4. Risques de malveillance 
4.1. Généralités 4.1.3. Informatique et libertés
4.1. Généralités 4.1.3. Informatique et libertés
Règlement délégué (UE) 2021/2103 de la Commission du 19 août 2021 établissant des règles détaillées concernant le fonctionnement du portail en ligne, conformément à l’article 49, paragraphe 6, du règlement (UE) 2019/818 du Parlement européen et du Conseil
| Date de signature : | 19/08/2021 | Statut du texte : | En vigueur |
| Date de publication : | 01/12/2021 | Emetteur : | |
| Consolidée le : | Source : | JOUE L429 du 1er décembre 2021 | |
| Date d'entrée en vigueur : | 21/12/2021 |
Règlement délègué (UE) 2021/2103 de la Commission du 19 août 2021 établissant des règles détaillées concernant le fonctionnement du portail en ligne, conformément à l’article 49, paragraphe 6, du règlement (UE) 2019/818 du Parlement européen et du Conseil
LA COMMISSION EUROPÉENNE,
(1) le règlement (UE) 2019/818, avec le règlement (UE) 2019/817 du Parlement européen et du Conseil (2) établit un cadre pour assurer l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières, des visas, de la coopération policière et judiciaire, de l’asile et de l’immigration.
(2) Ce cadre comprend plusieurs éléments d’interopérabilité qui impliquent le traitement de grandes quantités de données à caractère personnel. Il importe que les personnes dont les données sont traitées au moyen de ces éléments puissent exercer effectivement leurs droits en tant que personnes concernées, comme l’exigent le règlement (UE) 2016/679 (3), la directive (UE) 2016/680 (4) et le règlement (UE) 2018/1725 (5) du Parlement européen et du Conseil.
(3) Pour faciliter l’exercice des droits d’accès aux données à caractère personnel, de rectification, d’effacement ou de limitation du traitement de telles données, le règlement (UE) 2019/818 crée un portail en ligne.
(4) Ce portail en ligne devrait permettre aux personnes dont les données sont traitées dans le détecteur d’identités multiples et qui ont été informées de la présence d’un lien rouge ou blanc d’obtenir les coordonnées de l’autorité compétente de l’État membre responsable de la vérification manuelle des différentes identités.
(5) Afin de faciliter la communication entre l’utilisateur du portail et l’autorité compétente de l’État membre responsable de la vérification manuelle des différentes identités, le portail en ligne devrait comporter un modèle de courriel disponible dans les langues fixées par le présent règlement. Il devrait également permettre de choisir la ou les langue(s) à utiliser pour la réponse.
(6) Afin de clarifier les responsabilités respectives concernant le portail en ligne, le présent règlement devrait préciser les responsabilités à cet égard de l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA), de la Commission et des États membres.
(7) En vue du bon fonctionnement en toute sécurité du portail en ligne, le présent règlement devrait établir des règles concernant la sécurité des informations qui figurent sur ledit portail. En outre, les accès au portail en ligne devraient être enregistrés afin d’éviter toute utilisation abusive.
(8) Étant donné que le règlement (UE) 2019/818 développe l’acquis de Schengen, le Danemark a notifié, conformément à l’article 4 du protocole n°22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, la transposition dudit règlement dans son droit national. Il est donc lié par le présent règlement.
(9) Le présent règlement constitue un développement des dispositions de l’acquis de Schengen auxquelles l’Irlande ne participe pas (6). L’Irlande ne participe donc pas à l’adoption du présent règlement et n’est pas liée par celui-ci, ni soumise à son application.
(10) En ce qui concerne l’Islande et la Norvège, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens de l’accord conclu par le Conseil de l’Union européenne, la République d’Islande et le Royaume de Norvège sur l’association de ces deux États à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (7), qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE du Conseil (8).
(11) En ce qui concerne la Suisse, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens de l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (9), qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE, lue en liaison avec l’article 3 de la décision 2008/146/CE du Conseil (10).
(12) En ce qui concerne le Liechtenstein, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens du protocole entre l’Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l’adhésion de la Principauté de Liechtenstein à l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (11), qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE, lue en liaison avec l’article 3 de la décision 2011/350/UE du Conseil (12).
