objet du signalement n'est en aucune manière informée de l'existence du signalement.

4.   Un contrôle d'investigation comprend une audition de la personne, notamment sur la base des informations ou des questions spécifiques ajoutées au signalement par l'État membre signalant conformément à l'article 36, paragraphe 2. L'audition est menée conformément au droit national de l'État membre d'exécution.

5.   Pendant les contrôles spécifiques, les personnes, les véhicules, les bateaux, les aéronefs, les conteneurs et les objets transportés peuvent être fouillés aux fins visées à l'article 36. Les fouilles sont exécutées conformément au droit national de l'État membre d'exécution.

6.   Si les contrôles spécifiques ne sont pas autorisés par le droit national de l'État membre d'exécution, ils sont remplacés par des contrôles d'investigation dans cet État membre. Si les contrôles d'investigation ne sont pas autorisés par le droit national de l'État membre d'exécution, ils sont remplacés par des contrôles discrets dans cet État membre. Lorsque la directive 2013/48/UE s'applique, les États membres veillent à ce que le droit d'accès à un avocat dont disposent les suspects et les personnes poursuivies soit respecté dans les conditions énoncées dans ladite directive.

7.   Le paragraphe 6 s'applique sans préjudice de l'obligation pour les États membres de mettre à la disposition des utilisateurs finaux les informations demandées au titre de l'article 36, paragraphe 2.

CHAPITRE X

Signalements concernant des objets aux fins d'une saisie ou à titre de preuve dans une procédure pénale

Article 38

Objectifs des signalements et conditions auxquelles ils sont introduits

1.   Les États membres introduisent dans le SIS des signalements concernant des objets recherchés aux fins d'une saisie ou à titre de preuve dans une procédure pénale.

2.   Les signalements sont introduits concernant les catégories d'objets facilement identifiables suivantes:

a)

les véhicules à moteur, indépendamment de leur système de propulsion;

b)

les remorques d'un poids à vide supérieur à 750 kg;

c)

les caravanes;

d)

le matériel industriel;

e)

les bateaux;

f)

les moteurs de bateaux;

g)

les conteneurs;

h)

les aéronefs;

i)

les moteurs d'aéronefs;

j)

les armes à feu;

k)

les documents officiels vierges qui ont été volés, détournés ou égarés ou qui sont prétendument de tels documents mais qui sont des faux;

l)

les documents d'identité délivrés, tels que les passeports, cartes d'identité, titres de séjour, documents de voyage et permis de conduire, qui ont été volés, détournés, égarés ou invalidés ou qui sont prétendument de tels documents mais qui sont des faux;

m)

les certificats d'immatriculation de véhicules et les plaques d'immatriculation de véhicules qui ont été volés, détournés, égarés ou invalidés ou qui sont prétendument de tels documents mais qui sont des faux;

n)

les billets de banque (billets enregistrés) et les faux billets de banque;

o)

les produits informatiques;

p)

les composants identifiables de véhicules à moteur;

q)

les composants identifiables de matériel industriel;

r)

d'autres objets identifiables de grande valeur, tels qu'ils sont définis conformément au paragraphe 3.

En ce qui concerne les documents visés aux points k), l) et m), l'État membre signalant peut préciser si ces documents ont été volés, détournés, égarés, invalidés ou s'ils sont des faux.

3.   La Commission est habilitée à adopter des actes délégués conformément à l'article 75 pour modifier le présent règlement en définissant les nouvelles sous-catégories d'objets prévues au paragraphe 2, points o), p), q) et r), du présent article.

4.   La Commission adopte des actes d'exécution pour établir et préciser les règles techniques nécessaires pour l'introduction, la mise à jour, et la suppression des données visées au paragraphe 2 du présent article et les recherches dans ces données. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 39

Exécution de la conduite à tenir sur la base d'un signalement

1.   Lorsqu'une recherche révèle l'existence d'un signalement concernant un objet qui a été localisé, l'autorité compétente procède à la saisie de l'objet conformément à son droit national et se met en rapport avec l'autorité de l'État membre signalant afin de convenir des mesures à prendre. À cette fin, des données à caractère personnel peuvent également être communiquées conformément au présent règlement.

2.   Les informations visées au paragraphe 1 sont communiquées par la voie d'échange d'informations supplémentaires.

3.   L'État membre d'exécution prend les mesures demandées conformément au droit national.

CHAPITRE XI

Signalements concernant des personnes recherchées inconnues à des fins d'identification conformément au droit national

Article 40

Signalements concernant des personnes recherchées inconnues à des fins d'identification conformément au droit national

Les États membres peuvent introduire dans le SIS des signalements concernant des personnes recherchées inconnues ne contenant que des données dactyloscopiques. Ces données dactyloscopiques consistent en des séries complètes ou incomplètes d'empreintes digitales ou d'empreintes palmaires découvertes sur les lieux d'infractions terroristes ou d'autres infractions graves faisant l'objet d'une enquête. Ces données ne sont introduites dans le SIS que s'il peut être établi avec un degré très élevé de probabilité qu'elles appartiennent à un auteur de l'infraction.

Si l'autorité compétente de l'État membre signalant ne peut pas établir l'identité du suspect sur la base de données provenant de toute autre base de données nationale, de l'Union ou internationale pertinente, les données dactyloscopiques visées au premier alinéa ne peuvent être introduites dans cette catégorie de signalements qu'avec la mention «personne recherchée inconnue» aux fins de l'identification d'une telle personne.

Article 41

Exécution de la conduite sur la base d'un signalement

En cas de réponse positive à l'aide des données introduites en vertu de l'article 40, l'identité de la personne est établie conformément au droit national, avec vérification par un expert que les données dactyloscopiques dans le SIS appartiennent à la personne. Les États membres d'exécution communiquent à l'État membre signalant les informations sur l'identité de la personne et le lieu où elle se trouve par la voie d'échange d'informations supplémentaires pour faciliter l'instruction en temps voulu du dossier.

CHAPITRE XII

Règles specifiques pour les données biométriques

Article 42

Règles spécifiques pour l'introduction de photographies, d'images faciales, de données dactyloscopiques et de profils ADN

1.   Seules les photographies, les images faciales et les données dactyloscopiques visées à l'article 20, paragraphe 3, points w) et y), qui répondent à des normes minimales en matière de qualité des données et à des spécifications techniques sont introduites dans le SIS. Avant l'introduction de telles données, il est procédé à un contrôle de qualité visant à établir si les normes minimales en matière de qualité des données et les spécifications techniques ont été respectées.

2.   Les données dactyloscopiques introduites dans le SIS peuvent consister en une à dix empreintes digitales à plat et une à dix empreintes digitales roulées. Elles peuvent également comprendre jusqu'à deux empreintes palmaires.

3.   Un profil ADN ne peut être ajouté aux signalements que dans les cas prévus à l'article 32, paragraphe 1, point a), et ce uniquement après un contrôle de qualité visant à établir si les normes minimales en matière de qualité des données et les spécifications techniques ont été respectées et seulement lorsque des photographies, images faciales ou données dactyloscopiques ne sont pas disponibles ou ne permettent pas une identification. Les profils ADN de personnes qui sont des ascendants directs, des descendants ou des frères ou sœurs de la personne faisant l'objet du signalement peuvent être ajoutés au signalement à condition que ces personnes donnent leur consentement explicite. Lorsqu'un profil ADN est ajouté à un signalement, ce profil contient les informations minimales strictement nécessaires à l'identification de la personne disparue.

4.   Des normes minimales en matière de qualité des données et des spécifications techniques sont établies conformément au paragraphe 5 du présent article pour la conservation des données biométriques visées aux paragraphes 1 et 3 du présent article. Ces normes minimales en matière de qualité des données et ces spécifications techniques fixent le niveau de qualité requis pour l'utilisation des données aux fins de la vérification de l'identité d'une personne conformément à l'article 43, paragraphe 1, ainsi que pour l'utilisation des données aux fins de l'identification d'une personne conformément à l'article 43, paragraphes 2 à 4.

5.   La Commission adopte des actes d'exécution pour établir les normes minimales en matière de qualité des données et les spécifications techniques visées aux paragraphes 1, 3 et 4 du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 43

Règles spécifiques pour les vérifications ou les recherches à l'aide de photographies, d'images faciales, de données dactyloscopiques et de profils ADN

1.   Lorsque des photographies, des images faciales, des données dactyloscopiques et des profils ADN sont disponibles dans un signalement dans le SIS, ces photographies, images faciales, données dactyloscopiques et profils ADN sont utilisés pour confirmer l'identité d'une personne qui a été localisée à la suite d'une recherche alphanumérique effectuée dans le SIS.

2.   Les données dactyloscopiques peuvent, dans tous les cas, faire l'objet de recherches pour identifier une personne. Toutefois, les données dactyloscopiques font l'objet de recherches pour identifier une personne lorsque l'identité de la personne ne peut pas être établie par d'autres moyens. À cette fin, le SIS central contient un système de reconnaissance automatisée d'empreintes digitales (AFIS).

3.   Les données dactyloscopiques dans le SIS en rapport avec des signalements introduits conformément aux articles 26, 32, 36 et 40 peuvent également faire l'objet de recherches à l'aide de séries complètes ou incomplètes d'empreintes digitales ou d'empreintes palmaires découvertes sur les lieux d'infractions graves ou d'infractions terroristes faisant l'objet d'une enquête, lorsqu'il peut être établi, avec un degré élevé de probabilité, que ces séries d'empreintes appartiennent à un auteur de l'infraction et pour autant que les recherches soient effectuées simultanément dans les bases de données d'empreintes digitales nationales pertinentes de l'État membre.

4.   Dès que cela est techniquement possible, et tout en assurant un haut degré de fiabilité de l'identification, les photographies et les images faciales peuvent être utilisées pour identifier une personne dans le contexte des points de passage frontaliers habituels.

Avant que cette fonctionnalité ne soit mise en œuvre dans le SIS, la Commission présente un rapport précisant si la technique requise est disponible, prête à être employée et fiable. Le Parlement européen est consulté sur ce rapport.

Après le début de l'utilisation de la fonctionnalité aux points de de passage frontaliers habituels, la Commission est habilitée à adopter des actes délégués conformément à l'article 75 pour compléter le présent règlement en ce qui concerne la détermination des autres circonstances dans lesquelles des photographies et des images faciales peuvent être utilisées pour identifier des personnes.

CHAPITRE XIII

Droit d'accès et réexamen des signalements

Article 44

Autorités nationales compétentes ayant un droit d'accès aux données dans le SIS

1.   Les autorités nationales compétentes ont accès aux données introduites dans le SIS et ont le droit d'effectuer des recherches dans ces données, directement ou dans une copie de la base de données du SIS, aux fins:

a)

du contrôle aux frontières, conformément au règlement (UE) 2016/399;

b)

des vérifications de police et de douanes effectuées à l'intérieur de l'État membre concerné et de la coordination de celles-ci par les autorités désignées;

c)

de la prévention et de la détection des infractions terroristes ou d'autres infractions pénales graves, et des enquêtes et des poursuites en la matière ou de l'exécution de sanctions pénales, dans l'État membre concerné, pour autant que la directive (UE) 2016/680 s'applique;

d)

de l'examen des conditions et de l'adoption des décisions relatives à l'entrée et au séjour des ressortissants de pays tiers sur le territoire des États membres, y compris en ce qui concerne les titres de séjour et les visas de long séjour, ainsi qu'au retour des ressortissants de pays tiers, de même qu'aux fins des vérifications portant sur les ressortissants de pays tiers qui entrent ou séjournent irrégulièrement sur le territoire des États membres;

e)

des contrôles de sécurité portant sur les ressortissants de pays tiers qui demandent une protection internationale, dans la mesure où les autorités effectuant les contrôles ne sont pas des «autorités responsables de la détermination» au sens de l'article 2, point f), de la directive 2013/32/UE du Parlement européen et du Conseil (38), et, le cas échéant, aux fins de la fourniture de conseils conformément au règlement (CE) no 377/2004 du Conseil (39).

