Index 
Textes adoptés
Mardi 12 mars 2019 - Strasbourg 
Demande de levée de l’immunité de Monika Hohlmeier
 Demande de levée de l’immunité de Jean-Marie Le Pen
 Demande de levée de l’immunité de Dominique Bilde
 Prorogation de l’article 159 du règlement intérieur du Parlement européen jusqu’à la fin de la neuvième législature
 Informations électroniques relatives au transport de marchandises ***I
 Accord de partenariat volontaire UE-Viêt Nam sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux ***
 Accord de partenariat volontaire UE-Viêt Nam sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (résolution)
 Protocole d’amendement à la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ***
 Proposition de décision du Conseil autorisant les États membres à devenir parties à la convention du Conseil de l’Europe sur une approche intégrée de la sécurité, de la sûreté et des services lors des matches de football et autres manifestations sportives ***
 Protocole modifiant l’accord UE-Chine relatif aux transports maritimes (adhésion de la Croatie) ***
 Accord euro-méditerranéen UE-Égypte (adhésion de la Croatie) ***
 Accord de partenariat et de coopération UE-Turkménistan
 Décision d'exécution concernant le lancement de l'échange automatisé de données pour ce qui est des données ADN au Royaume-Uni *
 Échange d'informations sur les ressortissants de pays tiers et système européen d'information sur les casiers judiciaires (ECRIS) ***I
 Système centralisé pour identifier les États membres qui détiennent des informations sur les condamnations de ressortissants de pays tiers et d’apatrides (ECRIS-TCN) ***I
 Programme «Corps européen de solidarité» ***I
 Règlement sur la cybersécurité ***I
 Pratiques commerciales déloyales dans les relations interentreprises dans la chaîne agro-alimentaire ***I
 Initiative citoyenne européenne ***I
 Importation de biens culturels ***I
 Protection des données à caractère personnel dans le contexte des élections au Parlement européen ***I
 Menaces pour la sécurité liées à la présence technologique croissante de la Chine dans l’Union et les actions possibles à l’échelle de l’UE pour les réduire
 État des relations politiques entre l’Union européenne et la Russie
 Renforcement des capacités de l’Union en matière de prévention des conflits et de médiation

Demande de levée de l’immunité de Monika Hohlmeier
PDF 127kWORD 43k
Décision du Parlement européen du 12 mars 2019 sur la demande de levée de l’immunité de Monika Hohlmeier (2019/2002(IMM))
P8_TA-PROV(2019)0135A8-0165/2019

Le Parlement européen,

–  vu la demande de levée de l’immunité de Monika Hohlmeier, transmise en date du 27 novembre 2018 par le procureur général du parquet de Cobourg (Allemagne) dans le cadre d’une procédure d’enquête préliminaire, et communiquée en séance plénière le 14 janvier 2019,

–  vu que Monika Hohlmeier a renoncé à son droit d’être entendue, conformément à l’article 9, paragraphe 6, de son règlement intérieur,

–  vu l’article 9 du protocole no 7 sur les privilèges et immunités de l’Union européenne ainsi que l’article 6, paragraphe 2, de l’acte portant élection des membres du Parlement européen au suffrage universel direct, du 20 septembre 1976,

–  vu les arrêts rendus par la Cour de justice de l’Union européenne les 12 mai 1964, 10 juillet 1986, 15 et 21 octobre 2008, 19 mars 2010, 6 septembre 2011 et 17 janvier 2013(1),

–  vu l’article 46 de la Loi fondamentale de la République fédérale d’Allemagne,

–  vu l’article 5, paragraphe 2, l’article 6, paragraphe 1, et l’article 9 de son règlement intérieur,

–  vu le rapport de la commission des affaires juridiques (A8-0165/2019),

A.  considérant que le procureur général du parquet de Cobourg a transmis une demande de levée de l’immunité de Monika Hohlmeier, députée au Parlement européen élue pour la République fédérale d’Allemagne, en ce qui concerne une infraction au sens de l’article 142 du code pénal allemand; qu’en particulier, les poursuites portent sur un délit de fuite;

B.  considérant que le 4 septembre 2018, vers 15 heures, Monika Hohlmeier a tenté de garer sa voiture sur une place de parking à Lichtenfels (Allemagne); que l’avant de son véhicule a heurté l’arrière d’une autre voiture qui était garée, provoquant à ladite voiture des dommages estimés à 287,84 euros; que Monika Hohlmeier a ensuite quitté le lieu de l’accident sans s’inquiéter du règlement du sinistre;

C.  considérant que, en vertu de l’article 9 du protocole no 7 sur les privilèges et immunités de l’Union européenne, les membres du Parlement européen bénéficient, sur leur territoire national, des immunités reconnues aux membres du parlement de leur pays;

D.  considérant que l’article 46 de la Loi fondamentale de la République fédérale d’Allemagne dispose que pour un acte passible d’une sanction, un député ne peut voir sa responsabilité mise en cause ou être arrêté qu’avec l’agrément du Bundestag, à moins qu’il n’ait été arrêté en flagrant délit ou le lendemain du jour où il a commis cet acte;

E.  considérant qu’il appartient au Parlement seul de décider de lever ou non l’immunité dans un cas donné; que le Parlement peut raisonnablement tenir compte de la position du député pour prendre la décision de lever ou non son immunité(2);

F.  considérant que le délit présumé n’a pas de rapport direct ou évident avec l’exercice par Monika Hohlmeier de ses fonctions de députée au Parlement européen, ni ne constitue une opinion ou un vote émis dans l’exercice de ses fonctions de députée au Parlement européen, au sens de l’article 8 du protocole no 7 sur les privilèges et immunités de l’Union européenne;

G.  considérant que, en l’espèce, le Parlement n’a pas pu établir qu’il y avait fumus persecutionis, c’est-à-dire une présomption suffisamment sérieuse et précise que la procédure a été engagée dans l’intention de nuire à l’activité politique de la députée;

1.  décide de lever l’immunité de Monika Hohlmeier;

2.  charge son Président de transmettre immédiatement la présente décision et le rapport de sa commission compétente à l’autorité compétente de la République fédérale d’Allemagne et à Monika Hohlmeier.

(1) Arrêt de la Cour de justice du 12 mai 1964, Wagner/Fohrmann et Krier, 101/63, ECLI:EU:C:1964:28; arrêt de la Cour de justice du 10 juillet 1986, Wybot/Faure et autres, 149/85, ECLI:EU:C:1986:310; arrêt du Tribunal du 15 octobre 2008, Mote/Parlement, T-345/05, ECLI:EU:T:2008:440; arrêt de la Cour de justice du 21 octobre 2008, Marra/De Gregorio et Clemente, C-200/07 et C-201/07, ECLI:EU:C:2008:579; arrêt du Tribunal du 19 mars 2010, Gollnisch/Parlement, T-42/06, ECLI:EU:T:2010:102; arrêt de la Cour de justice du 6 septembre 2011, Patriciello, C-163/10, ECLI:EU:C:2011:543; arrêt du Tribunal du 17 janvier 2013, Gollnisch/Parlement, T-346/11 et T-347/11, ECLI:EU:T:2013:23.
(2) Arrêt du Tribunal du 15 octobre 2008, Mote/Parlement, T-345/05, EU:T:2008:440, point 28.