(13) En ce qui concerne Chypre, la Bulgarie et la Roumanie, et la Croatie, le présent règlement constitue un acte fondé sur l’acquis de Schengen ou qui s’y rapporte, au sens, respectivement, de l’article 3, paragraphe 1, de l’acte d’adhésion de 2003, de l’article 4, paragraphe 1, de l’acte d’adhésion de 2005 et de l’article 4, paragraphe 1, de l’acte d’adhésion de 2011.
(14) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 31 mars 2021,
A ADOPTÉ LE PRÉSENT RÈGLEMENT :
Article premier
Domaine et accès
1. Le portail en ligne utilise le nom de domaine «.europa.eu» de l’Union européenne.
2. La description du portail en ligne est mise à disposition pour indexation par les principaux moteurs de recherche publics.
3. En plus des langues officielles des États membres, le portail en ligne est accessible au public au moins dans les langues suivantes: russe, arabe, japonais, chinois, albanais, bosnien, macédonien, hindi et turc.
4. Le portail en ligne contient les informations visées aux articles 47 et 48 du règlement (UE) 2019/818 et un outil de recherche permettant d’extraire les coordonnées de l’autorité compétente de l’État membre responsable de la création d’un lien rouge ou blanc à la suite de la vérification manuelle des différentes identités. Il peut également contenir d’autres informations nécessaires qui facilitent l’exercice des droits visés aux articles 47 et 48 du règlement (UE) 2019/818.
5. Le portail en ligne doit être conforme aux règles, lignes directrices et informations contenues dans le Guide web Europa de la Commission européenne, notamment aux lignes directrices relatives à l’accessibilité. 6. Le portail en ligne doit empêcher que les coordonnées des autorités soient mises à la disposition des moteurs de recherche et d’autres outils automatiques de collecte de coordonnées.
Article 2
Acteurs et responsabilités
1. L’eu-LISA développe le portail en ligne et en assure la gestion technique, ainsi que le mentionne l’article 49, paragraphe 5, du règlement (UE) 2019/818, y compris l’hébergement, le fonctionnement et la maintenance du portail.
2. La Commission fournit à l’eu-LISA le contenu du portail en ligne visé à l’article 1er, paragraphe 4, ainsi que toute correction ou mise à jour nécessaire.
3. Les États membres communiquent en temps utile à l’eu-LISA les coordonnées de toutes les autorités compétentes pour examiner toute demande visée aux articles 47 et 48 du règlement (UE) 2019/818 et pour y répondre, afin de permettre le chargement et la mise à jour réguliers du contenu du portail en ligne, prévus à l’article 49, paragraphe 4, dudit règlement.
4. Les États membres communiquent à l’eu-LISA un point de contact unique chargé des vérifications et de la maintenance.
5. L’eu-LISA vérifie les coordonnées fournies, en invitant tous les États membres à vérifier les informations disponibles, en vue d’intégrer les éventuels changements ou ajouts. La vérification est effectuée au moins une fois par an.
6. En ce qui concerne le traitement des données dans le portail en ligne, les autorités des États membres sont les responsables du traitement au sens de l’article 4, point 7), du règlement (UE) 2016/679 ou de l’article 3, point 8), de la directive (UE) 2016/680.
7. En ce qui concerne le traitement des données à caractère personnel dans le portail en ligne, l’eu-LISA est le soustraitant au sens de l’article 3, point 12), du règlement (UE) 2018/1725.
Article 3
Interface utilisateur
1. Le portail en ligne contient un outil de recherche permettant aux utilisateurs d’introduire la référence de l’autorité responsable de la vérification manuelle des différentes identités, mentionnée à l’article 34, point d), du règlement (UE) 2019/818, pour obtenir les coordonnées de cette autorité.
2. Après avoir vérifié que les données introduites sont valables et complètes, le portail en ligne extrait les coordonnées de l’autorité conformément à l’article 49, paragraphe 3, du règlement (UE) 2019/818.
