5. Cybersécurité 
5.3. Sécurité informatique et de l'information
5.3. Sécurité informatique et de l'information
Décision d'exécution (UE) 2026/1065 de la Commission du 8 juin 2026 portant modalités d’application du règlement (UE) 2024/982 du Parlement européen et du Conseil en ce qui concerne la consultation et l’échange automatisés de fichiers de police par l’intermédiaire de l’EPRIS
| Date de signature : | 08/06/2026 | Statut du texte : | En vigueur |
| Date de publication : | 10/06/2026 | Emetteur : | |
| Consolidée le : | Source : | JOUE Série L du 10 juin 2026 | |
| Date d'entrée en vigueur : | 30/06/2026 |
Décision d'exécution (UE) 2026/1065 de la Commission du 8 juin 2026 portant modalités d’application du règlement (UE) 2024/982 du Parlement européen et du Conseil en ce qui concerne la consultation et l’échange automatisés de fichiers de police par l’intermédiaire de l’EPRIS
LA COMMISSION EUROPÉENNE,
(1) Le règlement (UE) 2024/982 établit un cadre pour la consultation et l’échange automatisés de certaines catégories de données aux fins de la coopération policière transfrontière.
(2) Conformément au règlement (UE) 2024/982, la Commission doit préciser la procédure technique applicable à la consultation et à l’échange automatisés des fichiers de police par l’intermédiaire du système d’index européen des fichiers de police (EPRIS).
(3) Il est nécessaire d’établir des spécifications techniques et opérationnelles uniformes pour le fonctionnement de l’EPRIS, en vue d’assurer l’échange efficace, sécurisé et interopérable des fichiers de police. Ces spécifications devraient définir les procédures, formats, protocoles et exigences de sécurité afin de garantir la cohérence et la fiabilité de l’échange automatisé d’informations au titre du règlement (UE) 2024/982.
(4) L’infrastructure centrale de routage de l’EPRIS qui doit être gérée par Europol doit servir d’intermédiaire de confiance pour les échanges d’interrogations et de résultats entre les index des fichiers de police nationaux. La conception technique de cette infrastructure devrait garantir le chiffrement de bout en bout, la pseudonymisation des données et une stricte séparation entre les fonctions de routage et le contenu des données, assurant ainsi la protection et la confidentialité des données tout au long des opérations de l’EPRIS.
(5) Afin de maintenir la continuité opérationnelle et la confiance mutuelle entre les entités participantes, il est nécessaire d’établir des exigences communes en matière de disponibilité du système, de gestion de la configuration et de journalisation, ainsi que des procédures pour le traitement des erreurs et la déclaration statistique. Ces exigences devraient faciliter le suivi, l’évaluation et l’amélioration du fonctionnement de l’EPRIS dans le respect des principes de responsabilité, de transparence et de minimisation des données.
(6) Conformément aux articles 1eret 2 du protocole n°22 sur la position du Danemark, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark n’a pas participé à l’adoption du règlement (UE) 2024/982 et n’est pas lié par celui-ci ni soumis à son application. Le Danemark n’est donc pas lié par la présente décision ni soumis à son application.
(7) L’Irlande étant liée par le règlement (UE) 2024/982, elle est liée par la présente décision.
(8) L’EPRIS contribue à la fourniture d’un service public numérique transfrontière. Étant donné que la présente décision introduit des exigences contraignantes ayant une incidence sur le développement de celui-ci, une évaluation de l’interopérabilité est requise en vertu de l’article 3 du règlement (UE) 2024/903 du Parlement européen et du Conseil (2) (règlement pour une Europe interopérable). L’évaluation a été réalisée et le rapport qui en résulte sera publié sur le portail «Europe interopérable».
(9) Le Contrôleur européen de la protection des données a rendu son avis le 27 janvier 2026.
(10) Les mesures prévues par la présente décision sont conformes à l’avis du comité Prüm II institué par l’article 77 du règlement (UE) 2024/982,
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Aux fins de la présente décision, on entend par:
Les règles techniques applicables à la consultation et à l’échange automatisés des fichiers de police par l’intermédiaire de l’EPRIS sont décrites dans l’annexe.
Article 3
La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Bruxelles, le 10.6.2026.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj.
(2) Règlement (UE) 2024/903 du Parlement européen et du Conseil du 13 mars 2024 établissant des mesures destinées à assurer un niveau élevé d’interopérabilité du secteur public dans l’ensemble de l’Union (règlement pour une Europe interopérable) (JO L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).
