4. Risques de malveillance 4.1. Généralités 4.1.3. Informatique et libertés

Règlement d'exécution (UE) 2025/2243 de la Commission du 6 novembre 2025 établissant des spécifications détaillées en ce qui concerne les exigences fonctionnelles applicables aux plateformes eFTI conformément au règlement (UE) 2020/1056 du Parlement européen et du Conseil 

(Texte présentant de l’intérêt pour l’EEE)

LA COMMISSION EUROPÉENNE,

• vu le traité sur le fonctionnement de l’Union européenne,
• vu le règlement (UE) 2020/1056 du Parlement européen et du Conseil du 15 juillet 2020 concernant les informations électroniques relatives au transport de marchandises (1), et notamment son article 9, paragraphe 2,

considérant ce qui suit:

(1) Le règlement (UE) 2020/1056 impose aux autorités compétentes des États membres d’accepter les informations réglementaires lorsque celles-ci sont mises à disposition par voie électronique par les opérateurs économiques concernés conformément aux exigences énoncées dans ledit règlement et, plus particulièrement, au moyen de plateformes d’informations électroniques relatives au transport de marchandises (eFTI) qui sont certifiées conformes aux exigences énoncées dans ledit règlement.

(2) Les opérateurs économiques concernés, ainsi que les fournisseurs de solutions dans le domaine des technologies de l’information et de la communication (TIC), devraient être en mesure de réutiliser avec souplesse les solutions TIC actuellement utilisées dans le secteur des transports et de la logistique, par exemple pour gérer les flux de processus opérationnels internes et les communications avec les partenaires commerciaux de la chaîne d’approvisionnement, afin de développer des plateformes eFTI. La possibilité de s’appuyer sur les solutions existantes permettrait un développement plus rapide et rentable des plateformes eFTI et faciliterait une adoption plus rapide et plus large des eFTI par les opérateurs économiques concernés sans investissements technologiques importants ni charges liés aux processus opérationnels.

(3) Conformément à l’article 12 du règlement (UE) 2020/1056, il convient de mettre en place un processus de certification des plateformes eFTI permettant d’évaluer le respect des exigences énoncées à l’article 9, paragraphe 1, dudit règlement. Une fois la certification délivrée par un organisme d’évaluation de la conformité accrédité dans l’un des États membres conformément au règlement (CE) n°765/2008 du Parlement européen et du Conseil (2), elle sera valable dans tous les États membres. Les spécifications fonctionnelles et techniques communes détaillées pour le fonctionnement des plateformes eFTI établies dans le présent règlement devraient donc permettre à la Commission de définir ultérieurement, conformément à l’article 12 du règlement (UE) 2020/1056, les règles détaillées nécessaires pour garantir une évaluation uniforme de la conformité des plateformes eFTI en vue de leur certification.

(4) La sensibilité des données commerciales reste un facteur important qui influe sur la volonté des opérateurs économiques de partager des données par voie électronique. Afin de renforcer la confiance des opérateurs économiques concernés, les exigences applicables aux plateformes eFTI devraient garantir que les données stockées par les opérateurs économiques sur les plateformes eFTI ne sont mises à la disposition des autorités compétentes que sur la base de connexions sécurisées et authentifiées avec les systèmes utilisés par les autorités compétentes. En outre, les données mises à la disposition des autorités compétentes devraient se limiter aux exigences en matière d’information spécifiées dans les demandes d’accès aux données eFTI, et uniquement lorsque ces demandes sont transmises par les autorités compétentes conformément aux spécifications fonctionnelles et techniques énoncées dans le règlement d’exécution (UE) 2024/1942 de la Commission (3). Pour la même raison, les opérateurs économiques concernés devraient recevoir des informations, y compris au moyen de notifications en temps réel, sur toutes les demandes d’accès des autorités compétentes aux données qu’ils ont mises à disposition sur la plateforme eFTI, y compris sur les communications de suivi correspondantes lorsqu’elles ont été saisies.

(5) Le règlement d’exécution (UE) 2024/1942 établit des procédures communes et des règles détaillées pour l’accès aux informations mises à disposition par les opérateurs économiques concernés sur les plateformes eFTI et leur traitement par les autorités compétentes. Il s’agit notamment d’exigences fonctionnelles et techniques spécifiques pour la communication entre les systèmes TIC utilisés par les autorités compétentes et les plateformes eFTI. Afin d’assurer l’interopérabilité et une communication sans failles entre les systèmes utilisés par les autorités compétentes et les plateformes eFTI, les exigences fonctionnelles et techniques communes applicables aux plateformes eFTI devraient être compatibles avec celles établies pour les systèmes utilisés par les autorités compétentes.

(6) L’accès des opérateurs économiques aux plateformes eFTI devrait également être garanti au moyen de mécanismes de gestion des accès sûrs et transparents. Seuls les utilisateurs autorisés devraient pouvoir accéder aux données eFTI et les traiter au nom des opérateurs économiques. Les autorisations devraient être fondées sur des droits de traitement clairement identifiés et accordés sous le contrôle des opérateurs économiques qui détiennent des droits ou des obligations en ce qui concerne ces données, conformément au droit de l’UE ou au droit national applicable ou à des accords commerciaux spécifiques. Dans le même temps, les autorisations ne devraient être accordées qu’aux utilisateurs qui ont été identifiés et authentifiés de manière fiable à l’aide de moyens d’identification électronique conformes aux exigences énoncées dans le règlement (UE) n°910/2014 du Parlement européen et du Conseil (4). Ces mécanismes de gestion de l’accès devraient instaurer la confiance entre les opérateurs économiques pour partager leurs données eFTI à la source et, par conséquent, supprimer la nécessité de disposer de plusieurs points de stockage de données et réduire les coûts et les complexités associés à la gestion et à la synchronisation des données, entre autres.

(7) Les dispositions visées à l’article 2, paragraphe 1, du règlement (UE) 2020/1056 permettent aux opérateurs économiques concernés, dans la plupart des cas, de réutiliser les documents interentreprises afin de fournir les informations requises relatives au transport de marchandises. Les spécifications détaillées énoncées dans le présent règlement devraient suivre le même esprit, en mettant l’accent sur la manière dont les informations relatives au transport de marchandises devraient être partagées par voie électronique avec les autorités compétentes. Elles ne devraient pas fixer d’exigences relatives au format électronique et à l’utilisation des documents commerciaux, afin de ne pas avoir d’incidence sur les informations relatives au transport de marchandises au-delà du champ d’application du règlement (UE) 2020/1056 ou sur la flexibilité dont disposent les opérateurs économiques dans la préparation et l’échange d’informations dans des contextes interentreprises. Il convient donc que le présent règlement établisse des spécifications relatives à la composition de l’ensemble de données eFTI qui permettent aux opérateurs économiques concernés de prouver, en ne partageant les mêmes données qu’une seule fois, le respect des exigences applicables en matière d’informations réglementaires de l’Union et nationales visées à l’article 2, paragraphe 1, du règlement (UE) 2020/1056. L’ensemble de données eFTI devrait être composé conformément aux spécifications de l’ensemble de données communes eFTI et des sous-ensembles de données eFTI énoncées à l’annexe du règlement délégué (UE) 2024/2024 de la Commission (5). Lorsqu’ils fournissent les informations nécessaires à l’ensemble de données eFTI, les opérateurs économiques devraient être en mesure de réutiliser, dans toute la mesure du possible, les informations disponibles dans leurs systèmes internes de gestion électronique des données, tels que les systèmes de planification des ressources de l’entreprise ou de gestion des transports, qu’ils utilisent pour gérer des documents commerciaux de transport tels que les bulletins d’expédition ou les ordres de transport.