3. Le portail en ligne permet à l’utilisateur de faire une demande d’informations à l’aide d’un modèle de courriel en ligne, afin de faciliter la communication avec l’autorité compétente de l’État membre responsable de la vérification manuelle des différentes identités. Ce modèle comporte un champ destiné au numéro d’identification unique visé à l’article 34, point c), du règlement (UE) 2019/818, afin de permettre à l’autorité d’extraire les informations sur le lien pertinentes et les fichiers correspondants.
4. Le modèle de courriel contient une demande type d’informations complémentaires, disponible dans les langues mentionnées à l’article 1er, paragraphe 3. Ce modèle figure en annexe. Il permet en outre de choisir la ou les langue(s) à utiliser pour la réponse, l’option devant comporter au moins deux langues sélectionnées par chaque État membre. L’utilisateur peut choisir la version linguistique du modèle de courriel.
5. Après la soumission en ligne du modèle de courriel complété, l’utilisateur reçoit par courriel un accusé de réception automatisé, contenant les coordonnées de l’autorité chargée de répondre à sa demande et permettant à la personne d’exercer les droits prévus à l’article 48, paragraphe 1, du règlement (UE) 2019/818.
Article 4
Gestion des contenus
1. Le portail en ligne établit une séparation entre, d’une part, les pages du site contenant des informations destinées au public et, d’autre part, l’outil de recherche et les pages du site permettant à l’utilisateur d’obtenir les coordonnées de l’autorité responsable de la vérification manuelle des différentes identités.
2. Pour permettre la gestion des contenus par l’eu-LISA, le portail en ligne comporte une interface d’administration qui est sécurisée. Tout accès à cette interface et toute modification apportée sont enregistrés conformément à l’article 7.
3. L’interface d’administration confère à l’eu-LISA le droit d’ajouter, de modifier ou de supprimer des contenus sur le portail en ligne. Cette interface ne saurait en aucun cas permettre à l’eu-LISA d’accéder aux données relatives aux ressortissants de pays tiers stockées dans les systèmes d’information de l’UE.
4. La solution de gestion des contenus comporte un système par étapes dans lequel toutes les modifications peuvent être préparées, visualisées et envoyées au système en ligne en vue de leur publication à un moment donné. Ce système comprend également des outils pour faciliter la gestion des contenus et prévisualiser le résultat des modifications.
Article 5
Sécurité
1. Le portail en ligne est conçu et mis en œuvre de manière à garantir la confidentialité, l’intégrité et la disponibilité des services, ainsi que la non-répudiation des opérations, en appliquant au moins les principes de sécurité des applications suivants :
a) défense en profondeur (mécanismes de sécurité à plusieurs niveaux);
b) modèle de sécurité positive (définit ce qui est autorisé et rejette tout le reste);
c) échouer en toute sécurité (traite les erreurs de manière sûre)
d) fonctionner avec le moins de privilèges
e) faire simple en matière de sécurité (éviter les architectures complexes lorsqu’une approche plus simple est plus rapide et facile à suivre);
f) détecter et prévenir les intrusions (enregistrer et gérer toutes les informations pertinentes en matière de sécurité) en réalisant des contrôles proactifs de la protection des informations du portail en ligne et des coordonnées des coordonnées des États membres contre les cyberattaques et les fuites d’information;
g) ne pas faire confiance aux infrastructures (l’application doit authentifier et autoriser toute action émanant d’autres systèmes d’information);
h) ne pas faire confiance aux services (ne faire confiance à aucun système externe);
i) configuration stricte des paramètres par défaut (les environnements «logiciels» et «systèmes d’exploitation» sont renforcés conformément aux meilleures pratiques et aux normes du secteur).
2. Le portail en ligne est conçu et mis en œuvre de manière à garantir la disponibilité et l’intégrité des registres.
3. Aux fins de la sécurité et de la protection des données, le portail en ligne comprend un avis informant les utilisateurs des règles régissant son utilisation et des conséquences de la fourniture d’informations inexactes. L’avis comprend un formulaire d’acceptation des règles régissant l’utilisation du portail en ligne, que l’utilisateur est tenu de soumettre avant d’être autorisé à utiliser ce portail.