ANNEXE
Règles techniques applicables à la consultation et à l’échange automatisés de fichiers de police par l’intermédiaire de l’EPRIS, visées à l’article 2
CHAPITRE 1
EPRIS
1. Tableau des codes des entités
Les entités requérantes et requises sont identifiées par un code à deux lettres de la norme ISO 3166. Lorsque l’entité n’a pas de code ISO réservé, le présent document en définit un dans le tableau 1.
Tableau 1
Liste des codes des entités utilisés dans les échanges automatisés Prüm II
2. Procédure technique permettant à l’EPRIS d’interroger les index des fichiers de police des États membres
L’EPRIS utilise les interconnexions de réseaux convenues entre Europol et les États membres pour échanger des données avec les entités. L’EPRIS et les entités échangent des données en effectuant des opérations au moyen d’une infrastructure centrale de routage. Ce service, fourni par Europol, est dénommé «infrastructure centrale de routage de l’EPRIS» et ses spécifications techniques sont déterminées par Europol.
Chaque État membre participant met en place: i) au moins un index national des fichiers de police; ii) des microservices chargés de gérer et de consulter le ou les index (services de consultation); et iii) des microservices chargés d’interroger les entités (services d’interrogation).
Europol met en place des services chargés d’interroger les entités (service d’interrogation).
L’infrastructure centrale de routage de l’EPRIS et les services sont fournis en tenant compte de l’infrastructure des États membres.
Le processus de traitement d’une opération EPRIS comporte les étapes suivantes:
Une entité requérante peut lancer plusieurs interrogations dans le cadre d’une seule interaction avec son service d’interrogation.
Chaque consultation envoyée par le service d’interrogation de l’entité requérante comprend des informations de routage spécifiques, définies dans la documentation technique afférente à la mise en oeuvre de l’EPRIS. Les informations de routage sont ajoutées à l’interrogation par le service d’interrogation, à partir des données de configuration.
Les paramètres de consultation dans la charge utile des données d’une consultation sont pseudonymisés en application de l’article 25, paragraphe 2, du règlement (UE) 2024/982.
La charge utile des données relatives à la consultation et au résultat obtenu, à l’exception des informations de routage, est cryptée au moyen d’un certificat de sécurité avant d’être échangée.
Le service d’interrogation de l’entité requérante valide la charge utile des données.
L’infrastructure centrale de routage de l’EPRIS ne doit pas pouvoir lire ou valider la charge utile des données puisque celle-ci est cryptée.
Le service de consultation de l’entité requise valide la charge utile des données pour assurer qu’elle puisse être traitée correctement.
Si le service de consultation de l’entité requise n’est pas capable de traiter correctement la charge utile des données, un code d’erreur est renvoyé à l’entité requérante par l’intermédiaire de l’infrastructure centrale de routage de l’EPRIS. Le format et le contenu de ces erreurs sont déterminés par Europol, notamment les codes d’erreur liés aux services web et à l’infrastructure centrale de routage de l’EPRIS.
3. Modes de consultation
L’EPRIS prend en charge au moins deux modes de consultation, qui permettent de comparer les fichiers de police pseudonymisés soit de manière précise (consultation exacte) soit de manière imprécise (consultation tolérante). Les modes de consultation sont déterminés par Europol.
L’entité requérante décide des modes de consultation à utiliser dans chaque affaire individuelle.
4. Le format et le nombre maximal de réponses
Chaque consultation et son résultat consécutif, tels que décrits à l’article 28 du règlement (UE) 2024/982, sont identifiés par un identifiant d’opération (Transaction Identifier, ou TId) composé du code à deux lettres de l’entité requérante suivi d’un code unique qui identifie l’opération, et associé à la date et à l’heure dans les registres des services de consultation. Le service de consultation destinataire enregistre l’opération en conservant son identifiant, pour assurer la traçabilité.
Toutes les consultations envoyées par le service d’interrogation qui proviennent d’une interrogation unique lancée par l’entité requérante portent le même identifiant d’opération.
Chaque résultat renvoyé au service d’interrogation de l’entité requérante mentionne l’identifiant d’opération associé à la consultation.
Chaque entité requise ne renvoie qu’un seul résultat par consultation.