Demande de levée de l’immunité de Jean-Marie Le Pen
PDF 131kWORD 43k
Décision du Parlement européen du 12 mars 2019 sur la demande de levée de l’immunité de Jean-Marie Le Pen (2018/2247(IMM))
P8_TA-PROV(2019)0136A8-0167/2019

Le Parlement européen,

–  vu la demande de levée de l’immunité de Jean-Marie Le Pen, transmise en date du 5 septembre 2018 par le ministère de la justice de la République française sur requête du procureur général près la cour d’appel de Paris et communiquée en séance plénière le 22 octobre 2018, dans le cadre de l’affaire pendante devant les magistrats instructeurs relativement à une information judiciaire pour les chefs présumés d’abus de confiance, de recel d’abus de confiance, d’escroquerie en bande organisée, de faux et usage de faux, et de travail dissimulé par dissimulation de salariés, concernant les conditions d’emploi d’assistants parlementaires,

–  ayant entendu Jean-François Jalkh, remplaçant Jean-Marie Le Pen, conformément à l’article 9, paragraphe 6, de son règlement intérieur,

–  vu l’article 9 du protocole nº 7 sur les privilèges et immunités de l’Union européenne ainsi que l’article 6, paragraphe 2, de l’acte portant élection des membres du Parlement européen au suffrage universel direct, du 20 septembre 1976,

–  vu les arrêts rendus par la Cour de justice de l’Union européenne les 12 mai 1964, 10 juillet 1986, 15 et 21 octobre 2008, 19 mars 2010, 6 septembre 2011 et 17 janvier 2013(1),

–  vu l’article 26 de la Constitution de la République française,

–  vu l’article 5, paragraphe 2, l’article 6, paragraphe 1, et l’article 9 de son règlement intérieur,

–  vu le rapport de la commission des affaires juridiques (A8-0167/2019),

Α.  considérant que les magistrats instructeurs du tribunal de grande instance de Paris ont demandé la levée de l’immunité parlementaire de Jean-Marie Le Pen afin de l’entendre au sujet de délits présumés;

Β.  considérant que cette demande a trait aux délits présumés d’abus de confiance, de recel d’abus de confiance, d’escroquerie en bande organisée, de faux et usage de faux, et de travail dissimulé par dissimulation de salariés, concernant les conditions d’emploi d’assistants de députés au Parlement européen membres du Front national;

C.  considérant qu’une information judiciaire a été ouverte le 5 décembre 2016 à la suite d’une enquête préliminaire ouverte le 9 mars 2015 sur dénonciation du Président du Parlement européen de l’époque quant à plusieurs assistants parlementaires de députés au Parlement européen membres du Front national;

D.  considérant que, lors d’une perquisition effectuée au siège du Front national en février 2016, une série de documents ont été saisis dans le bureau du trésorier de ce parti et attestent de la volonté dudit parti de faire des «économies» en faisant prendre en charge par le Parlement européen les rémunérations de salariés du parti au titre de leur qualité d’assistants parlementaires;

E.  considérant que l’organigramme du Front national, publié en février 2015, mentionnait seulement quinze députés européens (sur un total de vingt-trois), vingt et un assistants parlementaires locaux et cinq assistants parlementaires accrédites (sur un total de cinquante-quatre assistants); que plusieurs assistants parlementaires ont déclaré le siège du Front national à Nanterre comme lieu de travail, certains ajoutant qu’ils y étaient employés à temps plein, alors qu’ils résident à des distances comprises entre 120 et 945 kilomètres de leur lieu de travail déclaré; qu’au stade actuel de l’enquête, il ressort que huit assistants parlementaires n’ont réalisé quasiment aucun travail d’assistance parlementaire, ou très marginalement;

F.  considérant que les investigations menées ont également mis en évidence des circonstances qui permettent de douter de la réalité de l’activité parlementaire européenne des assistants concernés, en particulier:

   des contrats d’emploi d’assistants parlementaires européens intercalés entre deux contrats d’emploi pour le Front national;
   le cumul de contrats d’emploi d’assistants parlementaires européens, pour le Parlement européen et pour le Front national;
   des contrats d’emploi pour le Front national venant immédiatement à la suite de contrats d’emploi d’assistants parlementaires européens;

G.  considérant que l’enquête a révélé que Jean-Marie Le Pen, en sa qualité de député au Parlement européen, a employé un assistant parlementaire en 2011, mais que cet assistant a déclaré aux enquêteurs qu’au cours de la période concernée, il avait travaillé pour la campagne électorale d’un autre député européen; que Jean-Marie Le Pen a fait rémunérer trois autres personnes comme assistants parlementaires, alors qu’elles n’ont quasiment jamais travaillé en cette qualité;

H.  considérant que l’enquête a également révélé qu’en sa qualité de président du Front national à l’époque des délits présumés, Jean-Marie Le Pen a mis en place le système dénoncé par le Parlement européen, qui consistait à faire financer une partie des salariés du Front national par des fonds de l’Union, via des contrats parlementaires avec des personnes qui travaillaient en réalité pour le parti, au mépris des textes de l’Union en vigueur;

I.  considérant que les magistrats instructeurs estiment nécessaire d’entendre Jean-Marie Le Pen;

J.  considérant que Jean-Marie Le Pen a refusé de répondre aux convocations des enquêteurs le 21 juin 2018 et à celles des magistrats instructeurs, en juillet 2018, en invoquant son immunité parlementaire;

K.  considérant que, pour pouvoir procéder à l’interrogatoire de Jean-Marie Le Pen sur les faits visés au réquisitoire introductif, les autorités compétentes ont demandé la levée de son immunité;

L.  considérant qu’en vertu de l’article 9 du protocole nº 7 sur les privilèges et immunités de l’Union européenne, les membres du Parlement européen bénéficient, sur leur territoire national, des immunités accordées aux membres du parlement de leur pays;

M.  considérant que l’article 26 de la Constitution de la République française prévoit qu’«aucun membre du Parlement ne peut faire l’objet, en matière criminelle ou correctionnelle, d’une arrestation ou de toute autre mesure privative ou restrictive de liberté qu’avec l’autorisation du Bureau de l’assemblée dont il fait partie. Cette autorisation n’est pas requise en cas de crime ou délit flagrant ou de condamnation définitive»;

N.  considérant qu’aucun élément ni aucune raison ne porte à soupçonner l’existence d’un fumus persecutionis;

1.  décide de lever l’immunité de Jean-Marie Le Pen;

2.  charge son Président de transmettre immédiatement la présente décision et le rapport de sa commission compétente au ministre de la justice de la République française et à Jean-Marie Le Pen.