La mise en œuvre technique et organisationnelle du portail en ligne respecte le plan de sécurité, le plan de continuité des activités et le plan de rétablissement après sinistre visés à l’article 42, paragraphe 3, du règlement (UE) 2019/818.
Article 6
Protection des données et droits de la personne concernée
1. Le portail en ligne respecte les règles en matière de protection des données énoncées dans le règlement (UE) 2016/679, le règlement (UE) 2018/1725 et la directive (UE) 2016/680.
2. Le portail en ligne contient une déclaration de confidentialité, qui est accessible via lien spécifique. Elle est également accessible à partir de toute autre page du portail en ligne. Elle est formulée d’une manière claire et complète.
Article 7
Registres
1. Sans préjudice des documents écrits visés à l’article 48, paragraphe 10, du règlement (UE) 2019/818, tout accès au portail en ligne est consigné dans un registre contenant les informations suivantes :
a) l’adresse IP du système utilisé par le demandeur;
b) la date et l’heure de la demande d’accès;
c) des informations techniques sur l’environnement utilisé pour la demande d’accès, telles que le type d’appareil, la version du système d’exploitation, le modèle et la version du navigateur.
2. Les informations enregistrées ne sont utilisées qu’à des fins statistiques ainsi que pour contrôler l’utilisation qui est faite du portail en ligne, afin de prévenir toute utilisation abusive.
3. En cas d’accès à l’interface d’administration du portail en ligne, outre les données énumérées au paragraphe 1, sont enregistrées les données suivantes :
a) l’identification de l’utilisateur accédant à l’interface d’administration;
b) les actions effectuées sur le portail en ligne (création, mise à jour ou suppression de contenus).
4. D’autres informations techniques anonymes peuvent être enregistrées pendant l’utilisation du portail en ligne afin d’en optimiser l’utilisation et les performances, à condition qu’elles ne contiennent pas de données à caractère personnel.
5. Les informations enregistrées conformément aux paragraphes 1 et 3 sont conservées pendant une durée maximale de deux ans.
6. L’eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le portail en ligne.
7. L’eu-LISA, les autorités des États membres et les agences de l’Union établissent chacune la liste du personnel dûment autorisé à accéder aux registres du portail en ligne consignant les opérations de traitement de données.
Article 8
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.
Fait à Bruxelles, le 19 août 2021.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 135 du 22.5.2019, p. 85.
(2) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
(5) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(6) Le présent règlement ne relève pas du champ d’application des mesures prévues par la décision 2002/192/CE du Conseil du 28 février 2002 relative à la demande de l’Irlande de participer à certaines dispositions de l’acquis de Schengen (JO L 64 du 7.3.2002, p. 20).
(7) JO L 176 du 10.7.1999, p. 36.
(8) Décision 1999/437/CE du Conseil du 17 mai 1999 relative à certaines modalités d’application de l’accord conclu par le Conseil de l’Union européenne et la République d’Islande et le Royaume de Norvège sur l’association de ces États à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (JO L 176 du 10.7.1999, p. 31).
(9) JO L 53 du 27.2.2008, p. 52.
(10) Décision 2008/146/CE du Conseil du 28 janvier 2008 relative à la conclusion, au nom de la Communauté européenne, de l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (JO L 53 du 27.2.2008, p. 1).
(11) JO L 160 du 18.6.2011, p. 21.
(12) Décision 2011/350/UE du Conseil du 7 mars 2011 relative à la conclusion, au nom de l’Union européenne, du protocole entre l’Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l’adhésion de la Principauté de Liechtenstein à l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen en ce qui concerne la suppression des contrôles aux frontières intérieures et la circulation des personnes (JO L 160 du 18.6.2011, p. 19). L
ANNEXE
Modèle de courriel pour demande d’informations
Le modèle pour le courriel est le suivant :
À: < autorité responsable de la vérification manuelle des différentes identités et extraite par le portail>
DE:
OBJET: Demande d’informations concernant le détecteur d’identités multiples [lien rouge/lien blanc]:
Texte: Madame, Monsieur,
J’ai été informé(e) par écrit, par un formulaire que j’ai reçu, de l’existence de divergences potentielles dans les informations personnelles me concernant.