Le résultat comprend le nombre total de concordances, la référence (Data Reference Number, ou DRN) des fichiers de police des entités requises dans lesquels la concordance a été trouvée et des informations sur la qualité de la concordance, notamment pour chaque paramètre utilisé dans la consultation. Les références et les informations relatives à la qualité de la concordance sont transmises pour, au maximum, les 10 meilleures concordances par entité requise.
Le nombre maximal de concordances que chaque index national des fichiers de police transmet par résultat, par l’intermédiaire de l’infrastructure centrale de routage de l’EPRIS, est de 100. Ce nombre constitue le plafond technique du système. Europol peut encore adapter ce plafond si des motifs opérationnels ou techniques l’exigent. Si le plafond de 100 concordances est dépassé, le service de consultation de l’entité requise ne signale pas de concordance et ne transmet pas de candidat. À la place, l’EPRIS envoie un message d’erreur indiquant qu’il y a trop de candidats. Dans ce cas, l’entité requérante affine son interrogation.
5. Disponibilité du système
L’infrastructure centrale de routage de l’EPRIS est construite et gérée comme un système à haute disponibilité avec redondance complète.
Conformément à l’article 46, paragraphe 1, du règlement (UE) 2024/982, lorsqu’il est techniquement impossible d’utiliser l’EPRIS pour interroger un ou plusieurs index nationaux des fichiers de police, en raison d’une défaillance de l’infrastructure d’Europol, Europol adresse une notification, de manière automatisée, aux États membres. Europol prend des mesures pour remédier sans tarder à l’impossibilité technique d’utiliser l’EPRIS.
Europol vérifie à intervalles réguliers si les services de consultation des entités sont disponibles. Europol détermine le processus de vérification de la disponibilité des services de consultation des entités.
Chaque entité contrôle la disponibilité de ses propres services de consultation et d’interrogation et agit conformément à l’article 46, paragraphe 2, du règlement (UE) 2024/982.
Si l’indisponibilité technique d’un service de consultation dure plus de 24 heures, Europol contacte l’entité concernée afin de l’aider et de remédier à cette indisponibilité.
6. Données de configuration
Tous les paramètres nécessaires au bon fonctionnement de l’EPRIS sont gérés dans les données de configuration globale et dans les données de configuration locale.
Les données de configuration globale sont régulièrement vérifiées et gérées activement par Europol. Elles comprennent la liste des participants, des paramètres de consultation communs (tels que des seuils, des feux de signalisation, un tableau de mélange des couleurs, les nationalités valables), une configuration commune pour la gestion des noms, la fourniture de paramètres de pseudonymisation et d’autres éléments.
Les paramètres de consultation communs, la configuration commune pour la gestion des noms, les paramètres de pseudonymisation et les valeurs de temporisation sont déterminés par Europol.
Les données de configuration globale sont publiées au niveau central et mises à la disposition des entités. Toutes les entités utilisent exactement le même ensemble de données de configuration globale. Les paramètres de pseudonymisation sont modifiés selon un calendrier régulier, et sans délai après un incident de sécurité les concernant.
Les données de configuration locale sont gérées par les entités participantes et comprennent les informations de connexion aux services locaux, à l’infrastructure nationale, aux bases de données sources et autres.
7. Délai de traitement cible
Pour la consultation des fichiers de police, les interrogations sont traitées par une procédure entièrement automatisée. Les résultats sont envoyés de manière à parvenir à l’entité requérante dans les délais de réponse qui seront fixés par Europol.
8. Tenue de registres
Toutes les interrogations et réponses sont consignées dans un registre, de manière structurée et uniforme, par chaque entité, qu’il s’agisse d’une entité requérante ou d’une entité requise, au niveau national, suivant une approche décentralisée.
En application de l’article 45, paragraphe 1, du règlement (UE) 2024/982, les registres contiennent:
Pour permettre la production de statistiques à des fins opérationnelles et techniques, d’autres informations peuvent figurer dans les registres, telles que:
Des données statistiques sont enregistrées au niveau local par toutes les entités.
En application de l’article 72, paragraphe 3 et 4, du règlement (UE) 2024/982, Europol collecte et conserve les données statistiques anonymisées suivantes provenant des entités requérantes:
Europol crée et gère une plateforme centralisée permettant de collecter ces données statistiques auprès de chaque entité. La plateforme centralisée produit des rapports et des statistiques personnalisables, à la demande des autorités compétentes des États membres, de la Commission et d’Europol.