(1) Arrêt de la Cour de justice du 12 mai 1964, Wagner/Fohrmann et Krier, 101/63, ECLI:EU:C:1964:28; arrêt de la Cour de justice du 10 juillet 1986, Wybot/Faure et autres, 149/85, ECLI:EU:C:1986:310; arrêt du Tribunal du 15 octobre 2008, Mote/Parlement, T-345/05, ECLI:EU:T:2008:440; arrêt de la Cour de justice du 21 octobre 2008, Marra/De Gregorio et Clemente, C-200/07 et C-201/07, ECLI:EU:C:2008:579; arrêt du Tribunal du 19 mars 2010, Gollnisch/Parlement, T-42/06, ECLI:EU:T:2010:102; arrêt de la Cour de justice du 6 septembre 2011, Patriciello, C-163/10, ECLI: EU:C:2011:543; arrêt du Tribunal du 17 janvier 2013, Gollnisch/Parlement, T-346/11 et T-347/11, ECLI:EU:T:2013:23.


Demande de levée de l’immunité de Dominique Bilde
PDF 132kWORD 43k
Décision du Parlement européen du 12 mars 2019 sur la demande de levée de l’immunité de Dominique Bilde (2018/2267(IMM))
P8_TA-PROV(2019)0137A8-0166/2019

Le Parlement européen,

–  vu la demande de levée de l’immunité de Dominique Bilde, transmise en date du 19 octobre 2018 par le ministère de la justice de la République française sur requête du procureur général près la cour d’appel de Paris et communiquée en séance plénière le 12 novembre 2018, dans le cadre de l’affaire pendante devant les magistrats instructeurs relativement à une information judiciaire pour les chefs présumés d’abus de confiance, de recel d’abus de confiance, d’escroquerie en bande organisée, de faux et usage de faux, et de travail dissimulé par dissimulation de salarié, concernant les conditions d’emploi d’assistants,

–  ayant entendu Jean-François Jalkh, remplaçant Dominique Bilde, conformément à l’article 9, paragraphe 6, de son règlement intérieur,

–  vu l’article 9 du protocole nº 7 sur les privilèges et immunités de l’Union européenne ainsi que l’article 6, paragraphe 2, de l’acte portant élection des membres du Parlement européen au suffrage universel direct, du 20 septembre 1976,

–  vu les arrêts rendus par la Cour de justice de l’Union européenne les 12 mai 1964, 10 juillet 1986, 15 et 21 octobre 2008, 19 mars 2010, 6 septembre 2011 et 17 janvier 2013(1),

–  vu l’article 26 de la Constitution de la République française,

–  vu l’article 5, paragraphe 2, l’article 6, paragraphe 1, et l’article 9 de son règlement intérieur,

–  vu le rapport de la commission des affaires juridiques (A8-0166/2019),

Α.  considérant que les magistrats instructeurs du tribunal de grande instance de Paris ont demandé la levée de l’immunité parlementaire de Dominique Bilde afin de l’entendre au sujet de délits présumés;

Β.  considérant que cette demande a trait aux délits présumés d’abus de confiance, de recel d’abus de confiance, d’escroquerie en bande organisée, de faux et usage de faux, et de travail dissimulé par dissimulation de salarié, concernant les conditions d’emploi d’assistants de députés au Parlement européen membres du Front national;

C.  considérant qu’une information judiciaire a été ouverte le 5 décembre 2016 à la suite d’une enquête préliminaire ouverte le 9 mars 2015 sur dénonciation du Président du Parlement européen de l’époque quant à plusieurs assistants parlementaires de députés au Parlement européen membres du Front national;

D.  considérant que, lors d’une perquisition effectuée au siège du Front national en février 2016, une série de documents ont été saisis dans le bureau du trésorier de ce parti et attestent de la volonté dudit parti de faire des «économies» en faisant prendre en charge par le Parlement européen les rémunérations de salariés du parti au titre de leur qualité d’assistants parlementaires; qu’au stade actuel de l’enquête, il ressort que huit assistants parlementaires n’ont réalisé quasiment aucun travail d’assistance parlementaire, ou très marginalement:

E.  considérant qu’il est apparu que l’assistant parlementaire à temps plein de Dominique Bilde entre le 1er octobre 2014 et le 31 juillet 2015 faisait partie des assistants n’ayant effectué quasiment aucun travail d’assistance parlementaire; que, dans l’organigramme du Front national publié en février 2015, la fonction de cet assistant parlementaire était intitulée «délégué national à la prospective» et qu’il a travaillé à l’unité «Veille et prospective» sous la responsabilité d’un autre député au Parlement européen; que son contrat d’assistant parlementaire a été suivi par deux autres contrats de travail en lien avec l’activité du Front national entre août 2015 et le 31 décembre 2016; que, pendant la durée de son contrat d’assistant parlementaire, ladite personne exerçait également les fonctions suivantes: secrétaire général du collectif Marianne, secrétaire général du collectif Mer et Francophonie et candidat aux élections départementales en mars 2015 dans le Doubs;

F.  considérant que le Parlement européen a suspendu le versement des frais d’assistance parlementaire liés au contrat de l’assistant parlementaire de Dominique Bilde;

G.  considérant que les magistrats instructeurs estiment nécessaire d’entendre Dominique Bilde;

H.  considérant que Dominique Bilde a refusé de répondre aux enquêteurs lors de sa convocation devant eux en août 2017 et a refusé de comparaître devant les magistrats instructeurs en vue de sa mise en examen pour abus de confiance le 24 novembre 2017, en invoquant son immunité parlementaire;

I.  considérant que, pour pouvoir procéder à l’interrogatoire de Dominique Bilde sur les faits visés au réquisitoire introductif, les autorités compétentes ont demandé la levée de son immunité;

J.  considérant qu’en vertu de l’article 9 du protocole nº 7 sur les privilèges et immunités de l’Union européenne, les députés européens bénéficient, sur leur territoire national, des immunités accordées aux membres du parlement de leur pays;

K.  considérant que l’article 26 de la Constitution de la République française prévoit qu’«aucun membre du Parlement ne peut faire l’objet, en matière criminelle ou correctionnelle, d’une arrestation ou de toute autre mesure privative ou restrictive de liberté qu’avec l’autorisation du Bureau de l’assemblée dont il fait partie. Cette autorisation n’est pas requise en cas de crime ou délit flagrant ou de condamnation définitive»;

L.  considérant qu’aucun élément ni aucune raison ne porte à soupçonner l’existence d’un fumus persecutionis;

1.  décide de lever l’immunité de Dominique Bilde;

2.  charge son Président de transmettre immédiatement la présente décision et le rapport de sa commission compétente au ministre de la justice de la République française et à Dominique Bilde.