(8) Conformément à l’article 4 du règlement (UE) 2020/1056, les opérateurs économiques concernés ne sont pas tenus de mettre les données à la disposition des autorités compétentes par voie électronique, étant donné qu’ils conservent le droit de présenter les informations réglementaires sur le transport de marchandises sous la forme de documents papier. Les opérateurs d’une plateforme eFTI devraient donc veiller à ce que les opérateurs économiques concernés soient informés du fait qu’en traitant des données sur la plateforme eFTI, ils conviennent que les informations réglementaires sur le transport de marchandises enregistrées et autrement traitées en tant que données eFTI sur une plateforme eFTI sont mises à la disposition des autorités compétentes par cette plateforme, au nom de l’opérateur concerné, chaque fois que la plateforme reçoit des demandes d’accès aux données eFTI par les autorités compétentes transmises conformément aux exigences du règlement d’exécution (UE) 2024/1942. Les opérateurs d’une plateforme eFTI devraient également veiller à ce que les opérateurs soient informés du fait qu’en traitant des données sur la plateforme eFTI, ils conviennent que la plateforme eFTI met à disposition les registres de traitement des données correspondants à des fins d’audit conformément au droit de l’UE ou au droit national applicable.

(9) L’article 27, paragraphe 3, du règlement (UE) 2024/1157 du Parlement européen et du Conseil (6) prévoit l’interopérabilité avec l’environnement d’échange eFTI du système centralisé de présentation et d’échange par voie électronique d’informations et de documents relatifs aux transferts de déchets entre les opérateurs économiques concernés et les autorités compétentes, également appelé système numérique de transfert de déchets (DIWASS), établi conformément audit règlement. En outre, l’article 5, paragraphe 2, du règlement d’exécution (UE) 2025/1290 de la Commission (7) précise que les utilisateurs qui représentent des opérateurs économiques concernés agissant en tant que transporteurs pour le transfert de déchets peuvent se connecter à DIWASS au moyen d’une plateforme eFTI interconnectée avec ce système par une interface de programmation d’application. Afin de garantir l’interopérabilité entre les plateformes eFTI et DIWASS, il est nécessaire d’établir des spécifications pour l’échange d’informations en matière de déchets relevant du champ d’application du règlement (UE) 2020/1056, telles que visées à l’article 2, paragraphe 1, point a), iv), dudit règlement. Cette interopérabilité permettra aux transporteurs qui effectuent des opérations de transport de déchets de prouver plus facilement, par voie électronique, qu’ils respectent les exigences en matière de disponibilité des informations réglementaires pendant l’opération de transport, comme le prévoient les dispositions visées à l’article 2, paragraphe 1, du règlement (UE) 2020/1056, et les exigences en matière de communication d’informations sur les transferts de déchets énoncées dans le règlement (UE) 2024/1157.

(10) Les données que les opérateurs économiques enregistrent sur les plateformes eFTI auront une valeur commerciale substantielle, à la fois pour permettre aux opérateurs économiques concernés de prouver qu’ils respectent les exigences administratives et pour servir de base aux transactions commerciales, à la fourniture de services ainsi qu’au suivi et à la planification des activités. Il est donc essentiel que, outre des politiques rigoureuses de gestion des accès, les opérateurs de la plateforme eFTI mettent en place des mesures garantissant en permanence l’accessibilité, la préservation et la sécurité de ces données, qu’elles soient stockées sur des dispositifs de stockage physique sous le contrôle de l’opérateur de la plateforme eFTI ou dans des nuages de données achetés dans le cadre de services de stockage de données. À cette fin, et sans porter atteinte aux exigences nationales ou de l’UE applicables en matière de cybersécurité, les opérateurs de plateformes eFTI devraient respecter les bonnes pratiques et normes internationales les plus récentes en matière de confidentialité et de sécurité des données, telles que les normes ISO 27001, ISO 27017 et ISO 27701. Lorsque des données à caractère personnel sont traitées dans le cadre de l’application du présent règlement d’exécution, le règlement (UE) 2016/679 du Parlement européen et du Conseil(8)s’applique.

(11) Afin de permettre aux opérateurs de plateformes eFTI de tenir compte des développements technologiques et des normes en constante évolution, les spécifications détaillées énoncées dans le présent règlement ne devraient pas aller au-delà des exigences nécessaires pour garantir l’interopérabilité fonctionnelle et technique minimale avec d’autres composants dans l’environnement d’échange eFTI, comme le prévoit le règlement d’exécution (UE) 2024/1942. Dans le même temps, une pleine interopérabilité entre ces différents composants TIC ne peut être réalisée sans un ensemble de spécifications techniques communes et détaillées qui peuvent être facilement mises à jour et partagées entre toutes les parties prenantes. Il convient donc d’élaborer des documents d’orientation technique pour soutenir la mise en oeuvre du présent règlement, en associant les parties prenantes du secteur public et du secteur privé, et en particulier le groupe de travail d’experts désigné par les États membres pour agir en tant que réseau d’assistance opérationnelle conformément à l’article 13 du règlement d’exécution (UE) 2024/1942, et les groupes de travail ou sous-groupes pertinents du groupe d’experts intitulé «forum sur le numérique dans les transports et la logistique»(9).

(12) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (10) et a rendu un avis le 8 juillet 2025.

(13) Les mesures prévues par le présent règlement sont conformes à l’avis du comité institué par l’article 15, paragraphe 1, du règlement (UE) 2020/1056,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I
DISPOSITIONS GÉNÉRALES

Article premier
Définitions

Aux fins du présent règlement, on entend par:

1) «système TIC», un ensemble organisé de technologies de l’information et de la communication (TIC), y compris les matériels, logiciels et réseaux reliés et régulés par une interaction ou une interdépendance afin de remplir un ensemble de fonctions spécifiques;

2) «système TIC tributaire», un système TIC identifiable externe à une plateforme eFTI, comprenant une autre plateforme eFTI, au moyen duquel les entreprises utilisatrices se connectent à une plateforme eFTI pour accéder aux données eFTI et les traiter;

3) «données eFTI», les données correspondant aux informations réglementaires telles que définies à l’article 3, point 1), du règlement (UE) 2020/1056;

4) «opérateur de plateforme eFTI», une personne physique ou morale qui est réputée juridiquement responsable du bon fonctionnement d’une plateforme eFTI;

5) «portail eFTI» (eFTI Gate), un composant TIC ou un ensemble de composants TIC exécutant les fonctionnalités énoncées à l’article 6 du règlement d’exécution (UE) 2024/1942;

6) «entreprise utilisatrice», une personne physique ou morale qui constitue un opérateur économique concerné ou qui est autorisée à représenter celui-ci conformément au règlement (UE) 2020/1056, ou un autre opérateur économique qui constitue un détenteur de données conformément au point 23, et qui traite des données sur une plateforme eFTI au nom de cet opérateur économique concerné ou d’un autre détenteur de données;

7) «session de connexion», une durée limitée pendant laquelle une entreprise utilisatrice se voit accorder l’accès à une plateforme eFTI;

8) «mouvement d’envoi», le transport de marchandises au moyen d’un seul moyen de transport autopropulsé, avec ou sans équipement de transport tel qu’une remorque, une palette ou un conteneur, du même lieu de chargement ou de prise en charge au même lieu de déchargement ou de transfert, aux termes d’un contrat de transport unique;

9) «ensemble de données eFTI sur les mouvements d’envois» ou «eFTI CMDS», un ensemble unique de données eFTI composé des données eFTI qui, ensemble, constituent les informations réglementaires sur le transport de marchandises liées à un mouvement d’envoi spécifique;

10) «exigences applicables en matière d’informations réglementaires», les exigences en matière d’informations réglementaires visées à l’article 2, paragraphe 1, du règlement (UE) 2020/1056 qui s’appliquent à un mouvement d’envoi spécifique;

11) «identifiants des sous-ensembles de données eFTI», les identifiants au format «EUyy» ou «XXyy» des sous-ensembles de données eFTI établis aux sections 3 et 4 de l’annexe du règlement délégué (UE) 2024/2024;