10. Protocoles et normes à utiliser pour le cryptage
Le protocole TLS avec authentification mutuelle (mTLS) est utilisé pour authentifier les services web et crypter les données. D’autres normes peuvent être utilisées à titre complémentaire pour assurer la sécurité des services web.
11. Normes de sécurité et protection des données
Conformément à l’article 53, paragraphe 3, point g), du règlement (UE) 2024/982, Europol garantit, grâce à l’attribution d’identifiants individuels et à des modes d’accès confidentiels uniquement, que chaque membre du personnel d’Europol autorisé à avoir accès à l’EPRIS n’a accès qu’aux données couvertes par son autorisation d’accès.
Les États membres garantissent, grâce à l’attribution d’identifiants individuels et à des modes d’accès confidentiels uniquement, que le personnel de leurs autorités compétentes autorisé à avoir accès à l’EPRIS n’a accès qu’aux données couvertes par son autorisation d’accès.
CHAPITRE 2
INDEX NATIONAUX DES FICHIERS DE POLICE
1. Procédure de gestion des index
Les États membres actualisent leur index national des fichiers de police au moins toutes les 24 heures, par une procédure entièrement automatisée.
Conformément à l’article 74, paragraphe 7, du règlement (UE) 2024/982, les États membres participants notifient aux autres États membres, à la Commission et à Europol le contenu de leurs index nationaux des fichiers de police (le nombre de fichiers, le nombre de personnes concernées indexées, le statut des personnes concernées, le type d’infractions pénales, l’ensemble de données figurant dans l’index, le numéro de l’index, etc.) et des bases de données sources nationales utilisées pour l’établissement de ces index, ainsi que les conditions applicables aux consultations automatisées.
En outre, Europol centralise et fournit des informations sur le contenu de tous les index nationaux des fichiers de police liés à toutes les entités participantes.
2. Référence
Chaque fichier de police est créé par l’entité dans le ou les index nationaux des fichiers de police et porte une référence (Data Reference Number, ou DRN) unique conformément à l’article 27 du règlement (UE) 2024/982. Cette référence est une séquence unique de caractères alphanumériques qui ne change pas et qui identifie de manière unique le fichier de police.
La référence ne doit révéler aucune donnée à caractère personnel. Les États membres sont responsables de la composition de leurs références. Les États membres utilisent leur code pays au début de toutes leurs références. La référence est associée de manière irrévocable à un fichier unique dans l’index national des fichiers de police.
Conformément à l’article 27 du règlement (UE) 2024/982, les références des fichiers de police consistent en la combinaison des éléments suivants:
La référence est utilisée lors de l’introduction d’une demande de suivi au moyen de SIENA.
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l’Union européenne,
- vu le règlement (UE) 2024/982 du Parlement européen et du Conseil du 13 mars 2024 relatif à la consultation et l’échange automatisés de données dans le cadre de la coopération policière, et modifiant les décisions 2008/615/JAI et 2008/616/JAI du Conseil et les règlements (UE) 2018/1726, (UE) 2019/817 et (UE) 2019/818 du Parlement européen et du Conseil (règlement Prüm II) (1), et notamment son article 31 et son article 44, paragraphe 6,
(1) Le règlement (UE) 2024/982 établit un cadre pour la consultation et l’échange automatisés de certaines catégories de données aux fins de la coopération policière transfrontière.
(2) Conformément au règlement (UE) 2024/982, la Commission doit préciser la procédure technique applicable à la consultation et à l’échange automatisés des fichiers de police par l’intermédiaire du système d’index européen des fichiers de police (EPRIS).
(3) Il est nécessaire d’établir des spécifications techniques et opérationnelles uniformes pour le fonctionnement de l’EPRIS, en vue d’assurer l’échange efficace, sécurisé et interopérable des fichiers de police. Ces spécifications devraient définir les procédures, formats, protocoles et exigences de sécurité afin de garantir la cohérence et la fiabilité de l’échange automatisé d’informations au titre du règlement (UE) 2024/982.
(4) L’infrastructure centrale de routage de l’EPRIS qui doit être gérée par Europol doit servir d’intermédiaire de confiance pour les échanges d’interrogations et de résultats entre les index des fichiers de police nationaux. La conception technique de cette infrastructure devrait garantir le chiffrement de bout en bout, la pseudonymisation des données et une stricte séparation entre les fonctions de routage et le contenu des données, assurant ainsi la protection et la confidentialité des données tout au long des opérations de l’EPRIS.