(1) Arrêt de la Cour de justice du 12 mai 1964, Wagner/Fohrmann et Krier, 101/63, ECLI:EU:C:1964:28; arrêt de la Cour de justice du 10 juillet 1986, Wybot/Faure et autres, 149/85, ECLI:EU:C:1986:310; arrêt du Tribunal du 15 octobre 2008, Mote/Parlement, T-345/05, ECLI:EU:T:2008:440; arrêt de la Cour de justice du 21 octobre 2008, Marra/De Gregorio et Clemente, C-200/07 et C-201/07, ECLI:EU:C:2008:579; arrêt du Tribunal du 19 mars 2010, Gollnisch/Parlement, T-42/06, ECLI:EU:T:2010:102; arrêt de la Cour de justice du 6 septembre 2011, Patriciello, C-163/10, ECLI: EU:C:2011:543; arrêt du Tribunal du 17 janvier 2013, Gollnisch/Parlement, T-346/11 et T-347/11, ECLI:EU:T:2013:23.


Prorogation de l’article 159 du règlement intérieur du Parlement européen jusqu’à la fin de la neuvième législature
PDF 123kWORD 42k
Décision du Parlement européen du 12 mars 2019 portant prorogation de l’article 159 du règlement intérieur du Parlement européen jusqu’à la fin de la neuvième législature (2019/2545(RSO))
P8_TA-PROV(2019)0138B8-0147/2019

Le Parlement européen,

–  vu l’article 342 du traité sur le fonctionnement de l’Union européenne,

–  vu le règlement n°1 du Conseil portant fixation du régime linguistique de la Communauté Économique Européenne du 15 avril 1958(1),

–  vu les règlements (CE) n° 920/2005(2) et (UE, Euratom) 2015/2264(3) du Conseil,

–  vu le code de conduite du multilinguisme adopté par le Bureau le 16 juin 2014,

–  vu sa décision du 26 février 2014(4) portant prorogation de l'applicabilité de l'article 159 du règlement intérieur du Parlement jusqu'à la fin de la neuvième législature, ainsi que les décisions ultérieures du Bureau portant prorogation de la dérogation à l'article 158 du règlement intérieur jusqu'à la fin de cette législature,

–  vu les articles 158 et 159 de son règlement intérieur,

A.  considérant que, conformément à l’article 158 du règlement intérieur, tous les documents du Parlement sont rédigés dans les langues officielles et que tous les députés ont le droit, au Parlement, de s’exprimer dans la langue officielle de leur choix, avec interprétation dans les autres langues officielles;

B.  considérant que, conformément à l’article 159 du règlement intérieur, il peut être dérogé à l’article 158 jusqu’à la fin de la huitième législature si et dans la mesure où il n’est pas possible, bien que les mesures nécessaires à cet effet aient été prises, de disposer d’un nombre suffisant de linguistes pour une langue officielle; que, pour chacune des langues officielles pour lesquelles une dérogation est jugée nécessaire, le Bureau, sur proposition du secrétaire général, et en tenant dûment compte des mesures spéciales temporaires décidées par le Conseil en vertu des traités en ce qui concerne la rédaction des actes juridiques, est tenu de déterminer si les conditions sont remplies et de revoir sa décision tous les six mois;

C.  considérant que les règlements (CE) n° 920/2005 et (UE, Euratom) 2015/2264 du Conseil prévoient une restriction progressive de la dérogation en ce qui concerne l’irlandais et, en l’absence d’un autre règlement du Conseil comportant une disposition contraire, l’expiration de cette dérogation à compter du 1er janvier 2022,

D.  considérant que, bien que toutes les mesures nécessaires aient été prises, il faut s'attendre à ce que la capacité pour le croate, l'irlandais et le maltais ne permette pas un service complet d'interprétation en ces langues à partir du début de la neuvième législature;

E.  considérant qu’en dépit d’efforts interinstitutionnels incessants et soutenus, et d’une amélioration sensible de la situation, l’effectif de traducteurs qualifiés de langue irlandaise devrait être si limité que la couverture de toutes les combinaisons linguistiques conformément à l’article 158 du règlement intérieur ne pourra pas être assurée dans un avenir prévisible; que conformément aux règlements (CE) n° 920/2005 et (UE, Euratom) 2015/2264 du Conseil, un nombre croissant d’actes juridiques doivent être traduits en irlandais, ce qui réduit la possibilité de traduire d’autres documents parlementaires dans cette langue;

F.  considérant que, conformément à l'article 159, paragraphe 4, du règlement intérieur, sur recommandation motivée du Bureau, le Parlement peut décider, au terme de la législature, la prolongation dudit article;

G.  considérant que, compte tenu de ce qui précède, le Bureau a recommandé la prolongation de l’article 159 du règlement intérieur jusqu’à la fin de la neuvième législature;

1.  décide de prolonger l'article 159 du règlement intérieur du Parlement européen jusqu'à la fin de la neuvième législature;

2.  charge son Président de transmettre la présente décision, pour information, au Conseil et à la Commission.

(1) JO 17 du 6.10.1958, p. 385.
(2) Règlement (CE) n° 920/2005 du Conseil du 13 juin 2005 modifiant le règlement n° 1 du 15 avril 1958 portant fixation du régime linguistique de la Communauté économique européenne et le règlement n° 1 du 15 avril 1958 portant fixation du régime linguistique de la Communauté européenne de l’énergie atomique et introduisant des mesures dérogatoires temporaires à ces règlements (JO L 156 du 18.6.2005, p. 3).
(3) Règlement (UE, Euratom) 2015/2264 du Conseil du 3 décembre 2015 prorogeant et supprimant progressivement les mesures dérogatoires temporaires au règlement nº 1 du 15 avril 1958 portant fixation du régime linguistique de la Communauté économique européenne et au règlement nº 1 du 15 avril 1958 portant fixation du régime linguistique de la Communauté européenne de l’énergie atomique introduites par le règlement (CE) nº 920/2005 (JO L 322 du 8.12.2015, p. 1).
(4) JO C 285 du 29.8.2017, p. 164.


Informations électroniques relatives au transport de marchandises ***I
PDF 273kWORD 73k
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de règlement du Parlement européen et du Conseil concernant les informations électroniques relatives au transport de marchandises (COM(2018)0279 – C8-0191/2018 – 2018/0140(COD))
P8_TA(2019)0139A8-0060/2019

Ce texte est en cours de traitement pour être publié dans votre langue. Vous pouvez déjà accéder à la version PDF ou WORD en cliquant sur l'icône en haut à droite.


Accord de partenariat volontaire UE-Viêt Nam sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux ***
PDF 122kWORD 41k
Résolution législative du Parlement européen du 12 mars 2019 sur le projet de décision du Conseil relative à la conclusion de l’accord de partenariat volontaire entre l’Union européenne et la République socialiste du Viêt Nam sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (10861/2018 – C8-0445/2018 – 2018/0272(NLE))
P8_TA-PROV(2019)0140A8-0083/2019

(Approbation)

Le Parlement européen,

–  vu le projet de décision du Conseil relative à la conclusion de l’accord de partenariat volontaire entre l’Union européenne et la République socialiste du Viêt Nam sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (10861/2018),

–  vu le projet d’accord de partenariat volontaire entre l’Union européenne et la République socialiste du Viêt Nam sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (10877/2018),

–  vu la demande d’approbation présentée par le Conseil conformément à l’article 207, paragraphe 3, premier alinéa, et paragraphe 4, premier alinéa, en liaison avec l’article 218, paragraphe 6, deuxième alinéa, point a) v), et l’article 218, paragraphe 7, du traité sur le fonctionnement de l'Union européenne (C8-0445/2018),

–  vu sa résolution non législative du 12 mars 2019(1) sur le projet de décision,

–  vu l’article 99, paragraphes 1 et 4, ainsi que l’article 108, paragraphe 7, de son règlement intérieur,

–  vu la recommandation de la commission du commerce international et l’avis de la commission du développement (A8-0083/2019),

1.  donne son approbation à la conclusion de l’accord;

2.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission, ainsi qu’aux gouvernements et aux parlements des États membres et de la République socialiste du Viêt Nam.