12) «UUID de l’eFTI CMDS», le numéro unique, tel que visé à l’article 11, paragraphe 2, point c), du règlement d’exécution (UE) 2024/1942, qui est attribué automatiquement par une plateforme eFTI à l’ensemble de données eFTI constituant un eFTI CMDS;

13) «numéro d’identification unique de la demande», le numéro unique d’une demande d’accès aux données eFTI introduite par un agent de l’autorité compétente, délivré et attribué à la demande conformément à l’article 3, paragraphe 2, point c), du règlement d’exécution (UE) 2024/1942;

14) «communication de suivi», la communication entre les autorités compétentes et les opérateurs économiques concernés au sens de l’article 1er, point 6), du règlement d’exécution (UE) 2024/1942;

15) «interface utilisateur homme-machine», une interface utilisateur graphique fondée sur le web ou une application qui permet aux personnes physiques d’effectuer des opérations de traitement de données sur une plateforme eFTI;

16) «moyen d’identification électronique», un élément matériel ou immatériel qui contient des données d’identification personnelle et est utilisé à des fins d’authentification pour accéder à un service en ligne ou, le cas échéant, à un service hors ligne;

17) «schéma d’identification électronique», un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales ou à des personnes physiques représentant d’autres personnes physiques ou des personnes morales;

18) «authentification», un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou de confirmer l’origine et l’intégrité de données sous forme électronique;

19) «signature électronique avancée», une signature électronique qui satisfait aux exigences énoncées à l’article 26 du règlement (UE) n°910/2014;

20) «cachet électronique avancé», un cachet électronique qui satisfait aux exigences énoncées à l’article 36 du règlement (UE) n°910/2014;

21) «utilisateur enrôlé», une entreprise utilisatrice pour laquelle l’identification, l’authentification et l’autorisation ont été effectuées conformément aux exigences prévues à l’article 4, paragraphe 2, point a);

22) «utilisateur non enrôlé», une entreprise utilisatrice qui est autorisée à accéder à une plateforme eFTI uniquement sur la base de droits d’accès et de traitement temporaires, délivrés conformément aux exigences prévues à l’article 5, paragraphe 1, point b);

23) «détenteur de données», une personne physique ou morale qui, conformément au droit de l’Union ou à la législation nationale applicable ou à des accords contractuels privés, a le droit ou l’obligation d’utiliser et de mettre à disposition des données qui constituent également des informations réglementaires conformément aux exigences visées à l’article 2, paragraphe 1, du règlement (UE) 2020/1056;

24) «autorisateur principal», une entreprise utilisatrice enrôlée qui est autorisée à modifier les informations enregistrées dans un profil d’utilisateur enrôlé, y compris la mise en place ou la suppression d’un profil d’utilisateur;

25) «autorisateur temporaire», une entreprise utilisatrice enrôlée qui est autorisée à délivrer des droits de traitement temporaires de données aux utilisateurs non enrôlés;

26) «authentification à deux facteurs», une méthode de sécurité relative à la gestion de l’identité et des accès qui nécessite deux formes d’identification pour accéder à une plateforme eFTI;

27) «marque de certification», une référence codée à la plateforme eFTI attestant la validité de son statut de certification, qui devrait accompagner toutes les informations mises à la disposition des autorités compétentes au moyen d’une plateforme eFTI certifiée, conformément à l’article 12, paragraphe 3, du règlement (UE) 2020/1056;

28) «système numérique de transfert de déchets» (DIWASS), le système centralisé visé à l’article 27, paragraphe 3, du règlement (UE) 2024/1157;

29) «opérateur de transfert de déchets», un opérateur tel que défini à l’article 2, paragraphe 2, point 13), du règlement d’exécution (UE) 2025/1290;

30) «documents de transferts de déchets», les documents visés à l’article 9, paragraphe 2, à l’article 16, paragraphe 1, et à l’article 18, paragraphe 4, du règlement (UE) 2024/1157;

31) «informations relatives au transport combiné», les informations réglementaires visées à l’article 3 de la directive 92/106/CEE du Conseil (11);

32) «horodatage électronique qualifié», un horodatage électronique qui satisfait aux exigences fixées à l’article 42 du règlement (UE) n°910/2014.

Article 2
Architecture du système des plateformes eFTI

L’architecture du système des plateformes eFTI consiste en toute combinaison de composants ou de systèmes TIC conformes aux exigences énoncées dans le présent règlement.

CHAPITRE II
ACCÈS AUX PLATEFORMES eFTI

Article 3
Accès des autorités compétentes aux plateformes eFTI

1. Les plateformes eFTI permettent aux autorités compétentes d’accéder aux données eFTI uniquement au moyen d’une communication de machine à machine, par une connexion sécurisée entre la plateforme eFTI et un portail eFTI. Une plateforme eFTI établit une telle connexion avec au minimum un portail eFTI.

2. Pour permettre la communication visée au paragraphe 1, une plateforme eFTI assure les fonctionnalités suivantes:

• a) elle valide la demande d’accès aux données eFTI ou à la communication de suivi reçue du portail eFTI, en vérifiant la clé de sécurité du portail eFTI;
• b) elle traite la demande d’accès aux données eFTI en identifiant:
  • i) l’UUID de l’eFTI CMDS;
  • ii) les références aux droits d’accès de l’agent de l’autorité compétente chargé de saisir la demande, telles qu’elles sont consignées dans la liste des identifiants des sous-ensembles de données eFTI;
• c) elle conserve les traces de la demande d’accès aux données eFTI, en enregistrant au minimum les informations suivantes:
  • i) le numéro d’identification unique de la demande d’accès aux données eFTI, tel qu’il figure dans la demande transmise par le portail eFTI;
  • ii) l’UUID de l’eFTI CMDS auquel l’accès a été demandé;
  • iii) les date et heure de la demande;
• d) elle prépare et transmet au portail eFTI la réponse à la demande d’accès aux données eFTI, le cas échéant:
  • i) les données eFTI demandées, en tant que sous-ensemble de l’eFTI CMDS, comprenant tous les éléments de données qui correspondent aux exigences applicables en matière d’informations réglementaires et qui sont identifiées par la plateforme eFTI sur la base des références aux droits d’accès de l’agent de l’autorité compétente figurant dans la demande;
  • ii) un message d’erreur contenant une description, codée ou brièvement exposée de façon textuelle, du type d’erreur lorsque la plateforme ne peut pas fournir les données eFTI demandées pour des raisons techniques ou des motifs liés aux processus métiers;
• e) elle conserve les traces de la réponse, qui permettent au minimum de récupérer les informations suivantes:
  • i) le numéro d’identification unique de la réponse et le numéro d’identification unique de la demande à laquelle se rapporte la réponse;
  • ii) le type de réponse fournie, qu’il s’agisse d’un eFTI CMDS ou d’un message d’erreur;
  • iii) les date et heure de la réponse;
  • iv) lorsque la réponse contient l’eFTI CMDS, les éléments de données et leurs valeurs respectives telles qu’ils figurent dans la réponse;
• f) elle traite la communication de suivi:
  • i) en récupérant l’UUID de l’eFTI CMDS et le numéro d’identification unique de la demande d’accès aux données eFTI pour lesquelles la communication de suivi a été saisie;
  • ii) en enregistrant les informations contenues dans la communication de suivi, telles que transmises par l’autorité compétente conformément aux spécifications énoncées à l’article 3, paragraphe 5, point a), du règlement d’exécution (UE) 2024/1942;
  • iii) en notifiant les entreprises utilisatrices concernées, lorsque leur autorisation comprend les droits de traitement correspondants appropriés, et en transmettant au portail eFTI un message de confirmation de réception de la communication de suivi;
• g) elle conserve les traces de la communication de suivi, qui permet au minimum de récupérer les informations suivantes:
  • i) le numéro d’identification unique de la demande d’accès aux données eFTI pour lesquelles la communication de suivi a été saisie;
  • ii) les date et heure de réception de la communication de suivi.