(5) Afin de maintenir la continuité opérationnelle et la confiance mutuelle entre les entités participantes, il est nécessaire d’établir des exigences communes en matière de disponibilité du système, de gestion de la configuration et de journalisation, ainsi que des procédures pour le traitement des erreurs et la déclaration statistique. Ces exigences devraient faciliter le suivi, l’évaluation et l’amélioration du fonctionnement de l’EPRIS dans le respect des principes de responsabilité, de transparence et de minimisation des données.
(6) Conformément aux articles 1eret 2 du protocole n°22 sur la position du Danemark, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark n’a pas participé à l’adoption du règlement (UE) 2024/982 et n’est pas lié par celui-ci ni soumis à son application. Le Danemark n’est donc pas lié par la présente décision ni soumis à son application.
(7) L’Irlande étant liée par le règlement (UE) 2024/982, elle est liée par la présente décision.
(8) L’EPRIS contribue à la fourniture d’un service public numérique transfrontière. Étant donné que la présente décision introduit des exigences contraignantes ayant une incidence sur le développement de celui-ci, une évaluation de l’interopérabilité est requise en vertu de l’article 3 du règlement (UE) 2024/903 du Parlement européen et du Conseil (2) (règlement pour une Europe interopérable). L’évaluation a été réalisée et le rapport qui en résulte sera publié sur le portail «Europe interopérable».
(9) Le Contrôleur européen de la protection des données a rendu son avis le 27 janvier 2026.
(10) Les mesures prévues par la présente décision sont conformes à l’avis du comité Prüm II institué par l’article 77 du règlement (UE) 2024/982,
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Aux fins de la présente décision, on entend par:
- a) «entité», un État membre ou Europol;
- b) «entité requérante», un État membre ou Europol qui lance une interrogation;
- c) «entité requise», un État membre qui reçoit une consultation;
- d) «opération», une interrogation, convertie en une ou plusieurs consultations, et ses résultats correspondants;
- e) «interrogation», la saisie effectuée par une entité requérante puis envoyée au service d’interrogation installé dans sa propre infrastructure;
- f) «consultation», un message envoyé par le service d’interrogation d’une entité requérante au service de consultation des entités requises afin d’obtenir une liste de résultats;
- g) «résultat», les informations envoyées par le service de consultation d’une entité requise au service d’interrogation d’une entité requérante au terme d’une consultation, indiquant soit une concordance, y compris ses caractéristiques, soit aucune concordance;
- h) «réponse», l’agrégation de tous les résultats relatifs à une interrogation;
- i) «service d’interrogation», un microservice chargé d’interroger des entités;
- j) «service de consultation», un microservice chargé de gérer et de consulter le ou les index.
Les règles techniques applicables à la consultation et à l’échange automatisés des fichiers de police par l’intermédiaire de l’EPRIS sont décrites dans l’annexe.
Article 3
La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Bruxelles, le 10.6.2026.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj.
(2) Règlement (UE) 2024/903 du Parlement européen et du Conseil du 13 mars 2024 établissant des mesures destinées à assurer un niveau élevé d’interopérabilité du secteur public dans l’ensemble de l’Union (règlement pour une Europe interopérable) (JO L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).
ANNEXE
Règles techniques applicables à la consultation et à l’échange automatisés de fichiers de police par l’intermédiaire de l’EPRIS, visées à l’article 2
CHAPITRE 1
EPRIS
1. Tableau des codes des entités
Les entités requérantes et requises sont identifiées par un code à deux lettres de la norme ISO 3166. Lorsque l’entité n’a pas de code ISO réservé, le présent document en définit un dans le tableau 1.