Ces divergences potentielles dans les informations relatives à mon identité ont entraîné la création d’un dossier portant la référence < numéro d’identification unique >.
Je souhaiterais recevoir toute information complémentaire concernant ce dossier pour le < date à calculer par le portail> en < langue (1) >à l’adresse suivante adresse courriel.
(1) Menu déroulant avec options linguistiques à décider par chaque État membre.
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l’Union européenne,
- vu le règlement (UE) 2019/818 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine de la coopération policière et judiciaire, de l’asile et de l’immigration et modifiant les règlements (UE) 2018/1726, (UE) 2018/1862 et (UE) 2019/816 (1), et notamment son article 49, paragraphe 6,
(1) le règlement (UE) 2019/818, avec le règlement (UE) 2019/817 du Parlement européen et du Conseil (2) établit un cadre pour assurer l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières, des visas, de la coopération policière et judiciaire, de l’asile et de l’immigration.
(2) Ce cadre comprend plusieurs éléments d’interopérabilité qui impliquent le traitement de grandes quantités de données à caractère personnel. Il importe que les personnes dont les données sont traitées au moyen de ces éléments puissent exercer effectivement leurs droits en tant que personnes concernées, comme l’exigent le règlement (UE) 2016/679 (3), la directive (UE) 2016/680 (4) et le règlement (UE) 2018/1725 (5) du Parlement européen et du Conseil.
(3) Pour faciliter l’exercice des droits d’accès aux données à caractère personnel, de rectification, d’effacement ou de limitation du traitement de telles données, le règlement (UE) 2019/818 crée un portail en ligne.
(4) Ce portail en ligne devrait permettre aux personnes dont les données sont traitées dans le détecteur d’identités multiples et qui ont été informées de la présence d’un lien rouge ou blanc d’obtenir les coordonnées de l’autorité compétente de l’État membre responsable de la vérification manuelle des différentes identités.
(5) Afin de faciliter la communication entre l’utilisateur du portail et l’autorité compétente de l’État membre responsable de la vérification manuelle des différentes identités, le portail en ligne devrait comporter un modèle de courriel disponible dans les langues fixées par le présent règlement. Il devrait également permettre de choisir la ou les langue(s) à utiliser pour la réponse.
(6) Afin de clarifier les responsabilités respectives concernant le portail en ligne, le présent règlement devrait préciser les responsabilités à cet égard de l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA), de la Commission et des États membres.
(7) En vue du bon fonctionnement en toute sécurité du portail en ligne, le présent règlement devrait établir des règles concernant la sécurité des informations qui figurent sur ledit portail. En outre, les accès au portail en ligne devraient être enregistrés afin d’éviter toute utilisation abusive.
(8) Étant donné que le règlement (UE) 2019/818 développe l’acquis de Schengen, le Danemark a notifié, conformément à l’article 4 du protocole n°22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, la transposition dudit règlement dans son droit national. Il est donc lié par le présent règlement.
(9) Le présent règlement constitue un développement des dispositions de l’acquis de Schengen auxquelles l’Irlande ne participe pas (6). L’Irlande ne participe donc pas à l’adoption du présent règlement et n’est pas liée par celui-ci, ni soumise à son application.
(10) En ce qui concerne l’Islande et la Norvège, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens de l’accord conclu par le Conseil de l’Union européenne, la République d’Islande et le Royaume de Norvège sur l’association de ces deux États à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (7), qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE du Conseil (8).
(11) En ce qui concerne la Suisse, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens de l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (9), qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE, lue en liaison avec l’article 3 de la décision 2008/146/CE du Conseil (10).
(12) En ce qui concerne le Liechtenstein, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens du protocole entre l’Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l’adhésion de la Principauté de Liechtenstein à l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (11), qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE, lue en liaison avec l’article 3 de la décision 2011/350/UE du Conseil (12).
(13) En ce qui concerne Chypre, la Bulgarie et la Roumanie, et la Croatie, le présent règlement constitue un acte fondé sur l’acquis de Schengen ou qui s’y rapporte, au sens, respectivement, de l’article 3, paragraphe 1, de l’acte d’adhésion de 2003, de l’article 4, paragraphe 1, de l’acte d’adhésion de 2005 et de l’article 4, paragraphe 1, de l’acte d’adhésion de 2011.