Article 4
Accès des entreprises utilisatrices aux plateformes eFTI

1. Les plateformes eFTI permettent aux entreprises utilisatrices d’accéder aux données eFTI et de les traiter au moyen de l’une ou des deux modalités suivantes:

• a) interfaces utilisateur homme-machine;
• b) communication de machine à machine au moyen de connexions sécurisées à d’autres systèmes TIC qui servent de systèmes TIC tributaires.

2. Pour l’accès aux données eFTI et leur traitement au moyen d’interfaces homme-machine, les plateformes eFTI assurent des fonctionnalités garantissant:

• a) pour chaque utilisateur enrôlé:
  • i) l’identification et l’authentification de l’utilisateur par des moyens d’identification électronique délivrés dans le cadre d’un schéma d’identification électronique conforme aux exigences énoncées au paragraphe 3;
  • ii) l’autorisation d’utilisateur, au moyen d’un registre des autorisations visé à l’article 5, paragraphe 1, point a);
• b) pour les utilisateurs non enrôlés, l’identification, l’authentification et l’autorisation des utilisateurs au moyen du mécanisme d’autorisation visé à l’article 5, paragraphe 1, point b).

3. Le schéma d’identification électronique visé au paragraphe 2, point a), i), est conforme, au minimum, aux exigences énoncées à l’article 8, paragraphe 2, point b), du règlement (UE) n°910/2014.

Pour les utilisateurs qui accèdent aux données eFTI et traitent ces données, qui correspondent aux exigences en matière d’informations visées à l’article 2, paragraphe 1, point a), iv), du règlement (UE) 2020/1056, les moyens d’identification électronique visés au paragraphe 2, point a), i), du présent article comprennent une référence au numéro d’identification de l’opérateur de transferts de déchets visé à l’article 9 du règlement d’exécution (UE) 2025/1290.

4. Pour l’accès aux données eFTI et leur traitement au moyen d’une communication de machine à machine, les plateformes eFTI assurent des fonctionnalités garantissant, pour chaque système TIC tributaire:

• a) l’identification et l’authentification de l’entreprise utilisatrice sous la responsabilité juridique de laquelle le système TIC tributaire fonctionne, au moyen d’un registre dans lequel au minimum les informations suivantes sont enregistrées et mises à jour:
  • i) la référence d’identification de l’entreprise utilisatrice;
  • ii) les détails de la clé de sécurité du système TIC tributaire;
• b) l’autorisation de l’entreprise utilisatrice sous la responsabilité juridique de laquelle le système TIC tributaire fonctionne, au moyen du registre des autorisations visé à l’article 5, paragraphe 1, point a).

5. Les opérateurs de plateformes eFTI établissent et mettent en oeuvre des mesures pour l’enrôlement approprié des systèmes TIC tributaires qui comprennent, au minimum:

• a) la vérification que le système TIC tributaire identifie et authentifie les utilisateurs autorisés à agir en tant qu’entreprises utilisatrices de la plateforme eFTI, par un moyen d’identification électronique délivré dans le cadre d’un schéma d’identification électronique conforme aux exigences énoncées au paragraphe 3;
• b) la vérification que le système TIC tributaire contrôle l’accès des utilisateurs autorisés à agir en tant qu’entreprises utilisatrices de la plateforme eFTI, au moyen d’un registre d’autorisation visé à l’article 5, paragraphe 1, point a).

6. Pour chaque session de connexion, la plateforme eFTI assure l’identification, l’authentification et l’autorisation de l’entreprise utilisatrice, avant de lui permettre de traiter les données eFTI.

Article 5
Mécanisme d’autorisation

1. Les plateformes eFTI utilisent l’un ou les deux types de mécanismes d’autorisation suivants:

• a) la vérification des droits de l’utilisateur en matière de traitement, au moyen de registres d’autorisation où les droits de traitement des utilisateurs enrôlés sont enregistrés, tenus à jour et restent disponibles à des fins d’audit, et qui constituent le principal mécanisme d’autorisation;
• b) la délivrance et la vérification des droits de traitement temporaire, au moyen de registres d’autorisation où sont enregistrés les identifiants d’accès temporaire d’utilisateurs occasionnels non enrôlés.

2. Les registres des autorisations visés au paragraphe 1 sont mis en place et tenus à jour en tant que composant TIC distinct. Ce composant TIC distinct est interne à la plateforme eFTI ou fait partie d’un système TIC externe à la plateforme eFTI avec lequel la plateforme eFTI établit des communications sécurisées, conformément à l’article 12, paragraphe 4.

3. Les registres des autorisations visés au paragraphe 1, point a), tiennent à jour un «profil d’utilisateur» identifié de manière unique pour chaque entreprise utilisatrice enrôlée, en enregistrant au minimum les informations suivantes:

• a) l’identification unique de l’entreprise utilisatrice, exprimée sous la forme d’une référence codée;
• b) les droits de traitement, exprimés en tant que références, et ces références comprennent:
  • i) des références aux opérations de traitement visées à l’article 8;
  • ii) la période pendant laquelle chacun des droits de traitement visés au point b) est accordé;
  • iii) les références codées des éléments de données eFTI ou des groupes d’éléments de données eFTI, visés à la section 2 de l’annexe du règlement délégué (UE) 2024/2024, sur lesquels chacune des opérations de traitement visées à l’article 8 peut être effectuée;
• c) une mention précisant si l’entreprise utilisatrice peut agir en tant qu’autorisateur principal ou temporaire;
• d) pour les entreprises utilisatrices désignées comme autorisateurs principaux, les numéros d’identification uniques des profils d’utilisateurs enrôlés existants qu’elles sont autorisées à modifier;
• e) pour les entreprises utilisatrices désignées comme autorisateurs temporaires, les droits de traitement temporaires qu’elles sont autorisées à délivrer aux utilisateurs non enrôlés, exprimés en tant que référence aux opérations de traitement visées à l’article 8;
• f) une mention précisant si l’entreprise utilisatrice peut demander des notifications relatives aux demandes d’accès aux données eFTI présentées par les autorités compétentes et aux communications de suivi y afférentes, lorsqu’elles concernent l’eFTI CMDS pour lequel l’entreprise utilisatrice dispose de droits de traitement.

4. L’opérateur de la plateforme eFTI ou, lorsque le registre d’autorisation est établi en tant que composant d’un système TIC externe à la plateforme eFTI, l’opérateur du système TIC externe, prend des mesures pour assurer l’enrôlement approprié des entreprises utilisatrices qui peuvent agir en tant qu’«autorisateurs principaux». Ces mesures consistent, au minimum:

• a) en l’identification et l’authentification, conformément aux exigences énoncées à l’article 4, paragraphe 2, point a);
• b) en la vérification des identifiants indiquant que l’entreprise utilisatrice est un détenteur de données ou constitue le représentant légal d’un détenteur de données, ou que l’entreprise utilisatrice est habilitée à autoriser, au nom d’un détenteur de données, le traitement de données pour lesquelles ce détenteur de données détient des droits ou des obligations, conformément à l’article 1er, point 23);
• c) en la tenue d’un registre de ces identifiants à des fins d’audit.