Tableau 1
Liste des codes des entités utilisés dans les échanges automatisés Prüm II
|
Nom de l’entité |
Code |
|---|---|
|
Autriche |
AT |
|
Belgique |
BE |
|
Bulgarie |
BG |
|
Chypre |
CY |
|
Tchéquie |
CZ |
|
Allemagne |
DE |
|
Estonie |
EE |
|
Espagne |
ES |
|
Finlande |
FI |
|
France |
FR |
|
Grèce |
GR |
|
Croatie |
HR |
|
Hongrie |
HU |
|
Irlande |
IE |
|
Italie |
IT |
|
Lituanie |
LT |
|
Luxembourg |
LU |
|
Lettonie |
LV |
|
Malte |
MT |
|
Pays-Bas |
NL |
|
Pologne |
PL |
|
Portugal |
PT |
|
Roumanie |
RO |
|
Suède |
SE |
|
Slovénie |
SI |
|
Slovaquie |
SK |
|
Europol |
EP |
2. Procédure technique permettant à l’EPRIS d’interroger les index des fichiers de police des États membres
L’EPRIS utilise les interconnexions de réseaux convenues entre Europol et les États membres pour échanger des données avec les entités. L’EPRIS et les entités échangent des données en effectuant des opérations au moyen d’une infrastructure centrale de routage. Ce service, fourni par Europol, est dénommé «infrastructure centrale de routage de l’EPRIS» et ses spécifications techniques sont déterminées par Europol.
Chaque État membre participant met en place: i) au moins un index national des fichiers de police; ii) des microservices chargés de gérer et de consulter le ou les index (services de consultation); et iii) des microservices chargés d’interroger les entités (services d’interrogation).
Europol met en place des services chargés d’interroger les entités (service d’interrogation).
L’infrastructure centrale de routage de l’EPRIS et les services sont fournis en tenant compte de l’infrastructure des États membres.
Le processus de traitement d’une opération EPRIS comporte les étapes suivantes:
- 1) l’entité requérante lance une interrogation qui est envoyée à son service d’interrogation;
- 2) le service d’interrogation de l’entité requérante pseudonymise les paramètres de l’interrogation et envoie une consultation au service de consultation de chaque entité requise, par l’intermédiaire de l’infrastructure centrale de routage de l’EPRIS;
- 3) le service de consultation de chacune des entités requises consulte son index national des fichiers de police de manière automatisée. Si une entité requise utilise plusieurs index nationaux, un serveur mandataire de consultation reçoit et envoie l’interrogation aux divers services de consultation nationaux, et collecte les résultats;
- 4) le service de consultation (ou le serveur mandataire de consultation, le cas échéant) des entités requises envoie les résultats, via l’infrastructure centrale de routage de l’EPRIS, au service d’interrogation de l’entité requérante;
- 5) le service d’interrogation de l’entité requérante assemble les résultats dans une réponse.
Une entité requérante peut lancer plusieurs interrogations dans le cadre d’une seule interaction avec son service d’interrogation.
Chaque consultation envoyée par le service d’interrogation de l’entité requérante comprend des informations de routage spécifiques, définies dans la documentation technique afférente à la mise en oeuvre de l’EPRIS. Les informations de routage sont ajoutées à l’interrogation par le service d’interrogation, à partir des données de configuration.
Les paramètres de consultation dans la charge utile des données d’une consultation sont pseudonymisés en application de l’article 25, paragraphe 2, du règlement (UE) 2024/982.
La charge utile des données relatives à la consultation et au résultat obtenu, à l’exception des informations de routage, est cryptée au moyen d’un certificat de sécurité avant d’être échangée.
Le service d’interrogation de l’entité requérante valide la charge utile des données.
L’infrastructure centrale de routage de l’EPRIS ne doit pas pouvoir lire ou valider la charge utile des données puisque celle-ci est cryptée.
Le service de consultation de l’entité requise valide la charge utile des données pour assurer qu’elle puisse être traitée correctement.
Si le service de consultation de l’entité requise n’est pas capable de traiter correctement la charge utile des données, un code d’erreur est renvoyé à l’entité requérante par l’intermédiaire de l’infrastructure centrale de routage de l’EPRIS. Le format et le contenu de ces erreurs sont déterminés par Europol, notamment les codes d’erreur liés aux services web et à l’infrastructure centrale de routage de l’EPRIS.
3. Modes de consultation
L’EPRIS prend en charge au moins deux modes de consultation, qui permettent de comparer les fichiers de police pseudonymisés soit de manière précise (consultation exacte) soit de manière imprécise (consultation tolérante). Les modes de consultation sont déterminés par Europol.
L’entité requérante décide des modes de consultation à utiliser dans chaque affaire individuelle.
4. Le format et le nombre maximal de réponses
Chaque consultation et son résultat consécutif, tels que décrits à l’article 28 du règlement (UE) 2024/982, sont identifiés par un identifiant d’opération (Transaction Identifier, ou TId) composé du code à deux lettres de l’entité requérante suivi d’un code unique qui identifie l’opération, et associé à la date et à l’heure dans les registres des services de consultation. Le service de consultation destinataire enregistre l’opération en conservant son identifiant, pour assurer la traçabilité.