2.   Le droit d'accès aux données dans le SIS et le droit d'effectuer des recherches directement dans ces données peuvent être exercés par les autorités nationales compétentes en matière de naturalisation, conformément au droit national, aux fins de l'examen d'une demande de naturalisation.

3.   Le droit d'accès aux données introduites dans le SIS et le droit d'effectuer des recherches directement dans ces données peuvent également être exercés par les autorités judiciaires nationales, y compris celles qui sont compétentes pour engager des poursuites judiciaires dans le cadre de procédures pénales et pour mener les enquêtes judiciaires avant l'inculpation d'une personne, dans l'exercice de leurs fonctions, conformément au droit national, et par leurs autorités de coordination.

4.   Les autorités compétentes visées au présent article sont incluses dans la liste visée à l'article 56, paragraphe 7.

Article 45

Services chargés de l'immatriculation des véhicules

1.   Les services chargés, dans les États membres, de délivrer les certificats d'immatriculation des véhicules visés par la directive 1999/37/CE du Conseil (40) ont accès aux données introduites dans le SIS conformément à l'article 38, paragraphe 2, points a), b), c), m) et p), du présent règlement, exclusivement aux fins de vérifier si les véhicules et les certificats d'immatriculation et les plaques d'immatriculation des véhicules les accompagnant qui leur sont présentés à des fins d'immatriculation ont été volés, détournés, ou égarés ou sont prétendument de tels documents mais sont des faux ou sont recherchés à titre de preuve dans une procédure pénale.

L'accès aux données par les services visés au premier alinéa est régi par le droit national et est limité à la compétence spécifique des services concernés.

2.   Les services visés au paragraphe 1 qui sont des services publics ont le droit d'avoir accès directement aux données dans le SIS.

3.   Les services visés au paragraphe 1 du présent article qui ne sont pas des services publics n'ont accès aux données dans le SIS que par l'intermédiaire d'une autorité visée à l'article 44. Cette autorité a le droit d'avoir accès directement à ces données et de les transmettre au service concerné. L'État membre concerné veille à ce que le service en question et son personnel soient tenus de respecter toute limite fixée en ce qui concerne les conditions d'utilisation des données qui leur sont transmises par l'autorité.

4.   L'article 39 ne s'applique pas à l'accès au SIS obtenu conformément au présent article. Toute communication à un service de police ou à une autorité judiciaire, par les services visés au paragraphe 1 du présent article, d'informations obtenues via l'accès au SIS est régie par le droit national.

Article 46

Services chargés de l'immatriculation des bateaux et aéronefs

1.   Les services chargés, dans les États membres, de délivrer les certificats d'immatriculation ou d'assurer la gestion de la circulation des bateaux, y compris des moteurs de bateaux, et des aéronefs, y compris des moteurs d'aéronefs, ont accès aux données ci-après introduites dans le SIS conformément à l'article 38, paragraphe 2, exclusivement aux fins de vérifier si les bateaux, y compris les moteurs de bateaux, et les aéronefs, y compris les moteurs d'aéronefs, qui leur sont présentés afin d'être immatriculés ou dans le cadre de la gestion de la circulation ont été volés, détournés, égarés ou sont recherchés à titre de preuve dans une procédure pénale:

a)

les données relatives aux bateaux;

b)

les données relatives aux moteurs de bateaux;

c)

les données relatives aux aéronefs;

d)

les données relatives aux moteurs d'aéronefs.

L'accès aux données par les services visés au premier alinéa est régi par le droit national et est limité à la compétence spécifique des services concernés.

2.   Les services visés au paragraphe 1 qui sont des services publics ont le droit d'avoir accès directement aux données dans le SIS.

3.   Les services visés au paragraphe 1 du présent article qui ne sont pas des services publics n'ont accès aux données dans le SIS que par l'intermédiaire d'une autorité visée à l'article 44. Cette autorité a le droit d'avoir accès directement aux données et de les transmettre au service concerné. L'État membre concerné veille à ce que le service en question et son personnel soient tenus de respecter toute limite fixée en ce qui concerne les conditions d'utilisation des données qui leur sont transmises par l'autorité.

4.   L'article 39 ne s'applique pas à l'accès au SIS obtenu conformément au présent article. Toute communication à un service de police ou à une autorité judiciaire, par les services visés au paragraphe 1 du présent article, d'informations obtenues via l'accès au SIS est régie par le droit national.

Article 47

Services chargés de l'enregistrement des armes à feu

1.   Les services chargés, dans les États membres, de délivrer les certificats d'enregistrement des armes à feu ont accès aux données concernant les personnes introduites dans le SIS conformément aux articles 26 et 36 et aux données concernant les armes à feu introduites dans le SIS conformément à l'article 38, paragraphe 2. L'accès est exercé aux fins de vérifier si la personne demandant l'enregistrement est recherchée en vue d'une arrestation aux fins de remise ou d'extradition, ou aux fins de contrôles discrets, de contrôles d'investigation ou de contrôles spécifiques, ou si les armes à feu présentées en vue d'un enregistrement sont recherchées aux fins d'une saisie ou à titre de preuve dans une procédure pénale.

2.   L'accès aux données par les services visés au paragraphe 1 est régi par le droit national et est limité à la compétence spécifique des services concernés.

3.   Les services visés au paragraphe 1 qui sont des services publics ont le droit d'avoir accès directement aux données dans le SIS.

4.   Les services visés au paragraphe 1 qui ne sont pas des services gouvernementaux n'ont accès aux données dans le SIS que par l'intermédiaire d'une autorité visée à l'article 44. Cette autorité a le droit d'avoir accès directement aux données et indique au service concerné si l'arme à feu peut être enregistrée. L'État membre concerné veille à ce que le service en question et son personnel soient tenus de respecter toute limite fixée en ce qui concerne les conditions d'utilisation des données qui leur sont transmises par l'autorité intermédiaire.

5.   L'article 39 ne s'applique pas à l'accès au SIS obtenu conformément au présent article. Toute communication à un service de police ou à une autorité judiciaire, par les services visés au paragraphe 1 du présent article, d'informations obtenues via l'accès au SIS est régie par le droit national.

Article 48

Accès d'Europol aux données dans le SIS

1.   L'Agence de l'Union européenne pour la coopération des services répressifs (Europol), établie par le règlement (UE) 2016/794, a, dans la mesure nécessaire à l'exécution de son mandat, le droit d'accès aux données dans le SIS et le droit d'effectuer des recherches dans ces données. Europol peut également échanger des informations supplémentaires et demander, en outre, des informations supplémentaires conformément aux dispositions du manuel SIRENE.

2.   Lorsqu'une recherche effectuée par Europol révèle l'existence d'un signalement dans le SIS, Europol informe l'État membre signalant par la voie d'échange d'informations supplémentaires au moyen de l'infrastructure de communication et conformément aux dispositions prévues par le manuel SIRENE. Jusqu'à ce qu'Europol soit en mesure d'utiliser les fonctionnalités prévues pour l'échange d'informations supplémentaires, elle informe les États membres signalants par l'intermédiaire des canaux définis dans le règlement (UE) 2016/794.

3.   Europol peut traiter les informations supplémentaires qui lui ont été communiquées par les États membres à des fins de comparaison avec ses bases de données et ses projets d'analyse opérationnelle, en vue d'établir des liens ou d'autres rapports pertinents ainsi qu'aux fins des analyses de nature stratégique ou thématique ou des analyses opérationnelles visées à l'article 18, paragraphe 2, points a), b) et c), du règlement (UE) 2016/794. Tout traitement d'informations supplémentaires par Europol aux fins du présent article est effectué conformément audit règlement.

4.   L'utilisation par Europol des informations obtenues lors d'une recherche dans le SIS ou lors du traitement d'informations supplémentaires est soumise à l'accord de l'État membre signalant. Si ledit État membre autorise l'utilisation de ces informations, leur traitement par Europol est régi par le règlement (UE) 2016/794. Europol ne communique ces informations à des pays tiers et à des organismes tiers qu'avec le consentement de l'État membre signalant et dans le respect absolu du droit de l'Union relatif à la protection des données.

5.   Europol:

a)

sans préjudice des paragraphes 4 et 6, s'abstient de connecter les parties du SIS à un système de collecte et de traitement des données exploité par Europol ou en son sein et de transférer les données qu'elles contiennent auxquelles il a accès vers un tel système, ainsi que de télécharger ou de copier, de toute autre manière, une quelconque partie du SIS;

b)

nonobstant l'article 31, paragraphe 1, du règlement (UE) 2016/794, supprime les informations supplémentaires comportant des données à caractère personnel au plus tard un an après que le signalement correspondant a été supprimé. À titre dérogatoire, lorsqu'Europol possède, dans ses bases de données ou dans ses projets d'analyse opérationnelle, des informations sur une affaire à laquelle les informations supplémentaires sont liées, afin de pouvoir s'acquitter de ses missions, Europol peut, à titre exceptionnel, continuer à conserver les informations supplémentaires, si nécessaire. Europol informe l'État membre signalant et l'État membre d'exécution du maintien de la conservation de ces informations supplémentaires, en justifiant celui-ci;

c)

limite l'accès aux données dans le SIS, y compris les informations supplémentaires, au personnel expressément autorisé d'Europol qui demande l'accès à ces données pour l'exécution de ses missions;

d)

adopte et applique des mesures pour garantir la sécurité, la confidentialité et l'autocontrôle conformément aux articles 10, 11 et 13;

e)

veille à ce que son personnel qui est autorisé à traiter des données du SIS reçoive une formation et des informations appropriées conformément à l'article 14, paragraphe 1; et

f)

sans préjudice du règlement (UE) 2016/794, autorise le Contrôleur européen de la protection des données à contrôler et à examiner les activités d'Europol dans le cadre de l'exercice de son droit d'accès aux données dans le SIS et de son droit d'effectuer des recherches dans ces données et dans le cadre de l'échange et du traitement d'informations supplémentaires.

6.   Europol ne copie les données du SIS qu'à des fins techniques, lorsque cette copie est nécessaire au personnel dûment autorisé d'Europol pour effectuer une recherche directe. Le présent règlement s'applique à ces copies. La copie technique n'est utilisée qu'à des fins de conservation des données du SIS pendant que ces données font l'objet de recherches. Les données sont supprimées une fois les recherches terminées. De telles utilisations ne sont pas considérées comme des téléchargements ou copies illicites de données du SIS. Europol s'abstient de copier des données d'un signalement ou des données complémentaires émanant des États membres, ou des données provenant du CS-SIS, vers d'autres systèmes d'Europol.

7.   Aux fins de vérifier la licéité du traitement des données, d'assurer un autocontrôle et de garantir la sécurité et l'intégrité des données, Europol consigne dans des registres tout accès au SIS et toute recherche dans le SIS conformément aux dispositions de l'article 12. De tels registres et traces documentaires ne sont pas considérés comme des téléchargements ou copies illicites d'une partie du SIS.

8.   Les États membres informent Europol, par la voie d'échange d'informations supplémentaires, de toute réponse positive à des signalements liés à des infractions terroristes. À titre exceptionnel, les États membres peuvent ne pas informer Europol si la transmission de ces informations compromet des enquêtes en cours ou la sécurité d'une personne physique, ou est contraire aux intérêts essentiels de la sécurité de l'État membre signalant.

9.   Le paragraphe 8 s'applique à partir de la date à laquelle Europol est en mesure de recevoir des informations supplémentaires conformément au paragraphe 1.

Article 49

Accès d'Eurojust aux données dans le SIS

1.   Seuls les membres nationaux d'Eurojust, ainsi que leurs assistants, ont, dans la mesure nécessaire à l'exécution de leur mandat, le droit d'accès aux données dans le SIS conformément aux articles 26, 32, 34, 38 et 40 et le droit d'effectuer des recherches dans ces données dans les limites de leur mandat.

2.   Lorsqu'une recherche effectuée par un membre national d'Eurojust révèle l'existence d'un signalement dans le SIS, celui-ci informe l'État membre signalant. Eurojust ne communique les informations obtenues lors d'une telle recherche à des pays tiers ou des organismes tiers qu'avec le consentement de l'État membre signalant et dans le plein respect du droit de l'Union sur la protection des données.