(1) Textes adoptés de cette date, P8_TA-PROV(2019)0141.


Accord de partenariat volontaire UE-Viêt Nam sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (résolution)
PDF 164kWORD 52k
Résolution non législative du Parlement européen du 12 mars 2019 contenant une proposition de résolution non législative sur le projet de décision du Conseil relative à la conclusion de l’accord de partenariat volontaire entre l’Union européenne et la République socialiste du Viêt Nam sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (10861/2018 – C8-0445/2018 – 2018/0272M(NLE))
P8_TA-PROV(2019)0141A8-0093/2019

Le Parlement européen,

–  vu le projet de décision du Conseil relative à la conclusion de l’accord de partenariat volontaire entre l’Union européenne et la République socialiste du Viêt Nam sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (10861/2018),

–  vu le projet d’accord de partenariat volontaire du 9 octobre 2018 entre l’Union européenne et la République socialiste du Viêt Nam sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (10877/2018),

–  vu la demande d'approbation présentée par le Conseil conformément à l’article 207, paragraphe 3, premier alinéa, et paragraphe 4, premier alinéa, en liaison avec l’article 218, paragraphe 6, deuxième alinéa, point a) v), et l’article 218, paragraphe 7, du traité sur le fonctionnement de l'Union européenne (C8-0445/2018),

–  vu l’accord-cadre global de partenariat et de coopération entre l'Union européenne et ses États membres, d'une part, et la République socialiste du Viêt Nam, d'autre part(1),

–  vu le projet d’accord de libre-échange entre l’Union européenne et la République socialiste du Viêt Nam,

–  vu le projet d’accord de protection des investissements entre l’Union européenne et ses États membres, d’une part, et la République socialiste du Viêt Nam, d’autre part,

–  vu le règlement (CE) n° 2173/2005 du Conseil du 20 décembre 2005 concernant la mise en place d'un régime d'autorisation FLEGT relatif aux importations de bois dans la Communauté européenne(2) (ci-après, le «règlement FLEGT),

–  vu la proposition de la Commission en vue d’un plan d'action européen sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (COM(2003)0251),

–  vu les conclusions du Conseil du 28 juin 2016 sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (10721/2016),

–  vu le règlement (UE) nº 995/2010 du Parlement européen et du Conseil du 20 octobre 2010 établissant les obligations des opérateurs qui mettent du bois et des produits dérivés sur le marché(3) (règlement européen sur le bois),

–  vu le rapport de l’Agence de recherche sur l'environnement du 31 mai 2018, intitulé «Serial Offender: Vietnam’s continued imports of illegal Cambodian timber»(4), et du 25 septembre 2018, intitulé «Vietnam in Violation: Action required on fake CITES permits for rosewood trade»(5),

–  vu les objectifs de développement durable (ODD) des Nations unies pour la période 2015-2030,

–  vu l’accord de Paris conclu le 12 décembre 2015 lors de la 21e Conférence des parties à la convention-cadre des Nations unies sur les changements climatiques (COP 21),

–  vu le défi de Bonn de 2011, qui vise à restaurer 150 millions d'hectares de terres déboisées et dégradées dans le monde à l’horizon 2020 et 350 millions à l’horizon 2030,

–  vu le rapport publié par le Programme des Nations unies pour l’environnement (PNUE) en 2012 intitulé «Carbone vert, marché noir: exploitation illégale, fraude fiscale et blanchiment dans les forêts tropicales du monde»(6)

–  vu les conventions des Nations unies pour lutter contre la criminalité et la corruption, notamment la convention contre la criminalité transnationale organisée et la convention des Nations unies contre la corruption,

–  vu sa résolution législative du 12 mars 2019(7) sur le projet de décision du Conseil,

–  vu l'article 99, paragraphe 2, de son règlement,

–  vu le rapport de la commission du commerce international et l’avis de la commission du développement (A8-0093/2019),

A.  considérant que le Viêt Nam a été le troisième pays d’Asie à entamer des négociations sur un accord de partenariat volontaire sur l’application des réglementations forestières, la gouvernance et les échanges commerciaux (FLEGT) en 2010, après l’Indonésie et la Malaisie; que les négociations ont été conclues en mai 2017 et que l’accord a été signé le 19 octobre 2018;

B.  considérant que l’accord de partenariat volontaire a pour objectif de mettre en place un cadre juridique visant à garantir que toutes les importations de bois et de produits dérivés du bois entrant dans l’UE en provenance du Viet Nam aient été produites légalement; que les APV sont généralement destinés à favoriser les changements systémiques dans le secteur forestier en vue d’une gestion durable des forêts, à éradiquer l’exploitation illégale des forêts, ainsi qu’à soutenir les efforts déployés à l’échelle mondiale pour mettre un terme à la déforestation et à la dégradation des forêts;

C.  considérant que le Viêt Nam est un pays important dans le contexte des échanges de bois, que son secteur de la transformation du bois, orienté vers l’exportation, est le quatrième au monde et vise à devenir le premier; que, en tant que centre de transformation, le Vietnam est un exportateur majeur de produits du bois à destination de l’Union européenne mais également de pays de la région, notamment la Chine et le Japon;

D.  considérant que le Viêt Nam est un importateur majeur de bois et de produits du bois, ses usines ayant consommé quelque 34 millions de mètres cubes de bois et de produits du bois en 2017, dont 25 % étaient importés et 75 % provenaient de plantations nationales, détenues et gérées dans de nombreux cas par de petits exploitants; que la valeur des importations a augmenté de 68 % sur la période 2011 – 2017; que, ces dernières années, le Viêt Nam a accompli des progrès considérables dans la réduction de la déforestation au niveau national et a augmenté sa surface boisée, passant de 37 % en 2005 à 41,65 % en 2018, en comptant les plantations industrielles; que le Viêt Nam fait appliquer l’interdiction d'exploiter les forêts naturelles nationales depuis 2016;

E.  considérant qu’en 2017, les principaux pays d’origine des grumes et du bois scié ont été le Cameroun, les États-Unis et le Cambodge, la république démocratique du Congo étant également un fournisseur notable; que, depuis 2015, le Cambodge est le deuxième fournisseur du Viêt Nam en bois tropical, même s’il est fait état d’une interdiction(8) des exportations à destination du Viêt Nam; que l'on relève une augmentation de 43 % en termes de volume, et de 40% en termes de valeur, des importations en provenance des pays africains entre 2016 et 2017; que des ONG expertes du sujet ont souligné que le bois exporté du Cambodge et de la République démocratique du Congo devrait être considéré comme présentant un «risque élevé», sachant que le bois brut est souvent importé de pays caractérisés par une gouvernance faible, des niveaux élevés de corruption ou de conflits, avec un grand risque d’illégalité dans la récolte du bois;