5. Le mécanisme d’autorisation visé au paragraphe 1, point b), comprend des fonctionnalités conformes, au minimum, aux spécifications suivantes:

• a) il permet aux utilisateurs enrôlés désignés comme autorisateurs temporaires de délivrer des droits de traitement temporaires aux utilisateurs non enrôlés, en enregistrant dans un registre spécial les identifiants d’accès temporaire des utilisateurs non enrôlés, contenant au minimum:
  • i) les coordonnées permettant d’identifier l’utilisateur non enrôlé et l’endroit où les messages électroniques peuvent être envoyés;
  • ii) l’UUID de l’eFTI CMDS pour lequel l’utilisateur non enrôlé bénéficie de droits de traitement temporaires;
  • iii) les droits de traitement accordés à l’utilisateur non enrôlé, exprimés en tant que référence aux opérations de traitement visées à l’article 8;
  • iv) le délai précis pendant lequel ces droits de traitement sont valables;
• b) il permet aux utilisateurs enrôlés désignés comme autorisateurs temporaires d’accorder un accès temporaire aux données eFTI aux utilisateurs non enrôlés pour lesquels ils ont enregistré des identifiants d’accès temporaire, en envoyant, aux coordonnées enregistrées de l’utilisateur non enrôlé, un message contenant:
  • i) un lien d’accès à la plateforme eFTI;
  • ii) l’UUID de chaque eFTI CMDS pour lequel l’utilisateur non enrôlé bénéficie de droits de traitement temporaires;
• c) lorsque l’accès à la plateforme eFTI est demandé par un utilisateur non enrôlé, il donne à l’utilisateur non enrôlé un accès à la plateforme eFTI fondé sur une authentification à deux facteurs et lui permet d’effectuer des opérations de traitement sur la base de ses droits de traitement enregistrés conformément au point a);
• d) il met fin à la session de connexion d’un utilisateur non enrôlé dès que l’un des événements suivants se produit:
  • i) l’utilisateur confirme avoir terminé la session de traitement des données;
  • ii) la période de temps visée au point a), iv) prend fin.

6. Les informations enregistrées dans les registres des autorisations conformément aux paragraphes 1 à 5 sont conservées à des fins d’audit, au minimum, pendant la même période de temps que celle pendant laquelle l’eFTI CMDS, sur lequel les utilisateurs respectifs ont effectué des opérations de traitement, doit être tenu à disposition, conformément au droit national ou au droit de l’Union applicable, en vertu de l’article 9, paragraphe 1, point i), du règlement (UE) 2020/1056.

7. Les plateformes eFTI suppriment toutes les informations qui constituent des données à caractère personnel conformément au règlement (UE) 2016/679 dans un délai raisonnable après l’expiration du délai visé au paragraphe 6.

Article 6
Communication avec DIWASS

1. Afin de permettre aux opérateurs économiques concernés de mettre à la disposition des autorités compétentes les informations réglementaires visées à l’article 2, paragraphe 1, point a), iv), du règlement (UE) 2020/1056, les plateformes eFTI établissent des connexions sécurisées avec le système centralisé visé à l’article 27, paragraphe 3, du règlement (UE) 2024/1157, au moyen d’une interface de programmation d’application visée à l’article 5, paragraphe 2, du règlement d’exécution (UE) 2025/1290, ou, lorsqu’elles sont mises à disposition par un État membre, au moyen d’une connexion au système local exploité par une autorité compétente de cet État membre conformément à l’article 27, paragraphe 4, du règlement (UE) 2024/1157 et relié à ce système centralisé conformément aux exigences du règlement d’exécution (UE) 2025/1290.

2. Lorsque les plateformes eFTI établissent l’une des connexions visées au paragraphe 1, elles assurent également des fonctionnalités supplémentaires correspondantes conformément à l’article 9, paragraphe 2, du présent règlement.

Article 7
Transparence

1. Les plateformes eFTI assurent des fonctionnalités qui permettent aux entreprises utilisatrices de demander et de recevoir des notifications, y compris sous la forme de rapports périodiques, sur la base d’autorisations appropriées. Ces notifications et rapports couvrent les demandes d’accès aux données eFTI présentées par les autorités compétentes et les communications de suivi y afférentes. Ils couvrent également les opérations de traitement effectuées par les entreprises utilisatrices lorsque l’entreprise utilisatrice qui demande ces notifications ou rapports constitue un détenteur de données ou dispose de droits de traitement pour ces données attribués dans le registre des autorisations visé à l’article 5, paragraphe 1, point a), en ce qui concerne ces données.

2. Lorsque les notifications ou rapports visés au paragraphe 1 concernent des demandes d’accès aux données eFTI présentées par les autorités compétentes et les communications de suivi y afférentes, ces notifications contiennent au minimum les informations suivantes:

• a) les date et heure de réception de la demande d’accès aux données eFTI et, le cas échéant, de la communication de suivi;
• b) l’État membre de l’autorité compétente qui a introduit la demande d’accès aux données eFTI;
• c) l’UUID de l’eFTI CMDS pour lequel la demande d’accès aux données eFTI a été présentée;
• d) le cas échéant, les informations contenues dans la communication de suivi.

CHAPITRE III
TRAITEMENT DES DONNÉES SUR LES PLATFORMES eFTI

Article 8
L’ensemble de données eFTI sur les mouvements d’envois ou eFTI CMDS

1. Les plateformes eFTI gèrent le traitement des données eFTI sur la base d’ensembles de données identifiés de manière unique, constituant chacun un eFTI CMDS.

2. Un eFTI CMDS est généré en sélectionnant tous les éléments de données qui constituent les sous-ensembles de données eFTI correspondant aux exigences en matière d’informations réglementaires applicables à un mouvement d’envoi spécifique, tous les éléments de données communs à deux sous-ensembles de données eFTI ou plus ne devant être inclus qu’une seule fois.

3. Toutes les données eFTI traitées sur une plateforme eFTI sont conformes aux définitions et aux caractéristiques techniques, y compris la structure, les listes de codes et les règles commerciales, établies par le règlement délégué (UE) 2024/2024.

Article 9
Opérations de transformation

1. Les plateformes eFTI assurent des fonctionnalités qui permettent aux entreprises utilisatrices, après validation de leurs droits de traitement au moyen d’un mécanisme d’autorisation visé à l’article 5, d’effectuer les opérations de traitement suivantes sur les données eFTI:

• a) créer un eFTI CMDS;
• b) modifier un eFTI CMDS;
• c) lire les données d’eFTI CMDS;
• d) télécharger une copie des données d’eFTI CMDS;
• e) signature de l’expéditeur;
• f) signature du transporteur;
• g) signature du destinataire;
• h) «cachet» de transport combiné par l’autorité compétente dans un port maritime, un port de navigation intérieure ou une gare ferroviaire;
• i) archiver un eFTI CMDS.

2. Les fonctionnalités de la plateforme eFTI visées à l’article 6 permettent aux entreprises utilisatrices, après validation de leurs droits de traitement au moyen d’un mécanisme d’autorisation visé à l’article 5, d’effectuer les opérations de traitement suivantes sur les données eFTI:

• a) télécharger une copie des documents relatifs aux transferts de déchets;
• b) soumettre des confirmations de transferts de déchets par le transporteur, conformément à l’annexe II, partie B, point 3, et partie C, point 3, du règlement d’exécution (UE) 2025/1290;
• c) modifier des confirmations de transferts de déchets soumises par le transporteur, conformément à l’annexe II, partie B, point 4, et partie C, point 4, du règlement d’exécution (UE) 2025/1290.

3. Les opérations de traitement visées aux paragraphes 1 et 2 sont celles spécifiées dans l’annexe, ajoutant à cela les actions à effectuer par les plateformes eFTI pour permettre aux entreprises utilisatrices d’effectuer ces opérations.

4. Avant de permettre à une entreprise utilisatrice d’effectuer des opérations de traitement sur des données eFTI, la plateforme informe l’utilisateur au moyen de messages clairement libellés que, en traitant les données sur la plateforme eFTI, l’utilisateur consent à ce que:

• a) les données traitées par l’entreprise utilisatrice peuvent être mises automatiquement à la disposition des autorités compétentes, en particulier chaque fois que la plateforme eFTI reçoit, de la part d’une autorité compétente, une demande d’accès aux données eFTI pour l’eFTI CMDS spécifique dont ces données font partie;
• b) les traces des opérations de traitement des données effectuées par l’entreprise utilisatrice sont enregistrées, conformément aux dispositions du paragraphe 6, et peuvent être mises à la disposition des autorités compétentes pour consultation conformément au droit de l’Union ou au droit national applicable.