3.   Le présent article s'entend sans préjudice des dispositions du règlement (UE) 2018/1727 du Parlement européen et du Conseil (41) et du règlement (UE) 2018/1725 relatives à la protection des données et à la responsabilité du fait d'un traitement non autorisé ou incorrect de données par les membres nationaux d'Eurojust ou leurs assistants, et sans préjudice des compétences du Contrôleur européen de la protection des données en vertu de ces règlements.

4.   Aux fins de vérifier la licéité du traitement des données, d'assurer un autocontrôle et de garantir la sécurité et l'intégrité des données, Eurojust consigne dans des registres tout accès au SIS et toute recherche dans le SIS par un membre national d'Eurojust ou un assistant conformément aux dispositions de l'article 12.

5.   Aucune des parties du SIS n'est connectée à un système de collecte et de traitement des données exploité par Eurojust ou en son sein, et aucune des données dans le SIS auxquelles les membres nationaux ou leurs assistants ont accès n'est transférée vers un tel système. Aucune partie du SIS ne doit être téléchargée ou copiée. Les registres dans lesquels sont consignés les accès et les recherches ne sont pas considérés comme des téléchargements ou copies illicites de données du SIS.

6.   Eurojust adopte et applique des mesures visant à garantir la sécurité, la confidentialité et l'autocontrôle conformément aux articles 10, 11 et 13.

Article 50

Accès aux données dans le SIS par les équipes du corps européen de garde-frontières et de garde-côtes, les équipes d'agents intervenant dans les tâches liées au retour et les membres des équipes d'appui à la gestion des flux migratoires

1.   Conformément à l'article 40, paragraphe 8, du règlement (UE) 2016/1624, les membres des équipes visées à l'article 2, points 8) et 9), dudit règlement ont le droit, dans les limites de leur mandat et pour autant que ceux-ci soient autorisés à procéder à des vérifications conformément à l'article 44, paragraphe 1, du présent règlement, et qu'ils aient reçu la formation requise conformément à l'article 14, paragraphe 1, du présent règlement, d'avoir accès aux données dans le SIS et d'effectuer des recherches dans ces données dans la mesure où cela est nécessaire à l'exécution de leurs missions et où cela est requis par le plan opérationnel pour une opération spécifique. L'accès aux données dans le SIS ne s'étend pas à d'autres membres des équipes.

2.   Les membres des équipes visés au paragraphe 1 exercent le droit d'accès aux données dans le SIS et le droit d'effectuer des recherches dans ces données, conformément au paragraphe 1, par l'intermédiaire d'une interface technique. L'interface technique est créée et gérée par l'Agence européenne de garde-frontières et de garde-côtes et permet une connexion directe au SIS central.

3.   Lorsqu'une recherche effectuée par un membre des équipes visé au paragraphe 1 du présent article révèle l'existence d'un signalement dans le SIS, l'État membre signalant en est informé. Conformément à l'article 40 du règlement (UE) 2016/1624, les membres des équipes n'agissent en réaction à un signalement dans le SIS que sur les instructions et, en règle générale, en présence de garde-frontières ou d'agents intervenant dans les tâches liées au retour de l'État membre hôte dans lequel ils opèrent. L'État membre hôte peut autoriser les membres des équipes à agir en son nom.

4.   Aux fins de vérifier la licéité du traitement des données, d'assurer un autocontrôle et de garantir la sécurité et l'intégrité des données, l'Agence européenne de garde-frontières et de garde-côtes consigne dans des registres tout accès au SIS et toute recherche effectuée dans le SIS conformément aux dispositions de l'article 12.

5.   L'Agence européenne de garde-frontières et de garde-côtes adopte et applique des mesures pour assurer la sécurité, la confidentialité et l'autocontrôle, conformément aux articles 10, 11 et 13, et veille à ce que les équipes visées au paragraphe 1 du présent article appliquent ces mesures.

6.   Aucune disposition du présent article ne doit être interprétée comme affectant les dispositions du règlement (UE) 2016/1624 concernant la protection des données ou la responsabilité de l'Agence européenne de garde-frontières et de garde-côtes du fait d'un traitement non autorisé ou incorrect de données qu'elle a effectué.

7.   Sans préjudice du paragraphe 2, aucune des parties du SIS n'est connectée à un système de collecte et de traitement des données exploité par les équipes visées au paragraphe 1 ou par l'Agence européenne de garde-frontières et de garde-côtes, et aucune des données dans le SIS auxquelles ces équipes ont accès n'est transférée vers un tel système. Aucune partie du SIS ne doit être téléchargée ou copiée. L'enregistrement dans un registre des accès et des recherches n'est pas considéré comme un téléchargement ou une copie illicite de données du SIS.

8.   L'Agence européenne de garde-frontières et de garde-côtes autorise le Contrôleur européen de la protection des données à contrôler et à examiner les activités des équipes visées au présent article dans le cadre de l'exercice de leur droit d'accès aux données dans le SIS et de leur droit d'effectuer des recherches dans ces données. Cette disposition est sans préjudice des autres dispositions du règlement (UE) 2018/1725.

Article 51

Évaluation de l'utilisation du SIS par Europol, Eurojust et l'Agence européenne de garde-frontières et de garde-côtes

1.   La Commission procède, au moins tous les cinq ans, à une évaluation de l'exploitation et de l'utilisation du SIS par Europol, les membres nationaux d'Eurojust et leurs assistants et les équipes visées à l'article 50, paragraphe 1.

2.   Europol, Eurojust et l'Agence européenne de garde-frontières et de garde-côtes veillent à ce que des suites adéquates soient données aux conclusions et recommandations résultant de l'évaluation.

3.   Un rapport sur les résultats de l'évaluation et les suites qui y sont données est transmis au Parlement européen et au Conseil.

Article 52

Limites d'accès

Les utilisateurs finaux, y compris Europol, les membres nationaux d'Eurojust et leurs assistants et les membres des équipes visés à l'article 2, points 8) et 9), du règlement (UE) 2016/1624, n'accèdent qu'aux données qui sont nécessaires à l'accomplissement de leurs missions.

Article 53

Délai de réexamen des signalements concernant des personnes

1.   Les signalements concernant des personnes ne sont conservés que pendant le temps nécessaire à la réalisation des finalités pour lesquelles ils ont été introduits.

2.   Un État membre peut introduire un signalement concernant une personne aux fins de l'article 26 et de l'article 32, paragraphe 1, points a) et b), pour une période de cinq ans. L'État membre signalant réexamine la nécessité de conserver le signalement avant la fin de cette période de cinq ans.

3.   Un État membre peut introduire un signalement concernant une personne aux fins des articles 34 et 40 pour une période de trois ans. L'État membre signalant réexamine la nécessité de conserver le signalement avant la fin de cette période de trois ans.

4.   Un État membre peut introduire un signalement concernant une personne aux fins de l'article 32, paragraphe 1, points c), d) et e), et de l'article 36 pour une période de un an. L'État membre signalant examine la nécessité de conserver le signalement avant la fin de cette période de un an.

5.   Chaque État membre fixe, s'il y a lieu, des délais de réexamen plus courts, conformément à son droit national.

6.   L'État membre signalant peut, dans le délai de réexamen visé aux paragraphes 2, 3 et 4, décider, au terme d'une évaluation individuelle globale, qui est enregistrée, de conserver le signalement concernant une personne pour une durée plus longue que le délai de réexamen si cela s'avère nécessaire et proportionné aux fins pour lesquelles le signalement a été introduit. Dans de tels cas, le paragraphe 2, 3 ou 4 s'applique également à la prolongation. Toute prolongation de ce type est communiquée au CS-SIS.

7.   Les signalements concernant des personnes sont automatiquement supprimés à l'expiration du délai de réexamen visé aux paragraphes 2, 3 et 4, sauf dans le cas où l'État membre signalant a informé le CS-SIS d'une prolongation en vertu du paragraphe 6. Le CS-SIS informe automatiquement l'État membre signalant de la suppression programmée des données avec un préavis de quatre mois.

8.   Les États membres tiennent des statistiques sur le nombre de signalements de personnes dont la durée de conservation a été prolongée conformément au paragraphe 6 du présent article et les transmettent, sur demande, aux autorités de contrôle visées à l'article 69.

9.   Dès qu'il est clair pour un bureau SIRENE que le signalement concernant une personne a atteint son objectif et devrait, par conséquent, être supprimé, il envoie immédiatement une notification à l'autorité qui a créé le signalement. L'autorité dispose d'un délai de 15 jours civils à compter de la réception de cette notification pour répondre que le signalement a été ou sera supprimé ou pour exposer les raisons de la conservation du signalement. Faute de réponse à l'expiration du délai de 15 jours, le bureau SIRENE veille à ce que le signalement soit supprimé. Si le droit national l'autorise, le signalement est supprimé par le bureau SIRENE. Les bureaux SIRENE signalent à leur autorité de contrôle tout problème récurrent qu'ils rencontrent quand ils agissent au titre du présent paragraphe.

Article 54

Délai de réexamen des signalements concernant des objets

1.   Les signalements concernant des objets ne sont conservés que pendant le temps nécessaire à la réalisation des finalités pour lesquelles ils ont été introduits.

2.   Un État membre peut introduire un signalement concernant des objets aux fins des articles 36 et 38 pour une période de dix ans. L'État membre signalant réexamine la nécessité de conserver le signalement avant la fin de cette période de dix ans.

3.   Les signalements concernant des objets introduits conformément aux articles 26, 32, 34 et 36 sont réexaminés en vertu de l'article 53 lorsqu'ils sont liés à un signalement concernant une personne. Ces signalements ne sont conservés qu'aussi longtemps que le signalement concernant la personne est conservé.

4.   L'État membre signalant peut, dans le délai de réexamen prévu aux paragraphes 2 et 3, décider de conserver le signalement concernant un objet pour une durée plus longue que le délai de réexamen si cela s'avère nécessaire aux fins pour lesquelles le signalement a été introduit. Dans de tels cas, le paragraphe 2 ou 3 s'applique, selon ce qui convient.

5.   La Commission peut adopter des actes d'exécution afin d'établir des délais de réexamen plus courts pour certaines catégories de signalements concernant des objets. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

6.   Les États membres tiennent des statistiques sur le nombre de signalements concernant des objets dont les durées de conservation ont été prolongées conformément au paragraphe 4.

CHAPITRE XIV

Suppression des signalements

Article 55

Suppression des signalements

1.   Les signalements introduits en vue d'une arrestation aux fins de remise ou d'extradition en vertu de l'article 26 sont supprimés lorsque la personne a été remise aux autorités compétentes de l'État membre signalant ou extradée vers celui-ci. Ils sont également supprimés lorsque la décision judiciaire sur laquelle reposait le signalement a été révoquée par l'autorité judiciaire compétente conformément au droit national. Les signalements sont également supprimés dès l'expiration du signalement conformément à l'article 53.

2.   La suppression des signalements concernant des personnes disparues ou des personnes vulnérables qui doivent être empêchées de voyager en vertu de l'article 32 obéit aux règles suivantes:

a)

en ce qui concerne les enfants disparus et les enfants risquant d'être enlevés, le signalement est supprimé dès:

i)

la résolution de l'affaire, par exemple lorsque l'enfant a été localisé ou rapatrié ou lorsque les autorités compétentes de l'État membre d'exécution ont adopté une décision relative à la prise en charge de l'enfant;

ii)

l'expiration du signalement conformément à l'article 53; ou

iii)

l'adoption d'une décision par l'autorité compétente de l'État membre signalant;

b)

en ce qui concerne les adultes disparus, lorsqu'aucune mesure de protection n'est demandée, le signalement est supprimé dès:

i)

l'exécution de la conduite à tenir, lorsque le lieu où se trouve l'adulte est déterminé par l'État membre d'exécution;

ii)

l'expiration du signalement conformément à l'article 53; ou

iii)

l'adoption d'une décision par l'autorité compétente de l'État membre signalant;

c)

en ce qui concerne les adultes disparus, lorsque des mesures de protection sont demandées, le signalement est supprimé dès:

i)

l'exécution de la conduite à tenir, lorsque la personne est placée sous protection;

ii)

l'expiration du signalement conformément à l'article 53; ou

iii)

l'adoption d'une décision par l'autorité compétente de l'État membre signalant;

d)

en ce qui concerne les personnes vulnérables majeures qui doivent être empêchées de voyager pour leur propre protection et les enfants qui doivent être empêchés de voyager, le signalement est supprimé dès:

i)

l'exécution de la conduite à tenir, telle que le placement sous protection de la personne;

ii)

l'expiration du signalement conformément à l'article 53; ou

iii)

l'adoption d'une décision par l'autorité compétente de l'État membre signalant.