(14) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 31 mars 2021,
A ADOPTÉ LE PRÉSENT RÈGLEMENT :
Article premier
Domaine et accès
1. Le portail en ligne utilise le nom de domaine «.europa.eu» de l’Union européenne.
2. La description du portail en ligne est mise à disposition pour indexation par les principaux moteurs de recherche publics.
3. En plus des langues officielles des États membres, le portail en ligne est accessible au public au moins dans les langues suivantes: russe, arabe, japonais, chinois, albanais, bosnien, macédonien, hindi et turc.
4. Le portail en ligne contient les informations visées aux articles 47 et 48 du règlement (UE) 2019/818 et un outil de recherche permettant d’extraire les coordonnées de l’autorité compétente de l’État membre responsable de la création d’un lien rouge ou blanc à la suite de la vérification manuelle des différentes identités. Il peut également contenir d’autres informations nécessaires qui facilitent l’exercice des droits visés aux articles 47 et 48 du règlement (UE) 2019/818.
5. Le portail en ligne doit être conforme aux règles, lignes directrices et informations contenues dans le Guide web Europa de la Commission européenne, notamment aux lignes directrices relatives à l’accessibilité. 6. Le portail en ligne doit empêcher que les coordonnées des autorités soient mises à la disposition des moteurs de recherche et d’autres outils automatiques de collecte de coordonnées.
Article 2
Acteurs et responsabilités
1. L’eu-LISA développe le portail en ligne et en assure la gestion technique, ainsi que le mentionne l’article 49, paragraphe 5, du règlement (UE) 2019/818, y compris l’hébergement, le fonctionnement et la maintenance du portail.
2. La Commission fournit à l’eu-LISA le contenu du portail en ligne visé à l’article 1er, paragraphe 4, ainsi que toute correction ou mise à jour nécessaire.
3. Les États membres communiquent en temps utile à l’eu-LISA les coordonnées de toutes les autorités compétentes pour examiner toute demande visée aux articles 47 et 48 du règlement (UE) 2019/818 et pour y répondre, afin de permettre le chargement et la mise à jour réguliers du contenu du portail en ligne, prévus à l’article 49, paragraphe 4, dudit règlement.
4. Les États membres communiquent à l’eu-LISA un point de contact unique chargé des vérifications et de la maintenance.
5. L’eu-LISA vérifie les coordonnées fournies, en invitant tous les États membres à vérifier les informations disponibles, en vue d’intégrer les éventuels changements ou ajouts. La vérification est effectuée au moins une fois par an.
6. En ce qui concerne le traitement des données dans le portail en ligne, les autorités des États membres sont les responsables du traitement au sens de l’article 4, point 7), du règlement (UE) 2016/679 ou de l’article 3, point 8), de la directive (UE) 2016/680.
7. En ce qui concerne le traitement des données à caractère personnel dans le portail en ligne, l’eu-LISA est le soustraitant au sens de l’article 3, point 12), du règlement (UE) 2018/1725.
Article 3
Interface utilisateur
1. Le portail en ligne contient un outil de recherche permettant aux utilisateurs d’introduire la référence de l’autorité responsable de la vérification manuelle des différentes identités, mentionnée à l’article 34, point d), du règlement (UE) 2019/818, pour obtenir les coordonnées de cette autorité.
2. Après avoir vérifié que les données introduites sont valables et complètes, le portail en ligne extrait les coordonnées de l’autorité conformément à l’article 49, paragraphe 3, du règlement (UE) 2019/818.
3. Le portail en ligne permet à l’utilisateur de faire une demande d’informations à l’aide d’un modèle de courriel en ligne, afin de faciliter la communication avec l’autorité compétente de l’État membre responsable de la vérification manuelle des différentes identités. Ce modèle comporte un champ destiné au numéro d’identification unique visé à l’article 34, point c), du règlement (UE) 2019/818, afin de permettre à l’autorité d’extraire les informations sur le lien pertinentes et les fichiers correspondants.