5. Les plateformes eFTI consignent chaque opération de traitement effectuée par une entreprise utilisatrice sur un eFTI CMDS, en enregistrant, pour chaque élément de données traité, les informations suivantes:

• a) l’UUID de l’eFTI CMDS;
• b) pour les utilisateurs enrôlés, une identification codée liée à leur compte utilisateur;
• c) pour les utilisateurs non enrôlés, les informations d’identification fournies par l’utilisateur dans le cadre de l’authentification à deux facteurs visée à l’article 5, paragraphe 5, point c);
• d) les date et heure;
• e) le type d’opération effectué, identifié conformément aux paragraphes 1 et 2; lorsque l’opération de traitement donne lieu à la modification ou à la suppression de la valeur d’un élément de données, la valeur initiale de l’élément de données est également maintenue.

6. Les plateformes eFTI enregistrent et maintiennent les données de l’eFTI CMDS facilement accessibles aux entreprises utilisatrices et aux autorités compétentes sur un système de stockage de données en ligne, au minimum pendant la période durant laquelle l’eFTI CMDS a le statut «actif» et, le cas échéant, «inactif», tel qu’attribué par la plateforme eFTI conformément aux spécifications énoncées à l’annexe du présent règlement.

7. Les plateformes eFTI tiennent à jour l’eFTI CMDS qui a le statut «prêt à être archivé» ou «archivé» et les journaux des opérations de traitement correspondants accessibles aux autorités compétentes pour les périodes de temps visées à l’article 9, paragraphe 1, point i), du règlement (UE) 2020/1056.

8. Les plateformes eFTI suppriment toutes les informations qui constituent des données à caractère personnel conformément au règlement (UE) 2016/679 dans un délai raisonnable après l’expiration des périodes visées au paragraphe 8.

Article 10
Interfaces utilisateur homme-machine

1. Les interfaces homme-machine visées à l’article 4, paragraphe 1, point a), assurent les fonctionnalités fondées sur le web ou une application suivantes:

• a) permettre aux entreprises utilisatrices d’interagir avec la plateforme eFTI à des fins d’identification, d’authentification et d’autorisation par la plateforme eFTI conformément aux articles 4 et 5, et, respectivement, pour le traitement des données eFTI sur la plateforme eFTI conformément aux articles 5 et 9;
• b) permettre aux utilisateurs autorisés de télécharger le lien d’identification électronique unique («UIL») de l’eFTI CMDS et de le communiquer aux autorités compétentes dans un format lisible par machine;
• c) permettre aux utilisateurs autorisés de télécharger une copie lisible par l’homme de l’eFTICMDS et, le cas échéant, des documents relatifs aux transferts de déchets, et d’afficher ces copies à des fins d’inspection par les agents des autorités compétentes, lorsque ces agents le demandent conformément à l’article 4, paragraphe 2, du règlement (UE) 2020/1056;

2. Les copies lisibles par l’homme visées au paragraphe 1, point d), comprennent une référence codée lisible par machine de la marque de certification de la plateforme eFTI et une indication de la date et de l’heure du téléchargement sous la forme d’un horodatage.

3. Les interfaces homme-machine des plateformes eFTI comprennent des fonctionnalités de protection de l’accès visant à empêcher tout accès non autorisé aux données eFTI et aux fonctionnalités de la plateforme eFTI lorsque l’appareil par l’intermédiaire duquel l’entreprise utilisatrice accède à la plateforme eFTI n’est pas sous le contrôle de l’utilisateur.

CHAPITRE IV
MESURES DE DISPONIBILITÉ, DE SÉCURITÉ ET DE RÉSILIENCE

Article 11
Disponibilité

Une plateforme eFTI reste à la disposition des autorités compétentes, conformément à l’article 3, pendant au minimum la période durant laquelle les eFTI CMDS enregistrés sur cette plateforme ont le statut «actif» et, le cas échéant, «inactif», tel qu’attribué par la plateforme eFTI conformément aux spécifications énoncées à l’annexe du présent règlement.

Article 12
Sécurité des échanges de données

1. Pour la communication avec un portail eFTI, les plateformes eFTI:

• a) maintiennent un point d’accès eDelivery, conformément aux spécifications eDelivery en matière d’échange de messages, ou un point d’accès conforme aux spécifications équivalentes en matière d’échange de messages pris en charge par le portail eFTI, lorsque ces spécifications en matière d’échange de messages sont établies par un État membre conformément à l’article 9, paragraphe 4, du règlement d’exécution (UE) 2024/1942;
• b) utilisent des procédures et des protocoles sécurisés de réception, d’enregistrement, de récupération et de validation des clés de sécurité ou des certificats de sécurité du portail eFTI.

2. Les points d’accès visés au paragraphe 1, point a), utilisent les certificats de sécurité délivrés, par l’intermédiaire d’une autorité de certification, par l’État membre dans lequel la plateforme eFTI a reçu le certificat de conformité visé à l’article 12, paragraphe 1, du règlement (UE) 2020/1056.

3. Toutes les communications entre la plateforme eFTI et le portail eFTI ont lieu au moyen d’échanges de messages conformes aux spécifications énoncées à l’article 9, paragraphes 3 et 4, du règlement d’exécution (UE) 2024/1942.

4. Pour la communication avec des systèmes TIC tributaires ou d’autres systèmes TIC externes hébergeant des composants qui exécutent certaines fonctionnalités de la plateforme eFTI, les plateformes eFTI doivent, au minimum:

• a) maintenir des points d’accès dotés de clés de sécurité ou de certificats de sécurité en cours de validité;
• b) utiliser des procédures et des protocoles sécurisés de réception, d’enregistrement, de récupération et de validation des clés de sécurité ou des certificats de sécurité de ces autres systèmes TIC.

5. Pour la communication avec DIWASS, les plateformes eFTI:

• a) maintiennent des points d’accès conformes aux spécifications visées à l’article 12 du règlement d’exécution (UE) 2025/1290;
• b) utilisent des procédures et des protocoles sécurisés de réception, d’enregistrement, de récupération et de validation de la clé de sécurité de DIWASS;
• c) maintiennent une interface de programmation d’application qui leur permet de recevoir des données DIWASS relatives à la signature du destinataire, lorsque le destinataire est une installation de traitement des déchets visée dans le règlement (UE) 2024/1157.

Article 13
Sécurité des données stockées

Les opérateurs de plateformes eFTI définissent et mettent en oeuvre des mesures qui garantissent la sécurité et la conservation des données stockées sur les plateformes eFTI, et en particulier:

• a) lorsque les données eFTI sont stockées sur des dispositifs de stockage physique gérés par l’opérateur de la plateforme:
  • i) des mesures visant à garantir un stockage suffisant des données, y compris à des fins de sauvegarde;
  • ii) des mesures visant à assurer une protection contre les dommages physiques causés aux unités de stockage, qu’ils soient intentionnels ou accidentels, causés par l’homme ou du fait de calamités naturelles;
  • iii) des mesures visant à garantir la récupération des données en cas de dommage;
  • iv) des mesures mettant en oeuvre des politiques appropriées de gestion des risques liés à la sécurité de l’information, y compris des évaluations régulières de la vulnérabilité en matière de sécurité et leur suivi;
• b) lorsque les données eFTI sont stockées au moyen d’un stockage en nuage, des mesures visant à garantir que l’espace de stockage en nuage est acheté auprès de fournisseurs de services qui respectent les principales normes et bonnes pratiques internationales en matière de sécurité en nuage et de protection des données à caractère personnel;
• c) des mesures visant à garantir que les données eFTI sont stockées dans l’Union ou sous la juridiction de l’Union ou d’un État membre.

CHAPITRE V
DISPOSITIONS FINALES

Article 14
Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 6 novembre 2025.