F.  considérant que le Cambodge a le cinquième taux de déforestation au monde et que les statistiques des Nations unies montrent que la couverture forestière du Cambodge est passée de 73 % en 1990 à 57 % en 2010;

G.  considérant que, en vertu de l’article 3 du décret nº 131 du 28 novembre 2006, le Cambodge interdit l'exportation des bois ronds, sauf s'ils proviennent de plantations, du bois brut de sciage, sauf s'il provient de plantations, et du bois de forme carrée et rectangulaire dont l’épaisseur et la largeur sont supérieures à 25 cm(9); que toutes les exportations de produits du bois forestier naturel provenant du Cambodge sont en principe considérées comme contraires au droit cambodgien; que, dans le cadre de l’accord de partenariat volontaire, le Viêt Nam s’est engagé à n’importer que du bois récolté légalement conformément à la législation nationale du pays d’origine;

H.  considérant qu’en vertu d’un accord de partenariat volontaire, un pays s’engage à mettre en place une politique visant à s’assurer que seul du bois et des produits du bois dont la légalité a été vérifiée seront exportés vers l’Union européenne(10); que le Viêt Nam devra adopter une législation mettant en place le système de garantie de la légalité du bois et instituer les structures et capacités administratives nécessaires pour mettre en œuvre et faire appliquer ses engagements au titre de l’accord de partenariat volontaire; que cet accord de partenariat volontaire s’appliquera au bois et aux produits du bois destinés à la fois au marché national et aux marchés d’exportation, sauf pour l’étape finale du régime d’autorisation FLEGT, qui, pour l’instant, concerne uniquement les exportations à destination de l’Union européenne;

I.  considérant que le Viêt Nam s’est engagé à adopter une législation garantissant que seul du bois légalement produit(11) soit importé sur son marché, sur la base d’obligations de diligence pour les importateurs de bois et de produits du bois; que le Viêt Nam s’est également engagé à reconnaître les lois applicables des pays de récolte comme faisant partie de la définition de légalité au titre de l’accord de partenariat volontaire;

J.  considérant que la promotion de cet accord de partenariat volontaire dans la région serait un vecteur important pour l’intégration économique et le respect des objectifs internationaux en matière de développement durable; que la conclusion de nouveaux accords de partenariat volontaire, notamment avec la Chine, pays frontalier du Viêt Nam et acteur incontournable dans la filière du bois transformé, permettrait d'apporter des garanties quant à la légalité ainsi qu'à la viabilité du commerce du bois et de produits dérivés du bois dans la région;

K.  considérant que le Viêt Nam ne pourra accéder au régime d’autorisation FLEGT de l’UE qu’une fois qu’il aura fait la preuve de la pleine mise en œuvre de tous les engagements au titre de l’accord de partenariat volontaire(12) et qu’il aura mis en place les capacités nécessaires pour faire appliquer la législation nationale correspondante; que le bois importé en vertu d’une autorisation FLEGT est présumé légal au titre du règlement sur le bois de l’Union européenne; que l’accession du Viêt Nam au régime d’autorisation FLEGT est approuvée par la voie d’un acte délégué;

L.  considérant que l’accord de libre-échange UE-Viêt Nam libéralisera les échanges de bois et de produits du bois lors de son entrée en vigueur et que les importations en provenance du Viêt Nam seront couvertes par les obligations générales de diligence du règlement sur le bois de l’Union européenne jusqu’au début du régime d’autorisation FLEGT(13);

1.  rappelle qu’une gestion et une gouvernance durables et inclusives des forêts sont essentielles pour atteindre les objectifs fixés dans le programme de développement durable à l’horizon 2030 et l’accord de Paris;

2.  invite l’Union à veiller à la cohérence de l’accord avec toutes ses politiques, y compris dans les domaines du développement, de l’environnement, de l’agriculture et du commerce;

3.  soutient fermement le processus FLEGT avec le Viêt Nam, vu le rôle du pays dans le secteur de la transformation du bois; se félicite de la signature de l’accord de partenariat volontaire, un accord conçu pour induire progressivement une réforme politique complète dans le pays, afin de supprimer le bois produit illégalement des chaînes d’approvisionnement des exploitants vietnamiens; se félicite de l’engagement du Viêt Nam et des progrès enregistrés jusqu’à présent et est conscient que la pleine mise en œuvre de l’accord de partenariat volontaire sera un processus de longue haleine, comprenant non seulement l’adoption d’un ensemble législatif complet (système de garantie de la légalité du bois) mais garantissant également la mise en place d’une capacité administrative et d’une expertise suffisantes pour la mise en œuvre et l’application de l’accord de partenariat volontaire; rappelle que le régime d’autorisation FLEGT ne pourra démarrer qu’une fois que le Viêt Nam aura démontré l’état de préparation de son système de garantie de la légalité du bois; prend acte des défis que représente la coordination entre le niveau de l’État et celui des provinces, qui est nécessaire pour faire appliquer de façon correcte et cohérente l’accord de partenariat volontaire dans l’ensemble du pays, et demande au gouvernement du Viêt Nam d’assurer cette coordination;

4.  rappelle que la mise en œuvre de l’accord de partenariat volontaire doit compléter les engagements de l’Union en matière de protection de l’environnement et veiller à la cohérence avec les engagements de prévention de la déforestation massive;

5.  invite la Commission et le Service européen pour l’action extérieure (SEAE) à allouer des ressources humaines suffisantes pour la mise en œuvre du présent accord de partenariat volontaire, notamment en prévoyant des ressources suffisantes pour la délégation de l’Union à Hanoï, ainsi qu’à allouer des ressources financières au Viêt Nam dans le cadre des instruments de coopération au développement actuels et futurs, qui seront spécifiquement affectées à la mise en œuvre de l’accord; encourage la Commission et le SEAE à aider les autorités vietnamiennes et la société civile, notamment en mettant à leur disposition des images satellitaires; invite l’Union européenne à orienter ses efforts vers le renforcement du cadre juridique et des capacités institutionnelles du Viêt Nam, en s’attaquant aux problèmes techniques et économiques qui entravent la mise en œuvre et l’application effectives des réglementations nationales et internationales existantes;

6.  prend acte des engagements pris par l’industrie du bois du Viêt Nam en ce qui concerne l’élimination des bois illégaux des chaînes d’approvisionnement et la sensibilisation à ces questions; souligne toutefois l'importance d’un changement d’état d’esprit au sein de l’industrie et d'une application rigoureuse des règles; rappelle que la présence de bois illégal dans les chaînes d’approvisionnement risque de porter atteinte à la réputation de l’industrie de transformation vietnamienne;