4. Le modèle de courriel contient une demande type d’informations complémentaires, disponible dans les langues mentionnées à l’article 1er, paragraphe 3. Ce modèle figure en annexe. Il permet en outre de choisir la ou les langue(s) à utiliser pour la réponse, l’option devant comporter au moins deux langues sélectionnées par chaque État membre. L’utilisateur peut choisir la version linguistique du modèle de courriel.
5. Après la soumission en ligne du modèle de courriel complété, l’utilisateur reçoit par courriel un accusé de réception automatisé, contenant les coordonnées de l’autorité chargée de répondre à sa demande et permettant à la personne d’exercer les droits prévus à l’article 48, paragraphe 1, du règlement (UE) 2019/818.
Article 4
Gestion des contenus
1. Le portail en ligne établit une séparation entre, d’une part, les pages du site contenant des informations destinées au public et, d’autre part, l’outil de recherche et les pages du site permettant à l’utilisateur d’obtenir les coordonnées de l’autorité responsable de la vérification manuelle des différentes identités.
2. Pour permettre la gestion des contenus par l’eu-LISA, le portail en ligne comporte une interface d’administration qui est sécurisée. Tout accès à cette interface et toute modification apportée sont enregistrés conformément à l’article 7.
3. L’interface d’administration confère à l’eu-LISA le droit d’ajouter, de modifier ou de supprimer des contenus sur le portail en ligne. Cette interface ne saurait en aucun cas permettre à l’eu-LISA d’accéder aux données relatives aux ressortissants de pays tiers stockées dans les systèmes d’information de l’UE.
4. La solution de gestion des contenus comporte un système par étapes dans lequel toutes les modifications peuvent être préparées, visualisées et envoyées au système en ligne en vue de leur publication à un moment donné. Ce système comprend également des outils pour faciliter la gestion des contenus et prévisualiser le résultat des modifications.
Article 5
Sécurité
1. Le portail en ligne est conçu et mis en œuvre de manière à garantir la confidentialité, l’intégrité et la disponibilité des services, ainsi que la non-répudiation des opérations, en appliquant au moins les principes de sécurité des applications suivants :
a) défense en profondeur (mécanismes de sécurité à plusieurs niveaux);
b) modèle de sécurité positive (définit ce qui est autorisé et rejette tout le reste);
c) échouer en toute sécurité (traite les erreurs de manière sûre)
d) fonctionner avec le moins de privilèges
e) faire simple en matière de sécurité (éviter les architectures complexes lorsqu’une approche plus simple est plus rapide et facile à suivre);
f) détecter et prévenir les intrusions (enregistrer et gérer toutes les informations pertinentes en matière de sécurité) en réalisant des contrôles proactifs de la protection des informations du portail en ligne et des coordonnées des coordonnées des États membres contre les cyberattaques et les fuites d’information;
g) ne pas faire confiance aux infrastructures (l’application doit authentifier et autoriser toute action émanant d’autres systèmes d’information);
h) ne pas faire confiance aux services (ne faire confiance à aucun système externe);
i) configuration stricte des paramètres par défaut (les environnements «logiciels» et «systèmes d’exploitation» sont renforcés conformément aux meilleures pratiques et aux normes du secteur).
2. Le portail en ligne est conçu et mis en œuvre de manière à garantir la disponibilité et l’intégrité des registres.
3. Aux fins de la sécurité et de la protection des données, le portail en ligne comprend un avis informant les utilisateurs des règles régissant son utilisation et des conséquences de la fourniture d’informations inexactes. L’avis comprend un formulaire d’acceptation des règles régissant l’utilisation du portail en ligne, que l’utilisateur est tenu de soumettre avant d’être autorisé à utiliser ce portail.
La mise en œuvre technique et organisationnelle du portail en ligne respecte le plan de sécurité, le plan de continuité des activités et le plan de rétablissement après sinistre visés à l’article 42, paragraphe 3, du règlement (UE) 2019/818.
Article 6
Protection des données et droits de la personne concernée
1. Le portail en ligne respecte les règles en matière de protection des données énoncées dans le règlement (UE) 2016/679, le règlement (UE) 2018/1725 et la directive (UE) 2016/680.