Par la Commission
La présidente
Ursula VON DER LEYEN
                    
(1) JO L 249 du 31.7.2020, p. 33, ELI: http://data.europa.eu/eli/reg/2020/1056/oj.
(2) Règlement (CE) n°765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et abrogeant le règlement (CEE) n°339/93 du Conseil (JO L 218 du 13.8.2008, p. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
(3) Règlement d’exécution (UE) 2024/1942 de la Commission du 5 juillet 2024 établissant des procédures communes et des règles détaillées pour l’accès aux informations électroniques relatives au transport de marchandises et leur traitement par les autorités compétentes conformément au règlement (UE) 2020/1056 du Parlement européen et du Conseil (JO L, 2024/1942, 20.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/1942/oj).
(4) Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).
(5) Règlement délégué (UE) 2024/2024 de la Commission du 26 juillet 2024 complétant le règlement (UE) 2020/1056 en établissant l’ensemble de données communes eFTI et les sous-ensembles de données eFTI (JO L, 2024/2024, 20.12.2024, ELI: http://data.europa. eu/eli/reg_del/2024/2024/oj).
(6) Règlement (UE) 2024/1157 du Parlement européen et du Conseil du 11 avril 2024 concernant les transferts de déchets, modifiant les règlements (UE) n°1257/2013 et (UE) 2020/1056 et abrogeant le règlement (CE) n°1013/2006 (JO L, 2024/1157, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1157/oj).
(7) Règlement d’exécution (UE) 2025/1290 de la Commission du 2 juillet 2025 portant modalités d’application du règlement (UE) 2024/1157 du Parlement européen et du Conseil en ce qui concerne les exigences nécessaires à l’interopérabilité entre le système centralisé de présentation et d’échange par voie électronique d’informations et de documents relatifs aux transferts de déchets et d’autres systèmes ou logiciels, ainsi que les autres exigences techniques et organisationnelles nécessaires à la mise en oeuvre pratique de cette présentation et de cet échange par voie électronique d’informations et de documents (JO L, 2025/1290, 14.7.2025, ELI: http:// data.europa.eu/eli/reg_impl/2025/1290/oj).
(8) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(9) https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=fr&groupID=3280.
(10) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
(11) Directive 92/106/CEE du Conseil du 7 décembre 1992 relative à l’établissement de règles communes pour certains transports combinés de marchandises entre États membres (JO L 368 du 17.12.1992, p. 38, ELI: http://data.europa.eu/eli/dir/1992/106/oj).

ANNEXE
OPÉRATIONS DE TRAITEMENT POUVANT ÊTRE EFFECTUÉES PAR LES ENTREPRISES UTILISATRICES SUR LES PLATEFORMES eFTI
(visées à l’article 9)

Le tableau suivant décrit les opérations de traitement des données eFTI que les plateformes eFTI permettent aux entreprises utilisatrices d’effectuer, conformément à l’article 9, paragraphes 1 et 2, et les actions automatiques que les plateformes eFTI doivent effectuer afin de garantir l’exécution de ces opérations de traitement, où:

• a) la colonne intitulée «Opération» indique le nom abrégé par lequel l’opération de traitement est identifiée à l’article 9, paragraphe 1 ou 2;
• b) la colonne intitulée «Action de l’entreprise utilisatrice» décrit les actions que les plateformes eFTI permettent aux entreprises utilisatrices d’effectuer pour réaliser l’opération de traitement en question;
• c) la colonne intitulée «Action de la plateforme eFTI» décrit les actions que les plateformes eFTI exécutent, au minimum, conjointement avec les actions correspondantes des entreprises utilisatrices, afin de garantir l’achèvement de cette opération.