Sans préjudice du droit national, lorsqu'une personne a été placée en institution sur décision d'une autorité compétente, un signalement peut être conservé jusqu'au rapatriement de cette personne.

3.   Les signalements des personnes recherchées dans le cadre d'une procédure judiciaire en vertu de l'article 34 sont supprimés dès:

a)

la communication du lieu où la personne se trouve à l'autorité compétente de l'État membre signalant;

b)

l'expiration du signalement conformément à l'article 53; ou

c)

l'adoption d'une décision par l'autorité compétente de l'État membre signalant.

Lorsqu'aucune suite ne peut être donnée aux informations relevant de la communication visée au point a), le bureau SIRENE de l'État membre signalant informe le bureau SIRENE de l'État membre d'exécution afin de résoudre le problème.

En cas de réponse positive, lorsque l'adresse a été communiquée à l'État membre signalant et qu'une réponse positive ultérieure dans le même État membre d'exécution révèle la même adresse, la réponse positive est enregistrée dans l'État membre d'exécution, mais ni l'adresse ni les informations supplémentaires ne sont renvoyées à l'État membre signalant. En pareil cas, l'État membre d'exécution informe l'État membre signalant de ces réponses positives répétées et ce dernier procède à une évaluation individuelle globale de la nécessité de conserver le signalement.

4.   Les signalements concernant des contrôles discrets, des contrôles d'investigation et des contrôles spécifiques en vertu de l'article 36 sont supprimés dès:

a)

l'expiration du signalement conformément à l'article 53; ou

b)

l'adoption d'une décision de suppression des signalements par l'autorité compétente de l'État membre signalant.

5.   Les signalements concernant des objets introduits aux fins d'une saisie ou à titre de preuve dans une procédure pénale en vertu de l'article 38 sont supprimés dès:

a)

la saisie de l'objet ou la mesure équivalente, lorsque l'échange consécutif d'informations supplémentaires nécessaire a eu lieu entre les bureaux SIRENE concernés ou que l'objet est désormais visé par une autre procédure judiciaire ou administrative;

b)

l'expiration du signalement conformément à l'article 53; ou

c)

l'adoption d'une décision de suppression des signalements par l'autorité compétente de l'État membre signalant.

6.   Les signalements concernant des personnes recherchées inconnues en vertu de l'article 40 sont supprimés dès:

a)

l'identification de la personne;

b)

l'expiration du signalement conformément à l'article 53; ou

c)

l'adoption d'une décision de suppression des signalements par l'autorité compétente de l'État membre signalant.

7.   Lorsqu'il est lié à un signalement concernant une personne, un signalement concernant un objet introduit conformément aux articles 26, 32, 34 et 36 est supprimé dès que le signalement concernant la personne est supprimé conformément au présent article.

CHAPITRE XV

Règles générales relatives au traitement des données

Article 56

Traitement des données du SIS

1.   Les États membres ne traitent les données visées à l'article 20 qu'aux fins énoncées pour chacune des catégories de signalements visées aux articles 26, 32, 34, 36, 38 et 40.

2.   Les données ne sont copiées qu'à des fins techniques lorsque cette copie est nécessaire aux autorités compétentes visées à l'article 44 pour effectuer une recherche directe. Le présent règlement s'applique à ces copies. Tout État membre s'abstient de copier les données d'un signalement ou des données complémentaires introduites par un autre État membre depuis son N.SIS ou depuis le CS-SIS dans d'autres fichiers de données nationaux.

3.   Les copies techniques visées au paragraphe 2 qui deviennent des bases de données hors ligne ne peuvent être conservées que pour une durée inférieure à 48 heures.

Les États membres tiennent à jour un inventaire de ces copies, le mettent à la disposition de leurs autorités de contrôle et veillent à ce que ces copies soient conformes au présent règlement, notamment l'article 10.

4.   L'accès aux données dans le SIS par les autorités nationales compétentes visées à l'article 44 est autorisé uniquement dans les limites de leurs compétences et est réservé au personnel dûment autorisé.

5.   En ce qui concerne les signalements prévus aux articles 26, 32, 34, 36, 38 et 40 du présent règlement, tout traitement des informations dans le SIS à des fins autres que celles pour lesquelles elles y ont été introduites doit se rapporter à un cas précis et être justifié par la nécessité de prévenir une menace grave et imminente pour l'ordre public et la sécurité publique, pour des raisons graves de sécurité nationale ou aux fins de la prévention d'une infraction grave. À cette fin, l'autorisation préalable de l'État membre signalant doit être obtenue.

6.   Toute utilisation de données du SIS qui ne respecte pas les paragraphes 1 à 5 du présent article est considérée comme une utilisation abusive au regard du droit national de chaque État membre et donne lieu à des sanctions conformément à l'article 73.

7.   Chaque État membre communique à l'eu-LISA la liste de ses autorités compétentes autorisées à effectuer directement des recherches dans les données dans le SIS en vertu du présent règlement, ainsi que tout changement apporté à cette liste. La liste indique, pour chaque autorité, quelles données peuvent faire l'objet de recherches et à quelles fins. L'eu-LISA veille à ce que la liste soit publiée chaque année au Journal officiel de l'Union européenne. L'eu-LISA maintient sur son site internet une liste constamment mise à jour contenant les modifications transmises par les États membres entre les publications annuelles.

8.   Pour autant que le droit de l'Union ne prévoie pas de dispositions particulières, le droit de chaque État membre est applicable aux données dans son N.SIS.

Article 57

Données du SIS et fichiers nationaux

1.   L'article 56, paragraphe 2, est sans préjudice du droit qu'a un État membre de conserver, dans ses fichiers nationaux, des données du SIS sur la base desquelles la conduite a été exécutée sur son territoire. Ces données sont conservées dans les fichiers nationaux pour une durée maximale de trois ans, sauf si des dispositions particulières du droit national prévoient une durée de conservation plus longue.

2.   L'article 56, paragraphe 2, est sans préjudice du droit qu'a un État membre de conserver, dans ses fichiers nationaux, des données contenues dans un signalement particulier qu'il a lui-même introduit dans le SIS.

Article 58

Information en cas d'inexécution d'un signalement

Si une conduite demandée ne peut être exécutée, l'État membre requis pour cette conduite en informe directement l'État membre signalant par la voie d'échange d'informations supplémentaires.

Article 59

Qualité des données dans le SIS

1.   Un État membre signalant est responsable de l'exactitude et de l'actualité des données dans le SIS, ainsi que de la licéité de leur introduction et de leur conservation dans le SIS.

2.   Lorsqu'un État membre signalant reçoit des données complémentaires ou modifiées pertinentes telles qu'elles sont énumérées à l'article 20, paragraphe 3, il complète ou modifie sans tarder le signalement concerné.

3.   Seul l'État membre signalant est autorisé à modifier, compléter, rectifier, mettre à jour ou supprimer les données qu'il a introduites dans le SIS.

4.   Lorsqu'un État membre autre que l'État membre signalant dispose de données complémentaires ou modifiées pertinentes telles qu'elles sont énumérées à l'article 20, paragraphe 3, il les transmet sans tarder, par la voie d'échange d'informations supplémentaires, à l'État membre signalant afin de permettre à ce dernier de compléter ou de modifier le signalement. Si les données complémentaires ou modifiées se rapportent à des personnes, elles ne sont transmises que si l'identité de la personne est établie.

5.   Lorsqu'un État membre autre que l'État membre signalant dispose d'éléments de preuve suggérant qu'une donnée est matériellement erronée ou a été conservée de manière illicite, il en informe l'État membre signalant, par la voie d'échange d'informations supplémentaires, dans les meilleurs délais et au plus tard deux jours ouvrables après avoir relevé ces éléments de preuve. L'État membre signalant vérifie l'information et, s'il y a lieu, corrige ou supprime la donnée sans tarder.

6.   Lorsque les États membres ne peuvent parvenir à un accord dans un délai de deux mois à compter de la découverte des éléments de preuve visés au paragraphe 5 du présent article, l'État membre qui n'a pas introduit le signalement soumet la question aux autorités de contrôle concernées et au Contrôleur européen de la protection des données aux fins de l'adoption d'une décision, par la voie de la coopération prévue à l'article 71.

7.   Les États membres échangent des informations supplémentaires lorsqu'une personne se plaint de ne pas être la personne visée par un signalement. Lorsqu'il ressort des vérifications que la personne visée par un signalement n'est en réalité pas la personne qui s'est plainte, celle-ci est informée des mesures prévues à l'article 62 et du droit de recours dont elle dispose en vertu de l'article 68, paragraphe 1.

Article 60

Incidents de sécurité

1.   Tout événement ayant ou pouvant avoir un impact sur la sécurité du SIS ou susceptible de causer des dommages ou des pertes aux données du SIS ou aux informations supplémentaires est considéré comme un incident de sécurité, en particulier lorsque des données peuvent avoir fait l'objet d'un accès illicite ou que la disponibilité, l'intégrité et la confidentialité de données ont été ou peuvent avoir été compromises.

2.   Les incidents de sécurité sont gérés de telle sorte qu'une réponse rapide, efficace et idoine y soit apportée.

3.   Sans préjudice de la notification et de la communication d'une violation de données à caractère personnel en vertu de l'article 33 du règlement (UE) 2016/679 ou de l'article 30 de la directive (UE) 2016/680, les États membres, Europol, Eurojust et l'Agence européenne de garde-frontières et de garde-côtes informent sans tarder la Commission, l'eu-LISA, l'autorité de contrôle compétente et le Contrôleur européen de la protection des données des incidents de sécurité. L'Agence informe sans tarder la Commission et le Contrôleur européen de la protection des données de tout incident de sécurité concernant le SIS central.

4.   Les informations relatives à un incident de sécurité ayant ou pouvant avoir un impact sur le fonctionnement du SIS dans un État membre ou au sein de l'eu-LISA, sur la disponibilité, l'intégrité et la confidentialité des données introduites ou envoyées par d'autres États membres ou sur les informations supplémentaires échangées sont communiquées sans tarder à tous les États membres et signalées conformément au plan de gestion des incidents fourni par l'eu-LISA.

5.   Les États membres et l'eu-LISA collaborent en cas d'incident de sécurité.

6.   La Commission signale immédiatement les incidents graves au Parlement européen et au Conseil. Ces rapports sont classifiés EU RESTRICTED/RESTREINT UE conformément aux règles de sécurité applicables.

7.   Lorsqu'un incident de sécurité a pour cause une utilisation abusive de données, les États membres, Europol, Eurojust et l'Agence européenne de garde-frontières et de garde-côtes veillent à ce que des sanctions soient imposées conformément à l'article 73.

Article 61

Différenciation des personnes présentant des caractéristiques similaires

1.   Lorsque, lors de l'introduction d'un nouveau signalement, il apparaît qu'il existe déjà un signalement dans le SIS concernant une personne dont la description d'identité est la même, le bureau SIRENE contacte, dans un délai de 12 heures, l'État membre signalant par la voie d'échange d'informations supplémentaires pour vérifier si les personnes faisant l'objet des deux signalements sont la même personne.

2.   Lorsque la vérification fait apparaître que la personne faisant l'objet du nouveau signalement et la personne faisant l'objet du signalement déjà introduit dans le SIS sont bien une seule et même personne, le bureau SIRENE applique la procédure concernant l'introduction de signalements multiples visée à l'article 23.