Toutes les consultations envoyées par le service d’interrogation qui proviennent d’une interrogation unique lancée par l’entité requérante portent le même identifiant d’opération.
Chaque résultat renvoyé au service d’interrogation de l’entité requérante mentionne l’identifiant d’opération associé à la consultation.
Chaque entité requise ne renvoie qu’un seul résultat par consultation.
Le résultat comprend le nombre total de concordances, la référence (Data Reference Number, ou DRN) des fichiers de police des entités requises dans lesquels la concordance a été trouvée et des informations sur la qualité de la concordance, notamment pour chaque paramètre utilisé dans la consultation. Les références et les informations relatives à la qualité de la concordance sont transmises pour, au maximum, les 10 meilleures concordances par entité requise.
Le nombre maximal de concordances que chaque index national des fichiers de police transmet par résultat, par l’intermédiaire de l’infrastructure centrale de routage de l’EPRIS, est de 100. Ce nombre constitue le plafond technique du système. Europol peut encore adapter ce plafond si des motifs opérationnels ou techniques l’exigent. Si le plafond de 100 concordances est dépassé, le service de consultation de l’entité requise ne signale pas de concordance et ne transmet pas de candidat. À la place, l’EPRIS envoie un message d’erreur indiquant qu’il y a trop de candidats. Dans ce cas, l’entité requérante affine son interrogation.
5. Disponibilité du système
L’infrastructure centrale de routage de l’EPRIS est construite et gérée comme un système à haute disponibilité avec redondance complète.
Conformément à l’article 46, paragraphe 1, du règlement (UE) 2024/982, lorsqu’il est techniquement impossible d’utiliser l’EPRIS pour interroger un ou plusieurs index nationaux des fichiers de police, en raison d’une défaillance de l’infrastructure d’Europol, Europol adresse une notification, de manière automatisée, aux États membres. Europol prend des mesures pour remédier sans tarder à l’impossibilité technique d’utiliser l’EPRIS.
Europol vérifie à intervalles réguliers si les services de consultation des entités sont disponibles. Europol détermine le processus de vérification de la disponibilité des services de consultation des entités.
Chaque entité contrôle la disponibilité de ses propres services de consultation et d’interrogation et agit conformément à l’article 46, paragraphe 2, du règlement (UE) 2024/982.
Si l’indisponibilité technique d’un service de consultation dure plus de 24 heures, Europol contacte l’entité concernée afin de l’aider et de remédier à cette indisponibilité.
6. Données de configuration
Tous les paramètres nécessaires au bon fonctionnement de l’EPRIS sont gérés dans les données de configuration globale et dans les données de configuration locale.
Les données de configuration globale sont régulièrement vérifiées et gérées activement par Europol. Elles comprennent la liste des participants, des paramètres de consultation communs (tels que des seuils, des feux de signalisation, un tableau de mélange des couleurs, les nationalités valables), une configuration commune pour la gestion des noms, la fourniture de paramètres de pseudonymisation et d’autres éléments.
Les paramètres de consultation communs, la configuration commune pour la gestion des noms, les paramètres de pseudonymisation et les valeurs de temporisation sont déterminés par Europol.
Les données de configuration globale sont publiées au niveau central et mises à la disposition des entités. Toutes les entités utilisent exactement le même ensemble de données de configuration globale. Les paramètres de pseudonymisation sont modifiés selon un calendrier régulier, et sans délai après un incident de sécurité les concernant.
Les données de configuration locale sont gérées par les entités participantes et comprennent les informations de connexion aux services locaux, à l’infrastructure nationale, aux bases de données sources et autres.
7. Délai de traitement cible
Pour la consultation des fichiers de police, les interrogations sont traitées par une procédure entièrement automatisée. Les résultats sont envoyés de manière à parvenir à l’entité requérante dans les délais de réponse qui seront fixés par Europol.
8. Tenue de registres
Toutes les interrogations et réponses sont consignées dans un registre, de manière structurée et uniforme, par chaque entité, qu’il s’agisse d’une entité requérante ou d’une entité requise, au niveau national, suivant une approche décentralisée.
En application de l’article 45, paragraphe 1, du règlement (UE) 2024/982, les registres contiennent:
- a) l’entité requérante;
- b) les date et heure de la consultation;
- c) les date et heure du résultat;
- d) le ou les index nationaux auxquels une consultation a été envoyée;
- e) le ou les index nationaux qui ont fourni un résultat.