2. Le portail en ligne contient une déclaration de confidentialité, qui est accessible via lien spécifique. Elle est également accessible à partir de toute autre page du portail en ligne. Elle est formulée d’une manière claire et complète.
Article 7
Registres
1. Sans préjudice des documents écrits visés à l’article 48, paragraphe 10, du règlement (UE) 2019/818, tout accès au portail en ligne est consigné dans un registre contenant les informations suivantes :
a) l’adresse IP du système utilisé par le demandeur;
b) la date et l’heure de la demande d’accès;
c) des informations techniques sur l’environnement utilisé pour la demande d’accès, telles que le type d’appareil, la version du système d’exploitation, le modèle et la version du navigateur.
2. Les informations enregistrées ne sont utilisées qu’à des fins statistiques ainsi que pour contrôler l’utilisation qui est faite du portail en ligne, afin de prévenir toute utilisation abusive.
3. En cas d’accès à l’interface d’administration du portail en ligne, outre les données énumérées au paragraphe 1, sont enregistrées les données suivantes :
a) l’identification de l’utilisateur accédant à l’interface d’administration;
b) les actions effectuées sur le portail en ligne (création, mise à jour ou suppression de contenus).
4. D’autres informations techniques anonymes peuvent être enregistrées pendant l’utilisation du portail en ligne afin d’en optimiser l’utilisation et les performances, à condition qu’elles ne contiennent pas de données à caractère personnel.
5. Les informations enregistrées conformément aux paragraphes 1 et 3 sont conservées pendant une durée maximale de deux ans.
6. L’eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le portail en ligne.
7. L’eu-LISA, les autorités des États membres et les agences de l’Union établissent chacune la liste du personnel dûment autorisé à accéder aux registres du portail en ligne consignant les opérations de traitement de données.
Article 8
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.
Fait à Bruxelles, le 19 août 2021.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 135 du 22.5.2019, p. 85.
(2) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
(5) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(6) Le présent règlement ne relève pas du champ d’application des mesures prévues par la décision 2002/192/CE du Conseil du 28 février 2002 relative à la demande de l’Irlande de participer à certaines dispositions de l’acquis de Schengen (JO L 64 du 7.3.2002, p. 20).
(7) JO L 176 du 10.7.1999, p. 36.
(8) Décision 1999/437/CE du Conseil du 17 mai 1999 relative à certaines modalités d’application de l’accord conclu par le Conseil de l’Union européenne et la République d’Islande et le Royaume de Norvège sur l’association de ces États à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (JO L 176 du 10.7.1999, p. 31).
(9) JO L 53 du 27.2.2008, p. 52.
(10) Décision 2008/146/CE du Conseil du 28 janvier 2008 relative à la conclusion, au nom de la Communauté européenne, de l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (JO L 53 du 27.2.2008, p. 1).
(11) JO L 160 du 18.6.2011, p. 21.
(12) Décision 2011/350/UE du Conseil du 7 mars 2011 relative à la conclusion, au nom de l’Union européenne, du protocole entre l’Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l’adhésion de la Principauté de Liechtenstein à l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen en ce qui concerne la suppression des contrôles aux frontières intérieures et la circulation des personnes (JO L 160 du 18.6.2011, p. 19). L
ANNEXE
Modèle de courriel pour demande d’informations
Le modèle pour le courriel est le suivant :
À: < autorité responsable de la vérification manuelle des différentes identités et extraite par le portail>
DE:
OBJET: Demande d’informations concernant le détecteur d’identités multiples [lien rouge/lien blanc]:
Texte: Madame, Monsieur,
J’ai été informé(e) par écrit, par un formulaire que j’ai reçu, de l’existence de divergences potentielles dans les informations personnelles me concernant.
Ces divergences potentielles dans les informations relatives à mon identité ont entraîné la création d’un dossier portant la référence < numéro d’identification unique >.
Je souhaiterais recevoir toute information complémentaire concernant ce dossier pour le < date à calculer par le portail> en < langue (1) >à l’adresse suivante adresse courriel.
(1) Menu déroulant avec options linguistiques à décider par chaque État membre.