3.   Lorsque la vérification révèle qu'il s'agit en réalité de deux personnes différentes, le bureau SIRENE valide la demande d'introduction du deuxième signalement, en ajoutant les données nécessaires pour éviter toute erreur d'identification.

Article 62

Données complémentaires pour traiter les cas d'usurpation d'identité

1.   Lorsqu'il est possible de confondre la personne visée par un signalement et une personne dont l'identité a été usurpée, l'État membre signalant ajoute dans le signalement, avec le consentement explicite de la personne dont l'identité a été usurpée, des données concernant cette dernière afin d'éviter les conséquences négatives résultant d'une erreur d'identification. Toute personne dont l'identité a été usurpée a le droit de retirer son consentement en ce qui concerne le traitement des données à caractère personnel ajoutées.

2.   Les données concernant une personne dont l'identité a été usurpée sont exclusivement utilisées pour:

a)

permettre à l'autorité compétente de distinguer la personne dont l'identité a été usurpée de la personne visée par le signalement; et

b)

permettre à la personne dont l'identité a été usurpée de prouver son identité et d'établir que celle-ci a été usurpée.

3.   Aux fins du présent article, et sous réserve du consentement explicite, pour chaque catégorie de données, de la personne dont l'identité a été usurpée, seules les données à caractère personnel de la personne dont l'identité a été usurpée énumérées ci-après peuvent être introduites dans le SIS et y faire l'objet d'un traitement ultérieur:

a)

les noms;

b)

les prénoms;

c)

les noms à la naissance;

d)

les noms utilisés antérieurement ainsi que les pseudonymes éventuellement enregistrés séparément;

e)

les signes physiques particuliers, objectifs et inaltérables;

f)

le lieu de naissance;

g)

la date de naissance;

h)

le genre;

i)

les photographies et les images faciales;

j)

les empreintes digitales, les empreintes palmaires ou les deux;

k)

toutes les nationalités possédées;

l)

la catégorie des documents d'identification de la personne;

m)

le pays de délivrance des documents d'identification de la personne;

n)

le ou les numéros des documents d'identification de la personne;

o)

la date de délivrance des documents d'identification de la personne;

p)

l'adresse de la personne;

q)

le nom du père de la personne;

r)

le nom de la mère de la personne.

4.   La Commission adopte des actes d'exécution pour établir et préciser les règles techniques nécessaires pour l'introduction et le traitement ultérieur des données visées au paragraphe 3 du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

5.   Les données visées au paragraphe 3 sont supprimées en même temps que le signalement correspondant, ou plus tôt lorsque la personne concernée le demande.

6.   Seules les autorités disposant d'un droit d'accès au signalement correspondant peuvent avoir accès aux données visées au paragraphe 3, et ce dans l'unique but d'éviter une erreur d'identification.

Article 63

Mise en relation de signalements

1.   Un État membre peut mettre en relation des signalements qu'il introduit dans le SIS. Cette mise en relation a pour effet d'établir un lien entre deux signalements ou plus.

2.   La mise en relation est sans effet sur la conduite particulière à tenir sur la base de chacun des signalements mis en relation, ou sur leur délai de réexamen.

3.   La mise en relation ne porte pas atteinte aux droits d'accès prévus par le présent règlement. Les autorités ne disposant pas d'un droit d'accès à certaines catégories de signalements ne doivent pas pouvoir prendre connaissance du lien vers un signalement auquel elles n'ont pas accès.

4.   Un État membre met en relation des signalements lorsque cela répond à un besoin opérationnel.

5.   Lorsqu'un État membre estime que la mise en relation de signalements par un autre État membre n'est pas compatible avec son droit national ou ses obligations internationales, il peut prendre les mesures nécessaires pour faire en sorte que le lien établi ne soit pas accessible à partir de son territoire national ou pour les autorités relevant de sa juridiction établies en dehors de son territoire.

6.   La Commission adopte des actes d'exécution pour établir et préciser les règles techniques pour mettre en relation des signalements. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 64

Objet et durée de conservation des informations supplémentaires

1.   Les États membres conservent au sein du bureau SIRENE une trace des décisions ayant donné lieu à un signalement, afin de faciliter l'échange d'informations supplémentaires.

2.   Les données à caractère personnel conservées au sein du bureau SIRENE à la suite d'un échange d'informations ne sont conservées que pendant le temps nécessaire à la réalisation des finalités pour lesquelles elles ont été fournies. Elles sont, en tout état de cause, supprimées au plus tard un an après que le signalement correspondant a été supprimé du SIS.

3.   Le paragraphe 2 est sans préjudice du droit qu'a un État membre de conserver, dans des fichiers nationaux, des données relatives à un signalement particulier que cet État membre a introduit ou à un signalement sur la base duquel une conduite a été exécutée sur son territoire. Le délai pendant lequel les données peuvent être conservées dans ces fichiers est régi par le droit national.

Article 65

Transfert de données à caractère personnel à des tiers

Les données traitées dans le SIS et les informations supplémentaires y relatives échangées en vertu du présent règlement ne sont pas transférées à des pays tiers ou à des organisations internationales ni mises à leur disposition.

CHAPITRE XVI

Protection des données

Article 66

Législation applicable

1.   Le règlement (UE) 2018/1725 s'applique aux traitements de données à caractère personnel effectués par l'eu-LISA, l'Agence européenne de garde-frontières et de garde-côtes et Eurojust au titre du présent règlement. Le règlement (UE) 2016/794 s'applique aux traitements de données à caractère personnel effectués par Europol au titre du présent règlement.

2.   La directive (UE) 2016/680 s'applique aux traitements de données à caractère personnel effectués, au titre du présent règlement, par les autorités et les services nationaux compétents à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

3.   Le règlement (UE) 2016/679 s'applique aux traitements de données à caractère personnel effectués, au titre du présent règlement, par les autorités et les services nationaux compétents, exception faite des traitements de données à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Article 67

Droit d'accès, de rectification des données inexactes et d'effacement de données conservées de manière illicite

1.   Les personnes concernées ont la possibilité d'exercer les droits que leur confèrent les articles 15, 16 et 17 du règlement (UE) 2016/679 et l'article 14 et l'article 16, paragraphes 1 et 2, de la directive (UE) 2016/680.

2.   Un État membre autre que l'État membre signalant ne peut fournir à la personne concernée des informations concernant l'une ou l'autre des données à caractère personnel de la personne concernée qui sont traitées que s'il donne d'abord à l'État membre signalant la possibilité de prendre position. La communication entre ces États membres se fait par la voie d'échange d'informations supplémentaires.

3.   Un État membre peut décider de ne pas fournir des informations à la personne concernée, en tout ou en partie, conformément au droit national, dès lors et aussi longtemps qu'une limitation partielle ou complète de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne concernée, pour:

a)

éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

b)

éviter de nuire à la prévention et à la détection d'infractions pénales, aux enquêtes et aux poursuites en la matière, ou à l'exécution de sanctions pénales;

c)

protéger la sécurité publique;

d)

protéger la sécurité nationale; ou

e)

protéger les droits et libertés d'autrui.

Dans les cas visés au premier alinéa, l'État membre informe la personne concernée par écrit, sans retard indu, de tout refus ou de toute limitation d'accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des motifs énoncés au premier alinéa, points a) à e). L'État membre informe la personne concernée de la possibilité d'introduire une réclamation auprès d'une autorité de contrôle ou de former un recours juridictionnel.

L'État membre documente les motifs de fait ou de droit sur lesquels se fonde la décision de ne pas fournir d'information à la personne concernée. Ces informations sont mises à la disposition des autorités de contrôle.

Dans de tels cas, la personne concernée peut également exercer ses droits par l'intermédiaire des autorités de contrôle compétentes.

4.   À la suite d'une demande d'accès, de rectification ou d'effacement, l'État membre informe la personne concernée dès que possible et, en tout état de cause, dans les délais visés à l'article 12, paragraphe 3, du règlement (UE) 2016/679, de la suite donnée à l'exercice des droits prévus au présent article.

Article 68

Voies de recours

1.   Sans préjudice des dispositions du règlement (UE) 2016/679 et de la directive (UE) 2016/680 relatives aux voies de recours, toute personne peut saisir toute autorité compétente, y compris une juridiction, en vertu du droit de tout État membre, afin d'avoir accès à des données, de faire rectifier ou d'effacer des données, d'obtenir des informations ou d'obtenir réparation en rapport avec un signalement la concernant.

2.   Les États membres s'engagent mutuellement à exécuter les décisions définitives rendues par les juridictions ou autorités visées au paragraphe 1 du présent article, sans préjudice de l'article 72.

3.   Les États membres font rapport annuellement au comité européen de la protection des données sur:

a)

le nombre de demandes d'accès présentées au responsable du traitement et le nombre de cas où l'accès aux données a été accordé;

b)

le nombre de demandes d'accès présentées à l'autorité de contrôle et le nombre de cas où l'accès aux données a été accordé;

c)

le nombre de demandes de rectification de données inexactes et d'effacement de données conservées de manière illicite présentées au responsable du traitement et le nombre de cas où les données ont été rectifiées ou effacées;

d)

le nombre de demandes de rectification de données inexactes et d'effacement de données conservées de manière illicite présentées à l'autorité de contrôle;

e)

le nombre de procédures judiciaires engagées;

f)

le nombre d'affaires dans lesquelles la juridiction saisie a statué en faveur du requérant;

g)

toute observation relative aux cas de reconnaissance mutuelle de décisions définitives rendues par les juridictions ou les autorités d'autres États membres concernant des signalements introduits par l'État membre signalant.

La Commission établit un modèle pour la communication des informations visées au présent paragraphe.

4.   Les rapports des États membres sont intégrés dans le rapport conjoint visé à l'article 71, paragraphe 4.

Article 69

Contrôle du N.SIS

1.   Les États membres veillent à ce que les autorités de contrôle indépendantes désignées dans chaque État membre et investies des pouvoirs mentionnés au chapitre VI du règlement (UE) 2016/679 ou au chapitre VI de la directive (UE) 2016/680 contrôlent la licéité du traitement des données à caractère personnel dans le SIS sur leur territoire, leur transmission à partir de leur territoire, et l'échange et le traitement ultérieur d'informations supplémentaires sur leur territoire.

2.   Les autorités de contrôle veillent à ce que soit réalisé, tous les quatre ans au minimum, un audit des activités de traitement des données dans le cadre de leur N.SIS, répondant aux normes internationales d'audit. Soit l'audit est réalisé par les autorités de contrôle, soit les autorités de contrôle commandent directement l'audit à un auditeur en matière de protection des données indépendant. En toutes circonstances, les autorités de contrôle conservent le contrôle de l'auditeur indépendant et assument la responsabilité des travaux de celui-ci.

3.   Les États membres veillent à ce que leurs autorités de contrôle disposent des ressources nécessaires pour s'acquitter des tâches qui leur sont confiées par le présent règlement et puissent demander conseil à des personnes ayant des connaissances suffisantes en matière de données biométriques.

Article 70

Contrôle de l'eu-LISA

1.   Le Contrôleur européen de la protection des données est chargé de contrôler le traitement des données à caractère personnel par l'eu-LISA et de veiller à ce qu'il soit effectué conformément au présent règlement. Les tâches et pouvoirs visés aux articles 57 et 58 du règlement (UE) 2018/1725 s'appliquent en conséquence.

2.   Le Contrôleur européen de la protection des données réalise, tous les quatre ans au minimum, un audit du traitement des données à caractère personnel effectué par l'eu-LISA, répondant aux normes internationales d'audit. Un rapport d'audit est communiqué au Parlement européen, au Conseil, à l'eu-LISA, à la Commission et aux autorités de contrôle. L'eu-LISA se voit offrir la possibilité de formuler des observations avant l'adoption du rapport.

Article 71

Coopération entre les autorités de contrôle et le Contrôleur européen de la protection des données

1.   Les autorités de contrôle et le Contrôleur européen de la protection des données, agissant chacun dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités et assurent un contrôle coordonné du SIS.