7.  est conscient, cependant, que, par le passé, le Viêt Nam a été confronté à de considérables difficultés dans la lutte contre le commerce de bois illégal originaire du Laos et, ces dernières années, du Cambodge; estime que, dans de tels cas, le Viêt Nam et les pays fournisseurs sont conjointement responsables de l’alimentation de ce commerce illégal, étant donné que les autorités vietnamiennes, notamment au niveau provincial, ont pris officiellement des décisions qui contreviennent à la législation du pays de récolte, avec par exemple la gestion de quotas d’importation officiels;

8.  se félicite de l’engagement du Viêt Nam à adopter une législation garantissant que seul du bois légalement produit est importé sur son marché, sur la base d’obligations de diligence pour les importateurs, ce qui est l’une des principales réalisations de l’accord de partenariat volontaire; rappelle que les obligations de diligence ne devraient pas se réduire à un simple exercice formel mais qu’elles devraient comprendre toutes les mesures nécessaires – comme la collecte d’informations, l’évaluation des risques et la prise de mesures supplémentaires pour atténuer tout risque recensé et ramener le niveau de risque à «négligeable» – à mettre en œuvre par les autorités nationales compétentes à travers des contrôles rigoureux et systématiques des différentes entreprises; souligne que faire respecter les obligations de diligence par l’intermédiaire des autorités douanières est un enjeu qui nécessitera une formation adéquate; rappelle que les autorités vietnamiennes devraient adopter un système relatif au devoir de diligence correspondant à celui qui est détaillé dans le règlement de l’Union européenne sur le bois et souligne la nécessité de prévoir des contributions de tiers indépendants dans la législation nationale relative au devoir de diligence; encourage les autorités vietnamiennes à considérer le contrôle par des tiers et la publication d’informations par les entreprises comme des exigences de leur système relatif au devoir de diligence ainsi qu’à apporter un soutien suffisant aux entreprises pour leur permettre de satisfaire à leurs obligations et à éviter de faire peser sur les fournisseurs de bois à usage domestique des charges disproportionnées, tout en évitant de créer des failles;

9.  invite le gouvernement du Viêt Nam à prévoir des sanctions adéquates, dissuasives et proportionnées pour les infractions à la législation mettant en œuvre le système de garantie de la légalité du bois, ce qui, dans le cas des importations, inclurait une interdiction totale de la mise sur le marché vietnamien du bois illégal, conjointement avec la saisie de ce bois;

10.  se félicite de l’évaluation indépendante et du dispositif de plainte et de retour d’information et invite les autorités vietnamiennes à y donner suite comme il se doit, y compris au moyen d’une action coercitive efficace et dissuasive, le cas échéant; s’attend à ce que ces mécanismes fonctionnent en toute transparence et encouragent le partage d’informations entre la société civile et les autorités chargées de faire appliquer la législation; salue l'engagement du Viêt Nam à assurer un suivi indépendant de la mise en œuvre de l’accord de partenariat volontaire par des organisations de la société civile, des associations forestières, des entreprises, des syndicats, des communautés locales et des personnes vivant dans les zones forestières; souligne qu’il est crucial que ces acteurs participent et qu’ils aient accès à des informations pertinentes et à jour pour pouvoir remplir leur rôle dans ce processus et contribuer davantage à la crédibilité du système de garantie de la légalité du bois et à son renforcement continu; se félicite de l’engagement pris par le Viêt Nam d’autoriser l’accès de la société civile à la base de données nationale sur la sylviculture et encourage le gouvernement à soumettre la législation de mise en œuvre du système de garantie de la légalité du bois à une consultation publique et à tenir compte des réactions qu’il reçoit;

11.  se félicite de la mobilisation des organisations de la société civile pendant et après les négociations sur l’accord de partenariat volontaire, et invite instamment le gouvernement du Viêt Nam à assurer une inclusion réelle et complète pendant toute la phase de mise en œuvre et au-delà, en couvrant l’ensemble du champ d’application de l'accord de partenariat volontaire, y compris les contrôles à l’importation, les obligations de diligence, le système de classification des organisations et la vérification des entreprises fondée sur les risques ainsi que les autorisations FLEGT; souligne qu'il est important d’associer les communautés locales à la fois pour des raisons socio-économiques et afin de garantir la bonne mise en œuvre de la nouvelle loi forestière et des engagements de l'accord de partenariat volontaire;

12.  condamne fermement le commerce illégal de bois à la frontière cambodgienne et invite les autorités des deux pays à mettre fin immédiatement et complètement à ces flux illégaux, dès lors qu’il s’agit d’une absolue nécessité pour que le processus de l’accord de partenariat volontaire puisse se poursuivre avec succès; presse les autorités vietnamiennes de mener des investigations et de destituer et traduire en justice les personnes coupables d’avoir autorisé et géré le commerce illégal à partir du Cambodge et ailleurs; salue la décision récente des autorités vietnamiennes de n’autoriser le commerce du bois que par l’intermédiaire des principales voies internationales, ainsi que de renforcer les capacités de lutte contre le commerce illicite; enjoint aux autorités vietnamiennes de classer immédiatement le bois du Cambodge comme présentant un «risque élevé» et de s’assurer que la législation cambodgienne en matière de récolte et d’exportation du bois est respectée, conformément aux engagements de l’accord de partenariat volontaire; invite les deux pays à favoriser et à améliorer le dialogue, la coopération transfrontalière, l’échange de données commerciales et l’information sur les risques liés au commerce illégal de bois et la législation respective en vigueur, et les encourage à associer l’Union pour faciliter ce dialogue; encourage le Viêt Nam et le Cambodge à demander l’aide d’Interpol et à œuvrer ensemble à des mesures efficaces et de long terme pour lutter contre l’exploitation illégale généralisée des forêts et le trafic transfrontalier de bois à destination du Viêt Nam; invite les autorités vietnamiennes à appliquer les mêmes mesures aux importations originaires d’autres pays fournisseurs où des préoccupations similaires existent ou seraient susceptibles d'émerger, notamment les pays d'Afrique comme la République démocratique du Congo (RDC);

13.  souligne qu'il faut se pencher sur la dimension régionale de l’exploitation forestière illégale ainsi que du transport, de la transformation et du commerce du bois d’origine illégale tout au long de la chaîne d’approvisionnement; demande que cette dimension régionale apparaisse dans le processus d'évaluation de l'accord de partenariat volontaire sous la forme d’une évaluation du lien entre l’existence de mécanismes de mise en œuvre plus faibles dans d’autres pays de la région et l’augmentation des exportations en provenance de ces pays vers l’Union;

14.  souligne que la faiblesse de la gouvernance et la corruption dans le secteur forestier accélèrent l’exploitation illégale et la dégradation des forêts et insiste sur le fait que le succès de l’initiative FLEGT dépend également de la lutte contre la fraude et la corruption tout au long de la chaîne d’approvisionnement en bois; presse le gouvernement du Viêt Nam de s’employer à mettre un terme à la corruption généralisée et de s’attaquer à d’autres facteurs qui alimentent ce commerce, en particulier par rapport aux autorités douanières, et autres, qui joueront un rôle essentiel dans la mise en œuvre et l’application de l’accord de partenariat volontaire, ce qui sera un signal concret de la volonté sans faille du Viêt Nam d’appliquer le processus de l’accord de partenariat volontaire; souligne la nécessité de mettre fin à l’impunité dans le secteur forestier en veillant à ce que les infractions fassent l’objet de poursuites;