- f) l’identifiant d’opération (TId);
- g) le nombre de concordances ou d’indications d’absence de concordance fournies.
Pour permettre la production de statistiques à des fins opérationnelles et techniques, d’autres informations peuvent figurer dans les registres, telles que:
- h) le mode de consultation utilisé;
- i) la couleur de la meilleure concordance trouvée;
- j) le ou les index nationaux qui ont affiché une erreur, et le type d’erreur;
- k) le ou les index nationaux qui ont affiché trop de candidats;
- l) la combinaison de paramètres utilisée dans la consultation.
Des données statistiques sont enregistrées au niveau local par toutes les entités.
En application de l’article 72, paragraphe 3 et 4, du règlement (UE) 2024/982, Europol collecte et conserve les données statistiques anonymisées suivantes provenant des entités requérantes:
- a) le nombre d’interrogations par entité requérante;
- b) le nombre de consultations envoyées à chaque entité requise;
- c) le nombre de concordances ou d’indications d’absence de concordance transmises par chaque entité requise.
Europol crée et gère une plateforme centralisée permettant de collecter ces données statistiques auprès de chaque entité. La plateforme centralisée produit des rapports et des statistiques personnalisables, à la demande des autorités compétentes des États membres, de la Commission et d’Europol.
10. Protocoles et normes à utiliser pour le cryptage
Le protocole TLS avec authentification mutuelle (mTLS) est utilisé pour authentifier les services web et crypter les données. D’autres normes peuvent être utilisées à titre complémentaire pour assurer la sécurité des services web.
11. Normes de sécurité et protection des données
Conformément à l’article 53, paragraphe 3, point g), du règlement (UE) 2024/982, Europol garantit, grâce à l’attribution d’identifiants individuels et à des modes d’accès confidentiels uniquement, que chaque membre du personnel d’Europol autorisé à avoir accès à l’EPRIS n’a accès qu’aux données couvertes par son autorisation d’accès.
Les États membres garantissent, grâce à l’attribution d’identifiants individuels et à des modes d’accès confidentiels uniquement, que le personnel de leurs autorités compétentes autorisé à avoir accès à l’EPRIS n’a accès qu’aux données couvertes par son autorisation d’accès.
CHAPITRE 2
INDEX NATIONAUX DES FICHIERS DE POLICE
1. Procédure de gestion des index
Les États membres actualisent leur index national des fichiers de police au moins toutes les 24 heures, par une procédure entièrement automatisée.
Conformément à l’article 74, paragraphe 7, du règlement (UE) 2024/982, les États membres participants notifient aux autres États membres, à la Commission et à Europol le contenu de leurs index nationaux des fichiers de police (le nombre de fichiers, le nombre de personnes concernées indexées, le statut des personnes concernées, le type d’infractions pénales, l’ensemble de données figurant dans l’index, le numéro de l’index, etc.) et des bases de données sources nationales utilisées pour l’établissement de ces index, ainsi que les conditions applicables aux consultations automatisées.
En outre, Europol centralise et fournit des informations sur le contenu de tous les index nationaux des fichiers de police liés à toutes les entités participantes.
2. Référence
Chaque fichier de police est créé par l’entité dans le ou les index nationaux des fichiers de police et porte une référence (Data Reference Number, ou DRN) unique conformément à l’article 27 du règlement (UE) 2024/982. Cette référence est une séquence unique de caractères alphanumériques qui ne change pas et qui identifie de manière unique le fichier de police.
La référence ne doit révéler aucune donnée à caractère personnel. Les États membres sont responsables de la composition de leurs références. Les États membres utilisent leur code pays au début de toutes leurs références. La référence est associée de manière irrévocable à un fichier unique dans l’index national des fichiers de police.
Conformément à l’article 27 du règlement (UE) 2024/982, les références des fichiers de police consistent en la combinaison des éléments suivants:
- a) une référence permettant aux États membres, en cas de concordance, d’extraire des données biographiques et d’autres informations de leurs index nationaux des fichiers de police ou d’une ou plusieurs bases de données sources, afin de les transmettre à un, à plusieurs ou à tous les autres États membres;
- b) un code indiquant l’État membre qui détient les fichiers de police.
La référence est utilisée lors de l’introduction d’une demande de suivi au moyen de SIENA.