2.   Agissant chacun dans les limites de leurs compétences respectives, les autorités de contrôle et le Contrôleur européen de la protection des données échangent les informations utiles, s'assistent mutuellement pour réaliser les audits et les inspections, examinent les difficultés d'interprétation ou d'application du présent règlement et d'autres actes juridiques applicables de l'Union, étudient les problèmes qui se sont révélés lors de l'exercice du contrôle indépendant ou de l'exercice des droits de la personne concernée, formulent des propositions harmonisées de solutions communes aux éventuels problèmes et assurent la sensibilisation aux droits en matière de protection des données, selon les besoins.

3.   Aux fins du paragraphe 2, les autorités de contrôle et le Contrôleur européen de la protection des données se réunissent au moins deux fois par an, dans le cadre du comité européen de la protection des données. Le coût et l'organisation de ces réunions sont à la charge du comité européen de la protection des données. Le règlement intérieur est adopté lors de la première réunion. D'autres méthodes de travail sont mises au point d'un commun accord, selon les besoins.

4.   Un rapport d'activités conjoint relatif au contrôle coordonné est transmis annuellement au Parlement européen, au Conseil et à la Commission par le comité européen de la protection des données.

CHAPITRE XVII

Responsabilité et sanctions

Article 72

Responsabilité

1.   Sans préjudice du droit à réparation et de toute responsabilité prévus par le règlement (UE) 2016/679, la directive (UE) 2016/680 et le règlement (UE) 2018/1725:

a)

toute personne ou tout État membre ayant subi un dommage matériel ou immatériel du fait d'une opération illicite de traitement de données à caractère personnel dans le cadre du N.SIS ou de tout autre acte incompatible avec le présent règlement de la part d'un État membre a le droit d'obtenir réparation dudit État membre; et

b)

toute personne ou tout État membre ayant subi un dommage matériel ou immatériel du fait de tout acte de l'eu-LISA incompatible avec le présent règlement a le droit d'obtenir réparation de l'eu-LISA.

Un État membre ou l'eu-LISA sont exonérés, totalement ou partiellement, de leur responsabilité prévue au premier alinéa s'ils prouvent que le fait générateur du dommage ne leur est pas imputable.

2.   Lorsque le non-respect, par un État membre, des obligations qui lui incombent au titre du présent règlement cause un dommage au SIS, cet État membre en est tenu responsable, sauf si et dans la mesure où l'eu-LISA ou un autre État membre participant au SIS n'ont pas pris de mesures raisonnables pour prévenir le dommage ou en atténuer les effets.

3.   Les actions en réparation intentées contre un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par le droit national de cet État membre. Les actions en réparation intentées contre l'eu-LISA pour les dommages visés aux paragraphes 1 et 2 sont soumises aux conditions prévues dans les traités.

Article 73

Sanctions

Les États membres veillent à ce que toute utilisation abusive des données du SIS ou tout traitement de ces données ou tout échange d'informations supplémentaires contraire au présent règlement soit punissable conformément au droit national.

Les sanctions prévues sont effectives, proportionnées et dissuasives.

CHAPITRE XVIII

Dispositions finales

Article 74

Suivi et statistiques

1.   L'eu-LISA veille à ce que des procédures soient mises en place pour assurer le suivi du fonctionnement du SIS par rapport aux objectifs fixés, tant en termes de résultats que de rapport coût-efficacité, de sécurité et de qualité de service.

2.   Aux fins de la maintenance technique, de l'établissement de rapports, de rapports sur la qualité des données et de statistiques, l'eu-LISA a accès aux informations nécessaires concernant les opérations de traitement effectuées dans le SIS central.

3.   L'eu-LISA publie des statistiques journalières, mensuelles et annuelles, présentant le nombre d'enregistrements par catégorie de signalements, ventilées par État membre et sous forme de totaux. L'eu-LISA établit également des rapports annuels sur le nombre de réponses positives par catégorie de signalements, le nombre de fois où le SIS a été consulté et où on a eu accès au système pour introduire, mettre à jour ou supprimer un signalement, ventilés par État membre et sous forme de totaux. Les statistiques ne contiennent pas de données à caractère personnel. Le rapport statistique annuel est publié.

4.   Les États membres, Europol, Eurojust et l'Agence européenne de garde-frontières et de garde-côtes communiquent à l'eu-LISA et à la Commission les informations nécessaires pour établir les rapports visés aux paragraphes 3, 6, 8 et 9.

5.   Ces informations comprennent des statistiques distinctes sur le nombre de recherches effectuées par ou pour les services chargés, dans les États membres, de délivrer les certificats d'immatriculation des véhicules ainsi que les services chargés, dans les États membres, de délivrer les certificats d'immatriculation des bateaux ou d'assurer la gestion de la circulation des bateaux, y compris des moteurs de bateaux; des aéronefs, y compris des moteurs d'aéronef; et des armes à feu. Les statistiques présentent également le nombre de réponses positives par catégorie de signalements.

6.   L'eu-LISA communique au Parlement européen, au Conseil, aux États membres, à la Commission, à Europol, à Eurojust, à l'Agence européenne de garde-frontières et de garde-côtes et au Contrôleur européen de la protection des données tout rapport statistique qu'elle produit.

Pour contrôler la mise en œuvre des actes juridiques de l'Union, y compris aux fins du règlement (UE) no 1053/2013, la Commission peut demander à l'eu-LISA de fournir d'autres rapports statistiques spécifiques, réguliers ou ponctuels, sur la performance du SIS, l'utilisation du SIS et l'échange d'informations supplémentaires.

L'Agence européenne de garde-frontières et de garde-côtes peut demander à l'eu-LISA de fournir d'autres rapports statistiques spécifiques, réguliers ou ponctuels,aux fins de la réalisation des analyses des risques et des évaluations de la vulnérabilité prévues aux articles 11 et 13 du règlement (UE) 2016/1624.

7.   Aux fins de l'article 15, paragraphe 4, et des paragraphes 3, 4 et 6 du présent article, l'eu-LISA crée, met en œuvre et héberge sur ses sites techniques un fichier central contenant les données visées à l'article 15, paragraphe 4, et au paragraphe 3 du présent article qui ne permet pas l'identification des personnes mais permet à la Commission et aux agences visées au paragraphe 6 du présent article d'obtenir des rapports et statistiques sur mesure. Sur demande, l'eu-LISA donne aux États membres et à la Commission, à Europol, à Eurojust et à l'Agence européenne de garde-frontières et de garde-côtes, dans la mesure nécessaire à l'exécution de leurs missions, l'accès au fichier central, au moyen d'un accès sécurisé via l'infrastructure de communication. L'eu-LISA met en place des contrôles d'accès et des profils d'utilisateurs spécifiques pour garantir que l'accès au fichier central n'est possible qu'aux seules fins de l'établissement de rapports et de statistiques.

8.   Deux ans après la date d'application du présent règlement en vertu de l'article 79, paragraphe 5, premier alinéa, puis tous les deux ans, l'eu-LISA présente au Parlement européen et au Conseil un rapport sur le fonctionnement technique du SIS central et de l'infrastructure de communication, y compris leur sécurité, sur AFIS et sur les échanges bilatéraux et multilatéraux d'informations supplémentaires entre les États membres. Ce rapport contient également, dès que la technologie est utilisée, une évaluation de l'utilisation des images faciales aux fins de l'identification des personnes.

9.   Trois ans après la date d'application du présent règlement en vertu de l'article 79, paragraphe 5, premier alinéa, puis tous les quatre ans, la Commission réalise une évaluation globale du SIS central et des échanges bilatéraux et multilatéraux d'informations supplémentaires entre les États membres. Cette évaluation globale comprend un examen des résultats obtenus au regard des objectifs fixés, détermine si les principes de base restent valables, fait le point sur l'application du présent règlement en ce qui concerne le SIS central et sur la sécurité offerte par le SIS central et en tire toutes les conséquences pour le fonctionnement futur. Le rapport d'évaluation comprend également une évaluation d'AFIS et des campagnes d'information sur le SIS réalisées par la Commission conformément à l'article 19.

La Commission transmet le rapport d'évaluation au Parlement européen et au Conseil.

10.   La Commission adopte des actes d'exécution pour établir les modalités de fonctionnement du fichier central visé au paragraphe 7 du présent article ainsi que les règles de protection et de sécurité des données applicables à ce fichier. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 76, paragraphe 2.

Article 75

Exercice de la délégation

1.   Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.   Le pouvoir d'adopter les actes délégués visés à l'article 38, paragraphe 3, et à l'article 43, paragraphe 4, est conféré à la Commission pour une durée indéterminée à compter du 27 décembre 2018.

3.   La délégation de pouvoir visée à l'article 38, paragraphe 3, et à l'article 43, paragraphe 4, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.   Avant l'adoption d'un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes énoncés dans l'accord interinstitutionnel du 13 avril 2016«Mieux légiférer».

5.   Aussitôt qu'elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

6.   Un acte délégué adopté en vertu de l'article 38, paragraphe 3, ou de l'article 43, paragraphe 4, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil.

Article 76

Comité

1.   La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.   Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) no 182/2011 s'applique.

Article 77

Modifications de la décision 2007/533/JAI

La décision 2007/533/JAI est modifiée comme suit:

1)

l'article 6 est remplacé par le texte suivant:

«Article 6

Systèmes nationaux

1.   Chaque État membre est chargé de mettre en place, d'exploiter et de continuer à développer son N.SIS II, ainsi que d'en assurer la maintenance, et de le connecter au NI-SIS.

2.   Chaque État membre assume la responsabilité de garantir aux utilisateurs finaux une disponibilité continue des données du SIS II.»

2)

l'article 11 est remplacé par le texte suivant:

«Article 11

Confidentialité — États membres

1.   Chaque État membre applique à l'égard de toutes les personnes et de tous les organismes appelés à travailler avec des données et des informations supplémentaires du SIS II ses règles en matière de secret professionnel ou leur impose des obligations de confidentialité équivalentes, conformément à sa législation nationale. Cette obligation continue de s'appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après que ces organismes ont cessé leur activité.

2.   Lorsqu'un État membre coopère avec des prestataires externes sur toute tâche liée au SIS II, il suit de près les activités des prestataires afin de veiller au respect de l'ensemble des dispositions de la présente décision, notamment en ce qui concerne la sécurité, la confidentialité et la protection des données.

3.   La gestion opérationnelle des N.SIS II ou de copies techniques n'est en aucun cas confiée à une entreprise ou organisation privée.»

3)

l'article 15 est modifié comme suit:

a)

le paragraphe suivant est inséré:

«3 bis.   L'instance gestionnaire élabore et gère un dispositif et des procédures de contrôle de qualité des données du CS-SIS. Elle présente à intervalles réguliers des rapports aux États membres à cet effet.

L'instance gestionnaire présente à la Commission à intervalles réguliers un rapport indiquant les problèmes rencontrés et les États membres concernés.

La Commission présente au Parlement européen et au Conseil, à intervalles réguliers, un rapport sur les problèmes rencontrés quant à la qualité des données.»

b)

le paragraphe 8 est remplacé par le texte suivant:

«8.   La gestion opérationnelle du SIS II central comprend toutes les tâches nécessaires pour que le SIS II central puisse fonctionner 24 heures sur 24, 7 jours sur 7 conformément à la présente décision, en particulier les travaux de maintenance et les développements techniques indispensables au bon fonctionnement du système. Ces tâches incluent également la coordination, la gestion et le soutien des activités de test concernant le SIS II central et les N.SIS II, qui garantissent que le SIS II central et les N.SIS II fonctionnent conformément aux exigences de conformité technique fixées à l'article 9.»

4)

à l'article 17, les paragraphes suivants sont ajoutés:

«3.   Lorsque l'instance gestionnaire coopère avec des prestataires externes sur toute tâche liée au SIS II, elle suit de près les activités des prestataires afin de veiller au respect de l'ensemble des dispositions de la présente décision, notamment en ce qui concerne la sécurité, la confidentialité et la protection des données.