Tableau

	Opération	Action de l’entreprise utilisatrice	Action de la plateforme eFTI
a)	Créer un eFTI CMDS	Demander à la plateforme eFTI de créer un nouvel eFTI CMDS.	1. À la demande de l’entreprise utilisatrice, la plateforme eFTI génère un modèle d’eFTI CMDS, sur la base des informations fournies par l’entreprise utilisatrice. La plateforme eFTI demande à l’entreprise utilisatrice de fournir les informations nécessaires pour lui permettre de déterminer les sous-ensembles de données eFTI appropriés qui contiennent les exigences applicables en matière d’informations réglementaires. 2. Une fois qu’elle a généré le modèle d’eFTI CMDS, la plateforme attribue un UUID à l’eFTI CMDS, ainsi que le prévoit l’article 11, paragraphe 2, point c), du règlement d’exécution (UE) 2024/1942 et lui attribue le statut «projet», et le met à la disposition des entreprises utilisatrices pour traitement.
b)	Modifier un eFTI CMDS	Saisir des informations relatives aux mouvements d’envois dans les champs de données de l’eFTI CMDS.	1. La plateforme eFTI permet à l’entreprise utilisatrice de saisir des données dans les champs d’éléments de données correspondants de l’eFTI CMDS, y compris en modifiant des données précédemment enregistrées, pour toutes les informations réglementaires pour lesquelles cette entreprise utilisatrice dispose de droits de traitement, conformément à l’article 5. 2. La plateforme eFTI enregistre les données saisies par l’entreprise utilisatrice dans le système de stockage en ligne de la plateforme eFTI, à l’issue du processus de validation visé au point 3 et après confirmation par l’entreprise utilisatrice qu’elle ne souhaite pas traiter ces données plus avant. 3. Avant d’enregistrer les données, la plateforme eFTI effectue des contrôles de validation des données saisies par l’entreprise utilisatrice: a) en vérifiant si des données ont été fournies pour tous les éléments de données pour lesquels le statut juridique est identifié comme obligatoire ou conditionnel pour les sous-ensembles eFTI sur la base desquels l’eFTI CMDS a été établi, conformément à la description des sous- ensembles de données eFTI figurant aux sections 3 et 4 de l’annexe du règlement délégué (UE) 2024/2024; b) en vérifiant si les valeurs fournies pour chaque élément de données correspondent aux caractéristiques techniques (par exemple, type de données, format, liste de codes) fixées pour ces éléments de données à l’annexe du règlement délégué (UE) 2024/2024; c) en informant l’entreprise utilisatrice, par des messages appropriés, des résultats du processus de validation. 4. Lorsque le ou les éléments de données modifiés correspondent à des données qui constituent un ou plusieurs identifiants conformément à l’article 11, paragraphe 3, du règlement d’exécution (UE) 2024/1942, et que le statut de l’eFTI CMDS est «actif», la plateforme eFTI met à jour la ou les valeurs du ou des identifiants correspondants de cet eFTI CMDS dans le registre des identifiants du portail eFTI dans lequel ces identifiants ont été initialement téléchargés.
c)	Lire les données de l’eFTI CMDS	Demander l’accès aux données saisies dans l’eFTI CMDS.	La plateforme eFTI permet, par défaut, un accès en lecture seule à tous les éléments de données d’un eFTI CMDS pour lequel l’entreprise utilisatrice dispose de droits de traitement.
d)	Télécharger une copie des données d’un eFTI CMDS	Demander une copie des données d’un eFTI CMDS	La plateforme eFTI génère et met à disposition pour téléchargement par l’entreprise utilisatrice une copie des données de l’eFTI CMDS, dans des formats lisibles par l’homme et par machine.
e)	Signature de l’expéditeur	Lire ou modifier puis signer les données de l’eFTI CMDS.	1. La plateforme eFTI permet à l’entreprise utilisatrice de lire et, en fonction des droits de traitement dont elle dispose, d’effectuer d’autres opérations de traitement sur l’eFTI CMDS. 2. La plateforme eFTI permet à l’entreprise utilisatrice de signer électroniquement après avoir confirmé: a) qu’elle a lu toutes les données eFTI CMDS pour lesquelles elle dispose de droits de traitement, et b) qu’elle ne souhaite pas traiter ces données plus avant. 3. La plateforme eFTI enregistre les métadonnées qui permettent de vérifier si l’entreprise utilisatrice a signé par des moyens conformes, au minimum, aux exigences en matière de signature électronique avancée ou de cachet électronique avancé conformément au règlement (UE) n°910/2014, et attribue la valeur «1» à l’élément de données eFTI65.
f)	Signature du transporteur	Lire ou modifier puis signer les données de l’eFTI CMDS.	1. La plateforme eFTI permet à l’entreprise utilisatrice de lire et, en fonction des droits de traitement dont elle dispose, d’effectuer d’autres opérations de traitement sur l’eFTI CMDS. 2. La plateforme eFTI permet à l’entreprise utilisatrice de signer électroniquement après avoir confirmé: a) qu’elle a lu toutes les données eFTI CMDS pour lesquelles elle dispose de droits de traitement, et b) qu’elle ne souhaite pas traiter ces données plus avant. 3. La plateforme eFTI enregistre les métadonnées qui permettent de vérifier si l’entreprise utilisatrice a signé par des moyens conformes, au minimum, aux exigences en matière de signature électronique avancée ou de cachet électronique avancé conformément au règlement (UE) no910/2014, et attribue la valeur «1» à l’élément de données eFTI115. 4. La plateforme eFTI génère l’UIL de l’eFTI CMDS, conformément aux spécifications prévues à l’article 11, paragraphe 2, du règlement d’exécution (UE) 2024/1942, et télécharge l’UIL, ainsi que les identifiants correspondants, dans le registre des identifiants du portail eFTI auquel la plateforme eFTI est connectée et dont la référence figure dans l’UIL, comme le prévoit l’article 11, paragraphe 3, dudit règlement. 5. La plateforme eFTI attribue le statut «actif» à l’eFTI CMDS et le met à la disposition des autorités compétentes à des fins d’accès et de traitement.
g)	Signature du destinataire	Lire ou modifier puis signer les données de l’eFTI CMDS.	1. La plateforme eFTI permet à l’entreprise utilisatrice de lire et, en fonction des droits de traitement dont elle dispose, d’effectuer d’autres opérations de traitement sur l’eFTI CMDS. 2. La plateforme eFTI permet à l’entreprise utilisatrice de signer électroniquement après avoir confirmé: a) qu’elle a lu toutes les données eFTI CMDS pour lesquelles elle dispose de droits de traitement, et b) qu’elle ne souhaite pas traiter ces données plus avant. 3. La plateforme eFTI enregistre les métadonnées qui permettent de vérifier si l’entreprise utilisatrice a signé par des moyens conformes, au minimum, aux exigences en matière de signature électronique avancée ou de cachet électronique avancé conformément au règlement (UE) n°910/2014, et attribue la valeur «1» à l’élément de données eFTI84. Lorsque le destinataire est une installation de traitement des déchets au sens du règlement (UE) 2024/1157, la plateforme eFTI peut, à défaut, enregistrer les données relatives à la signature du destinataire reçues de DIWASS, au moyen de l’interface de programmation d’application visée à l’article 12, paragraphe 5, point c). 4. La plateforme eFTI met à jour, dans le registre des identifiants du portail eFTI, l’identifiant correspondant à l’élément de données eFTI188. 5. Les plateformes eFTI attribuent le statut «prêt à être archivé» à l’eFTI CMDS, sauf si l’élément de données eFTI581 de l’eFTI CMDS a la valeur «3», correspondant à «transport routier». 6. Lorsque l’élément de données eFTI581 de l’eFTI CMDS a la valeur «3», correspondant à «transport routier», la plateforme eFTI attribue à l’eFTI CMDS le statut «inactif», pour le cumul de périodes visées à l’article 8, paragraphe 2, et à l’article 8, paragraphe 2 bis, du règlement (CE) n°1072/2009 du Parlement européen et du Conseil (1) et, à l’expiration de cette période cumulée, le statut «prêt à être archivé».
h)	Apposition du cachet «Transport combiné» par l’administration portuaire ou ferroviaire dans les ports maritimes ou fluviaux ou dans les gares	Confirmer les informations relatives au transport combiné.	1. La plateforme eFTI permet à l’entreprise utilisatrice de lire et, en fonction des droits de traitement dont elle dispose, d’effectuer d’autres opérations de traitement sur l’eFTI CMDS. 2. La plateforme eFTI permet à l’entreprise utilisatrice de signer électroniquement après avoir confirmé: a) qu’elle a lu toutes les données eFTI CMDS pour lesquelles elle dispose de droits de traitement, et b) qu’elle ne souhaite pas traiter ces données plus avant. 3. La plateforme eFTI enregistre les métadonnées qui permettent de vérifier si l’entreprise utilisatrice a apposé une signature ou un cachet par des moyens conformes, au minimum, aux exigences en matière de signature électronique avancée ou de cachet électronique avancé ou, respectivement, d’horodatage électronique qualifié, conformément au règlement (UE) n°910/2014, et attribue la valeur «1» à l’élément de données eFTI608.
i)	Archiver un eFTI CMDS	Demander l’archivage de l’eFTI CMDS.	1. Après confirmation par l’entreprise utilisatrice, la plateforme eFTI attribue le statut «archivé» à l’eFTI CMDS. 2. En l’absence de demande spécifique d’une entreprise utilisatrice, la plateforme eFTI peut attribuer le statut «archivé» à un eFTI CMDS ayant le statut «prêt à être archivé», à condition que les entreprises utilisatrices titulaires des autorisations correspondantes en lien avec cet eFTI CMDS soient dûment informées de cette action.
j)	Télécharger une copie des documents relatifs aux transferts de déchets	Demander une copie des documents relatifs aux transferts de déchets.	1. Sur la base du ou des numéros de document fourni par l’entreprise utilisatrice, la plateforme eFTI demande et récupère auprès de DIWASS une copie du ou des documents relatifs aux transferts de déchets identifiés grâce à ce ou ces numéros. 2. La plateforme eFTI permet à l’entreprise utilisatrice de lire et de télécharger les informations figurant dans les documents relatifs aux transferts de déchets dans un format non modifiable lisible par l’homme.
k)	Soumettre ou modifier la confirmation du transfert de déchets par le transporteur	Lire ou modifier puis signer les données de l’eFTI CMDS. Authentifier les documents relatifs aux transferts de déchets.	1. La plateforme eFTI permet à l’entreprise utilisatrice de lire et, en fonction des droits de traitement dont elle dispose, d’effectuer d’autres opérations de traitement sur l’eFTI CMDS. 2. La plateforme eFTI permet à l’entreprise utilisatrice de signer électroniquement après avoir confirmé: a) qu’elle a lu toutes les données eFTI CMDS pour lesquelles elle dispose de droits de traitement, b) qu’elle ne souhaite pas traiter ces données plus avant, et c) qu’elle a lu la copie des documents relatifs aux transferts de déchets et souhaite procéder à l’authentification de ces documents. 3. La plateforme eFTI enregistre les métadonnées qui permettent de vérifier si l’entreprise utilisatrice a signé par des moyens conformes, au minimum, aux exigences en matière de signature électronique avancée ou de cachet électronique avancé conformément au règlement (UE) n°910/2014, et attribue la valeur «1» à l’élément de données eFTI115. 4. La plateforme eFTI enregistre les informations visées à l’article 14, paragraphe 2, du règlement d’exécution (UE) 2025/1290 et télécharge sur DIWASS les données de confirmation du transporteur correspondant aux spécifications prévues à l’annexe II, partie B, points 3 et 4, et à la partie C, points 3 et 4, dudit règlement, selon le cas.
(1) Règlement (CE) n°1072/2009 du Parlement européen et du Conseil du 21 octobre 2009 établissant des règles communes pour l’accès au marché du transport international de marchandises par route (JO L 300 du 14.11.2009, p. 72, ELI: http://data.europa.eu/eli/reg/2009/1072/oj).