4.   La gestion opérationnelle du CS-SIS n'est en aucun cas confiée à une entreprise ou organisation privée.»

5)

à l'article 21, l'alinéa suivant est ajouté:

«Lorsqu'une personne ou un objet sont recherchés dans le cadre d'un signalement lié à une infraction terroriste, le cas est considéré comme étant suffisamment approprié, pertinent et important pour justifier un signalement dans le SIS II. Pour des raisons de sécurité publique ou nationale, les États membres peuvent, à titre exceptionnel, s'abstenir d'introduire un signalement si celui-ci risque de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires.»

6)

L'article 22 est remplacé par le texte suivant:

«Article 22

Règles spécifiques pour l'introduction, la vérification ou les recherches à l'aide de photographies et d'empreintes digitales

1.   Les photographies et les empreintes digitales ne sont introduites qu'après avoir été soumises à un contrôle de qualité spécial visant à établir si les normes minimales en matière de qualité ont été respectées. Les spécifications de ce contrôle de qualité spécial sont fixées conformément à la procédure visée à l'article 67.

2.   Lorsque des photographies et des données dactyloscopiques sont disponibles dans un signalement introduit dans le SIS II, ces photographies et ces données dactyloscopiques sont utilisées pour confirmer l'identité d'une personne localisée à la suite d'une recherche alphanumérique effectuée dans le SIS II.

3.   Les données dactyloscopiques peuvent, dans tous les cas, faire l'objet de recherches pour identifier une personne. Toutefois, les données dactyloscopiques font l'objet de recherches pour identifier une personne lorsque l'identité de la personne ne peut être établie par d'autres moyens. À cette fin, le SIS II central contient un système de reconnaissance automatisée d'empreintes digitales (AFIS).

4.   Les données dactyloscopiques dans le SIS II en rapport avec des signalements introduits conformément aux articles 26, 32 et 36 peuvent également faire l'objet de recherches à l'aide de séries complètes ou incomplètes d'empreintes digitales découvertes sur les lieux d'infractions graves ou d'infractions terroristes faisant l'objet d'une enquête, lorsqu'il peut être établi, avec un degré élevé de probabilité, que ces séries d'empreintes appartiennent à un auteur de l'infraction et pour autant que les recherches soient effectuées simultanément dans les bases de données d'empreintes digitales nationales pertinentes de l'État membre.»

7)

l'article 41 est remplacé par le texte suivant:

«Article 41

Accès d'Europol aux données dans le SIS II

1.   L'Agence de l'Union européenne pour la coopération des services répressifs (Europol), établie par le règlement (UE) 2016/794 du Parlement européen et du Conseil (*1), a, dans la mesure nécessaire à l'exécution de son mandat, le droit d'accès aux données dans le SIS II et le droit d'effectuer des recherches dans ces données. Europol peut également échanger des informations supplémentaires et demander, en outre, des informations supplémentaires conformément aux dispositions du manuel SIRENE.

2.   Lorsqu'une recherche effectuée par Europol révèle l'existence d'un signalement dans le SIS II, Europol informe l'État membre signalant par la voie d'échange d'informations supplémentaires au moyen de l'infrastructure de communication et conformément aux dispositions prévues par le manuel SIRENE. Jusqu'à ce qu'Europol soit en mesure d'utiliser les fonctionnalités prévues pour l'échange d'informations supplémentaires, elle informe les États membres signalants par l'intermédiaire des canaux définis dans le règlement (UE) 2016/794.

3.   Europol peut traiter les informations supplémentaires qui lui ont été communiquées par les États membres à des fins de comparaison avec ses bases de données et ses projets d'analyse opérationnelle, en vue d'établir des liens ou d'autres rapports pertinents ainsi qu'aux fins des analyses de nature stratégique ou thématique ou des analyses opérationnelles visées à l'article 18, paragraphe 2, points a), b) et c), du règlement (UE) 2016/794. Tout traitement d'informations supplémentaires par Europol aux fins du présent article est effectué conformément audit règlement.

4.   L'utilisation par Europol des informations obtenues lors d'une recherche dans le SIS II ou lors du traitement d'informations supplémentaires est soumise à l'accord de l'État membre signalant. Si ledit État membre autorise l'utilisation de ces informations, leur traitement par Europol est régi par le règlement (UE) 2016/794. Europol ne communique ces informations à des pays tiers et à des organismes tiers qu'avec le consentement de l'État membre signalant et dans le respect absolu du droit de l'Union relatif à la protection des données.

5.   Europol:

a)

sans préjudice des paragraphes 4 et 6, s'abstient de connecter les parties du SIS II à un système de collecte et de traitement des données exploité par Europol ou en son sein et de transférer les données qu'elles contiennent auxquelles il a accès vers un tel système, ainsi que de télécharger ou de copier, de toute autre manière, une quelconque partie du SIS II;

b)

nonobstant l'article 31, paragraphe 1, du règlement (UE) 2016/794, supprime les informations supplémentaires comportant des données à caractère personnel au plus tard un an après que le signalement correspondant a été supprimé. À titre dérogatoire, lorsque Europol possède, dans ses bases de données ou dans ses projets d'analyse opérationnelle, des informations sur une affaire à laquelle les informations supplémentaires sont liées, afin de pouvoir s'acquitter de ses missions, Europol peut, à titre exceptionnel, continuer à conserver les informations supplémentaires, si nécessaire. Europol informe l'État membre signalant et l'État membre d'exécution du maintien de la conservation de ces informations supplémentaires, en justifiant celui-ci;

c)

limite l'accès aux données dans le SIS II, y compris les informations supplémentaires, au personnel expressément autorisé d'Europol qui demande l'accès à ces données pour l'exécution de ses missions;

d)

adopte et applique des mesures pour garantir la sécurité, la confidentialité et l'autocontrôle conformément aux articles 10, 11 et 13;

e)

veille à ce que son personnel qui est autorisé à traiter des données du SIS II reçoive une formation et des informations appropriées conformément à l'article 14; et

f)

sans préjudice du règlement (UE) 2016/794, autorise le Contrôleur européen de la protection des données à contrôler et à examiner les activités d'Europol dans le cadre de l'exercice de son droit d'accès aux données dans le SIS II et de son droit d'effectuer des recherches dans ces données et dans le cadre de l'échange et du traitement d'informations supplémentaires.

6.   Europol ne copie les données du SIS II qu'à des fins techniques lorsque cette copie est nécessaire au personnel dûment autorisé d'Europol pour effectuer une recherche directe. La présente décision s'applique à ces copies. La copie technique n'est utilisée qu'à des fins de conservation des données du SIS II pendant que ces données font l'objet de recherches. Les données sont supprimées une fois les recherches terminées. De telles utilisations ne sont pas considérées comme des téléchargements ou copies illicites de données du SIS II. Europol s'abstient de copier les données d'un signalement ou des données complémentaires émanant des États membres, ou des données provenant du CS-SIS II, vers d'autres systèmes d'Europol.

7.   Aux fins de vérifier la licéité du traitement des données, d'assurer un autocontrôle et de garantir la sécurité et l'intégrité des données, Europol consigne dans des registres tout accès au SIS II et toute recherche dans le SIS II conformément aux dispositions de l'article 12. De tels registres et traces documentaires ne sont pas considérés comme des téléchargements ou copies illicites d'une partie du SIS II.

8.   Les États membres informent Europol, par la voie d'échange d'informations supplémentaires, de toute réponse positive à des signalements liés à des infractions terroristes. À titre exceptionnel, les États membres peuvent ne pas informer Europol si la transmission de ces informations compromet des enquêtes en cours ou la sécurité d'une personne physique, ou est contraire aux intérêts essentiels de la sécurité de l'État membre signalant.

9.   Le paragraphe 8 s'applique à partir de la date à laquelle Europol est en mesure de recevoir des informations supplémentaires conformément au paragraphe 1.

(*1)  Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).»"

8)

l'article suivant est inséré:

«Article 42 bis

Accès aux données dans le SIS II par les équipes du corps européen de garde-frontières et de garde-côtes, les équipes d'agents intervenant dans les tâches liées au retour et les membres des équipes d'appui à la gestion des flux migratoires

1.   Conformément à l'article 40, paragraphe 8, du règlement (UE) 2016/1624 du Parlement européen et du Conseil (*2), les membres des équipes visées à l'article 2, points 8) et 9), dudit règlement ont le droit, dans les limites de leur mandat et pour autant que ceux-ci soient autorisés à procéder à des vérifications conformément à l'article 40, paragraphe 1, de la présente décision, et qu'ils aient reçu la formation requise conformément à l'article 14 de la présente décision, d'avoir accès aux données dans le SIS II et d'effectuer des recherches dans ces données dans la mesure où cela est nécessaire à l'exécution de leurs missions et où cela est requis par le plan opérationnel pour une opération spécifique. L'accès aux données dans le SIS II ne s'étend pas à d'autres membres des équipes.

2.   Les membres des équipes visés au paragraphe 1 exercent le droit d'accès aux données dans le SIS II et le droit d'effectuer des recherches dans ces données, conformément au paragraphe 1, par l'intermédiaire de l'interface technique. L'interface technique est créée et gérée par l'Agence européenne de garde-frontières et de garde-côtes et permet une connexion directe au SIS II central.

3.   Lorsqu'une recherche effectuée par un membre des équipes visé au paragraphe 1 du présent article révèle l'existence d'un signalement dans le SIS II, l'État membre signalant en est informé. Conformément à l'article 40 du règlement (UE) 2016/1624, les membres des équipes n'agissent en réaction à un signalement dans le SIS II que sur les instructions et, en règle générale, en présence de garde-frontières ou d'agents intervenant dans les tâches liées au retour de l'État membre hôte dans lequel ils opèrent. L'État membre hôte peut autoriser les membres des équipes à agir en son nom.

4.   Aux fins de vérifier la licéité du traitement des données, d'assurer un autocontrôle et de garantir la sécurité et l'intégrité des données, l'Agence européenne de garde-frontières et de garde-côtes consigne dans des registres tout accès au SIS II et toute recherche effectuée dans le SIS II conformément aux dispositions de l'article 12.

5.   L'Agence européenne de garde-frontières et de garde-côtes adopte et applique des mesures pour assurer la sécurité, la confidentialité et l'autocontrôle, conformément aux articles 10, 11 et 13, et veille à ce que les équipes visées au paragraphe 1 du présent article appliquent ces mesures.

6.   Aucune disposition du présent article ne doit être interprétée comme affectant les dispositions du règlement (UE) 2016/1624 concernant la protection des données ou la responsabilité de l'Agence européenne de garde-frontières et de garde-côtes du fait d'un traitement non autorisé ou incorrect de données qu'elle a effectué.

7.   Sans préjudice du paragraphe 2, aucune des parties du SIS II n'est connectée à un système de collecte et de traitement des données exploité par les équipes visées au paragraphe 1 ou par l'Agence européenne de garde-frontières et de garde-côtes, et aucune des données dans le SIS II auxquelles ces équipes ont accès n'est transférée vers un tel système. Aucune partie du SIS II ne doit être téléchargée ou copiée. L'enregistrement dans un registre des accès et des recherches n'est pas considéré comme un téléchargement ou une copie illicite de données du SIS II.

8.   L'Agence européenne de garde-frontières et de garde-côtes autorise le Contrôleur européen de la protection des données à contrôler et à examiner les activités des équipes visées au présent article dans le cadre de l'exercice de leur droit d'accès aux données dans le SIS II et d'effectuer des recherches dans ces données. Cette disposition est sans préjudice des autres dispositions du règlement (UE) 2018/1725 du Parlement européen et du Conseil (*3).

(*2)  Règlement (UE) 2016/1624 du Parlement européen et du Conseil du 14 septembre 2016 relatif au corps européen de garde-frontières et de garde-côtes, modifiant le règlement (UE) 2016/399 du Parlement européen et du Conseil et abrogeant le règlement (CE) no 863/2007 du Parlement européen et du Conseil, le règlement (CE) no 2007/2004 du Conseil et la décision 2005/267/CE du Conseil (JO L 251 du 16.9.2016, p. 1)."

(*3)  Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).»"

Article 78

Abrogation

Le règlement (CE) no 1986/2006 et les décisions 2007/533/JAI et 2010/261/UE sont abrogés à partir de la date d'application du présent règlement prévue à l'article 79, paragraphe 5, premier alinéa.

Les références faites au règlement (CE) no 1986/2006 et à la décision 2007/533/JAI abrogés s'entendent comme faites au présent règlement et sont à lire selon le tableau de correspondance figurant en annexe.

Article 79

Entrée en vigueur, mise en service et application

1.   Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

2.   Au plus tard le 28 décembre 2021, la Commission adopte une décision fixant la date à laquelle le SIS est mis en service en vertu du présent règlement, après avoir vérifié que les conditions suivantes sont remplies:

a)

les actes d'exécution nécessaires à l'application du présent règlement ont été adoptés;

b)

les États membres ont informé la Commission qu'ils ont pris les dispositions techniques et juridiques nécessaires pour traiter les données du SIS et échanger des informations supplémentaires en vertu du présent règlement; et

c)

l'eu-LISA a informé la Commission de l'achèvement concluant de toutes les activités de test concernant le CS-SIS et l'interaction entre le CS-SIS et les N.SIS.

3.   La Commission surveille étroitement le processus de réalisation progressive des conditions énoncées au paragraphe 2 et informe le Parlement européen et le Conseil du résultat de la vérification visée audit paragraphe.

4.   Au plus tard le 28 décembre 2019 puis chaque année jusqu'à l'adoption par la Commission de la décision visée au paragraphe 2, la Commission présente au Parlement européen et au Conseil un rapport sur l'état d'avancement des préparations pour la mise en œuvre complète du présent règlement. Ce rapport contient également des informations détaillées sur les coûts encourus ainsi que des informations relatives à tout risque susceptible d'avoir des retombées sur les coûts totaux.

5.   Le présent règlement s'applique à partir de la date déterminée conformément au paragraphe 2.

Par dérogation au premier alinéa:

a)

l'article 4, paragraphe 4, l'article 5, l'article 8, paragraphe 4, l'article 9, paragraphes 1 et 5, l'article 12, paragraphe 8, l'article 15, paragraphe 7, l'article 19, l'article 20, paragraphes 4 et 5, l'article 26, paragraphe 6, l'article 32, paragraphe 9, l'article 34, paragraphe 3, l'article 36, paragraphe 6, l'article 38, paragraphes 3 et 4, l'article 42, paragraphe 5, l'article 43, paragraphe 4, l'article 54, paragraphe 5, l'article 62, paragraphe 4, l'article 63, paragraphe 6, l'article 74, paragraphes 7 et 10, l'article 75, l'article 76, l'article 77, points 1) à 5), ainsi que les paragraphes 3 et 4 du présent article, s'appliquent à partir de la date d'entrée en vigueur du présent règlement;

b)

l'article 77, points 7) et 8), s'applique à partir du 28 décembre 2019;

c)

l'article 77, point 6), s'applique à partir du 28 décembre 2020.

6.   La décision de la Commission visée au paragraphe 2 est publiée au Journal officiel de l'Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.

Fait à Bruxelles, le 28 novembre 2018.

Par le Parlement européen

Le président

A. TAJANI

Par le Conseil

Le président

K. EDTSTADLER


(1)  Position du Parlement européen du 24 octobre 2018 (non encore parue au Journal officiel) et décision du Conseil du 19 novembre 2018.

(2)  JO L 239 du 22.9.2000, p. 19.

(3)  Règlement (CE) no 2424/2001 du Conseil du 6 décembre 2001 relatif au développement du système d'information de Schengen de deuxième génération (SIS II) (JO L 328 du 13.12.2001, p. 4.).

(4)  Décision 2001/886/JAI du Conseil du 6 décembre 2001 relative au développement du système d'information de Schengen de deuxième génération (SIS II) (JO L 328 du 13.12.2001, p. 1).

(5)  Règlement (CE) no 1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) (JO L 381 du 28.12.2006, p. 4).

(6)  Décision 2007/533/JAI du Conseil du 12 juin 2007 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) (JO L 205 du 7.8.2007, p. 63).

(7)  Règlement (UE) 2018/1861 du Parlement européen et du Conseil du 28 novembre 2018 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine des vérifications aux frontières, modifiant la convention d'application de l'accord de Schengen et modifiant et abrogeant le règlement (CE) no 1987/2006 (voir page 14 du présent Journal officiel).

(8)  Règlement (UE) 2018/1726 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l'Agence de l'Union européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (eu-LISA), modifiant le règlement (CE) no 1987/2006 et la décision 2007/533/JAI du Conseil et abrogeant le règlement (UE) no 1077/2011 (JO L 295 du 21.11.2018, p. 99).

(9)  Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

(10)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(11)  Décision 2008/615/JAI du Conseil du 23 juin 2008 relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière (JO L 210 du 6.8.2008, p. 1).

(12)  Décision 2008/616/JAI du Conseil du 23 juin 2008 concernant la mise en œuvre de la décision 2008/615/JAI relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière (JO L 210 du 6.8.2008, p. 12).

(13)  Décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres (JO L 190 du 18.7.2002, p. 1).

(14)  Directive 2013/48/UE du Parlement européen et du Conseil du 22 octobre 2013 relative au droit d'accès à un avocat dans le cadre des procédures pénales et des procédures relatives au mandat d'arrêt européen, au droit d'informer un tiers dès la privation de liberté et au droit des personnes privées de liberté de communiquer avec des tiers et avec les autorités consulaires (JO L 294 du 6.11.2013, p. 1).

(15)  Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

(16)  Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).

(17)  JO L 56 du 4.3.1968, p. 1.

(18)  Règlement (UE) 2016/1624 du Parlement européen et du Conseil du 14 septembre 2016 relatif au corps européen de garde-frontières et de garde-côtes, modifiant le règlement (UE) 2016/399 du Parlement européen et du Conseil et abrogeant le règlement (CE) no 863/2007 du Parlement européen et du Conseil, le règlement (CE) no 2007/2004 du Conseil et la décision 2005/267/CE du Conseil (JO L 251 du 16.9.2016, p. 1).

(19)  Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(20)  JO L 123 du 12.5.2016, p. 1.

(21)  Décision 2000/365/CE du Conseil du 29 mai 2000 relative à la demande du Royaume-Uni de Grande-Bretagne et d'Irlande du Nord de participer à certaines dispositions de l'acquis de Schengen (JO L 131 du 1.6.2000, p. 43).

(22)  Décision 2002/192/CE du Conseil du 28 février 2002 relative à la demande de l'Irlande de participer à certaines dispositions de l'acquis de Schengen (JO L 64 du 7.3.2002, p. 20).

(23)  JO L 176 du 10.7.1999, p. 36.

(24)  Décision 1999/437/CE du Conseil du 17 mai 1999 relative à certaines modalités d'application de l'accord conclu par le Conseil de l'Union européenne et la République d'Islande et le Royaume de Norvège sur l'association de ces États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (JO L 176 du 10.7.1999, p. 31).

(25)  JO L 53 du 27.2.2008, p. 52.

(26)  Décision 2008/149/JAI du Conseil du 28 janvier 2008 relative à la conclusion, au nom de l'Union européenne, de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen (JO L 53 du 27.2.2008, p. 50).

(27)  JO L 160 du 18.6.2011, p. 21.

(28)  Décision 2011/349/UE du Conseil du 7 mars 2011 relative à la conclusion, au nom de l'Union européenne, du protocole entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen notamment en ce qui concerne la coopération judiciaire en matière pénale et la coopération policière (JO L 160 du 18.6.2011, p. 1).

(29)  Décision 2010/365/UE du Conseil du 29 juin 2010 sur l'application à la République de Bulgarie et à la Roumanie des dispositions de l'acquis de Schengen relatives au système d'information Schengen (JO L 166 du 1.7.2010, p. 17).

(30)  Décision (UE) 2018/934 du Conseil du 25 juin 2018 concernant la mise en application en République de Bulgarie et en Roumanie des dispositions restantes de l'acquis de Schengen relatives au système d'information Schengen (JO L 165 du 2.7.2018, p. 37).

(31)  Décision (UE) 2017/733 du Conseil du 25 avril 2017 sur l'application en République de Croatie des dispositions de l'acquis de Schengen relatives au système d'information Schengen (JO L 108 du 26.4.2017, p. 31).

(32)  Règlement (CE) no 1986/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l'accès des services des États membres chargés de l'immatriculation des véhicules au système d'information Schengen de deuxième génération (SIS II) (JO L 381 du 28.12.2006, p. 1).

(33)  Décision 2010/261/UE de la Commission du 4 mai 2010 établissant un plan de sécurité pour le SIS II central et l'infrastructure de communication (JO L 112 du 5.5.2010, p. 31).

(34)  Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(35)  Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6).

(36)  Règlement (UE) 2016/399 du Parlement européen et du Conseil du 9 mars 2016 concernant un code de l'Union relatif au régime de franchissement des frontières par les personnes (code frontières Schengen) (JO L 77 du 23.3.2016, p. 1).

(37)  Règlement (UE) no 1053/2013 du Conseil du 7 octobre 2013 portant création d'un mécanisme d'évaluation et de contrôle destiné à vérifier l'application de l'acquis de Schengen et abrogeant la décision du comité exécutif du 16 septembre 1998 concernant la création d'une commission permanente d'évaluation et d'application de Schengen (JO L 295 du 6.11.2013, p. 27).

(38)  Directive 2013/32/UE du Parlement européen et du Conseil du 26 juin 2013 relative à des procédures communes pour l'octroi et le retrait de la protection internationale (JO L 180 du 29.6.2013, p. 60).

(39)  Règlement (CE) no 377/2004 du Conseil du 19 février 2004 relatif à la création d'un réseau d'officiers de liaison «Immigration» (JO L 64 du 2.3.2004, p. 1).

(40)  Directive 1999/37/CE du Conseil du 29 avril 1999 relative aux documents d'immatriculation des véhicules (JO L 138 du 1.6.1999, p. 57).

(41)  Règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l'Agence de l'Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et remplaçant et abrogeant la décision 2002/187/JAI du Conseil (JO L 295 du 21.11.2018, p. 138).


ANNEXE

TABLEAU DE CORRESPONDANCE

Décision 2007/533/JAI

Présent règlement

Article 1er

Article 1er

Article 2

Article 2

Article 3

Article 3

Article 4

Article 4

Article 5

Article 5

Article 6

Article 6

Article 7

Article 7

Article 8

Article 8

Article 9

Article 9

Article 10

Article 10

Article 11

Article 11

Article 12

Article 12

Article 13

Article 13

Article 14

Article 14

Article 15

Article 15

Article 16

Article 16

Article 17

Article 17

Article 18

Article 18

Article 19

Article 19

Article 20

Article 20

Article 21

Article 21

Article 22

Articles 42 et 43

Article 23

Article 22

Article 23

Article 24

Article 24

Article 25

Article 25

Article 26

Article 26

Article 27

Article 27

Article 28

Article 28

Article 29

Article 29

Article 30

Article 30

Article 31

Article 31

Article 32

Article 32

Article 33

Article 33

Article 34

Article 34

Article 35

Article 35

Article 36

Article 36

Article 37

Article 37

Article 38

Article 38

Article 39

Article 39

Article 40

Article 41

Article 40

Article 44

Article 45

Article 46

Article 47

Article 41

Article 48

Article 42

Article 49

Article 51

Article 42a

Article 50

Article 43

Article 52

Article 44

Article 53

Article 45

Article 54

Article 55

Article 46

Article 56

Article 47

Article 57

Article 48

Article 58

Article 49

Article 59

Article 60

Article 50

Article 61

Article 51

Article 62

Article 52

Article 63

Article 53

Article 64

Article 54

Article 65

Article 55

Article 56

Article 57

Article 66

Article 58

Article 67

Article 59

Article 68

Article 60

Article 69

Article 61

Article 70

Article 62

Article 71

Article 63

Article 64

Article 72

Article 65

Article 73

Article 66

Article 74

Article 75

Article 67

Article 76

Article 68

Article 77

Article 69

Article 78

Article 70

Article 71

Article 79


Règlement (CE) no 1986/2006

Présent règlement

Articles 1er, 2 et 3

Article 45


Top