15.  salue l’adoption récente, par le gouvernement vietnamien, d’un plan d’action pour la mise en œuvre de l’accord de partenariat volontaire, et invite le gouvernement vietnamien à suivre une approche concrète, mesurable et assortie d'échéances; se félicite de l’entrée en vigueur de la nouvelle loi forestière, le 1er janvier 2019, qui prévoit l’interdiction d’importer au Viêt Nam du bois produit illégalement et invite instamment les autorités vietnamiennes à faire respecter cette interdiction et à adopter rapidement des mesures de mise en œuvre, s’il y a lieu, afin d’assurer la transition jusqu’à ce que le système de garantie de la légalité du bois soit opérationnel;

16.  se félicite de l’inclusion de dispositions relatives à la gestion durable des forêts dans l’accord de libre-échange UE-Viêt Nam, lesquelles dispositions établissent également un lien avec l’accord de partenariat volontaire; invite la Commission à accorder une attention particulière au commerce du bois et des produits dérivés lors de la mise en œuvre de l’ALE et à surveiller de près les flux commerciaux, afin de s’assurer que la libéralisation accrue des échanges n'augmente pas les risques de commerce illégal;

17.  demande à la Commission de rendre compte chaque année au Parlement des progrès accomplis par le Viêt Nam dans la mise en œuvre de l’accord de partenariat volontaire, y compris au regard des exigences de la présente résolution, ainsi que des activités du comité conjoint de mise en œuvre, afin de permettre une décision en toute connaissance de cause lorsque l’acte délégué autorisant l’acceptation des autorisations FLEGT sera proposé; demande à la Commission de se pencher sur l’amélioration du règlement concernant les autorisations FLEGT lors du prochain exercice de révision afin de lui permettre de réagir rapidement aux cas d’infractions graves des engagements au titre de l’accord de partenariat volontaire;

18.  invite la Commission à favoriser le dialogue et à promouvoir le règlement sur le bois de l'UE auprès des principaux pays importateurs de la région et partenaires commerciaux de l’UE, tels que la Chine et le Japon, et à continuer à donner la priorité, dans les relations bilatérales avec ces pays, y compris les relations commerciales, aux solutions concrètes pour mettre un terme au commerce illégal de bois, le but étant de créer des conditions de concurrence équitables au niveau mondial pour s’attaquer à ce phénomène; soutient la Commission dans le lancement de négociations sur des accords de partenariat volontaire avec les pays voisins du Viêt Nam dès que les conditions nécessaires seront remplies, et souligne l’importance des accords de partenariat volontaire FLEGT dans les futurs instruments de développement et de coopération; invite la Commission à mettre en place des instruments pour faciliter les échanges de bonnes pratiques entre le Viêt Nam et d’autres pays qui ont déjà conclu des accords de partenariat volontaire avec l’Union européenne;

19.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission, ainsi qu'aux gouvernements et aux parlements des États membres, de la République socialiste du Viêt Nam et du Royaume du Cambodge.

(1) JO L 329 du 3.12.2016, p. 8.
(2) JO L 347 du 30.12.2005, p. 1.
(3) JO L 295 du 12.11.2010, p. 23.
(4) https://eia-international.org/wp-content/uploads/eia-serial-offender-web.pdf
(5) https://eia-international.org/report/vietnam-violation-action-required-fake-cites-permits-rosewood-trade/
(6) Nellemann, C., INTERPOL Environmental Crime Programme (eds). 2012. Carbone vert, marché noir: exploitation illégale, fraude fiscale et blanchiment dans les forêts tropicales du monde. Évaluation pour une réaction rapide. Programme des Nations unies pour l’environnement, GRIDArendal, http://wedocs.unep.org/bitstream/handle/20.500.11822/8030/Green%20carbon%20Black%20Trade_%20Illegal %20logging.pdf?sequence=5&isAllowed=y
(7) Textes adoptés de cette date, P8_TA-PROV(2019)0140.
(8) https://www.phnompenhpost.com/national/despite-ban-timber-exports-vietnam-nearing-2016-total
(9) https://eia-international.org/wp-content/uploads/eia-serial-offender-web.pdf , p. 6.
(10) L’accord de partenariat volontaire couvre l’ensemble des principaux produits exportés vers l’UE, en particulier les cinq produits du bois obligatoires au sens du règlement FLEGT de 2005 (grumes, bois scié, traverses de chemin de fer, bois contre-plaqué et bois de placage) et comprend également plusieurs autres produits du bois tels que particules de copeaux, parquet, panneaux de particules et meubles en bois. L’accord couvre les exportations vers tous les pays tiers bien que, au départ au moins, le régime d’autorisation ne s’applique qu’aux exportations vers l’Union.
(11) Selon l’article 2, point j), de l’accord de partenariat volontaire, on entend par «bois produit légalement» (ci-après dénommé «bois d'origine légale»): les produits du bois récoltés ou importés et produits conformément à la législation du Viêt Nam figurant à l’annexe II et aux autres dispositions pertinentes du présent accord; dans le cas de bois importé, il s’agit de produits du bois récoltés, produits et exportés conformément à la législation pertinente du pays de récolte et aux procédures décrites à l’annexe V»
(12) L’état de préparation du système de garantie de la légalité du bois du Viêt Nam pour le régime d’autorisation FLEGT sera d’abord évalué en commun par l’UE et le Viêt Nam. Le régime d’autorisation ne pourra démarrer que si les deux parties conviennent que le système est suffisamment solide.
(13) Article 13.8, paragraphe 2, point a): [Chaque partie] encourage la promotion du commerce de produits forestiers issus de forêts gérées de manière durable et récoltés conformément à la législation nationale du pays de récolte; cela peut inclure la conclusion d'un accord de partenariat volontaire FLEGT (application des réglementations forestières, gouvernance et échanges commerciaux).


Protocole d’amendement à la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ***
PDF 118kWORD 41k
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de décision du Conseil autorisant les États membres à ratifier, dans l’intérêt de l’Union européenne, le protocole d’amendement à la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (10923/2018 – C8-0440/2018 – 2018/0238(NLE))
P8_TA-PROV(2019)0142A8-0070/2019

(Approbation)

Le Parlement européen,

–  vu le projet de décision du Conseil (10923/2018),

–  vu le protocole d’amendement à la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n° 108) (STCE n° 223),

–  vu la demande d’approbation présentée par le Conseil conformément à l’article 16 et à l’article 218, paragraphe 6, deuxième alinéa, point a) v), du traité sur le fonctionnement de l’Union européenne (C8-0440/2018),

–  vu l’article 99, paragraphes 1 et 4, ainsi que l’article 108, paragraphe 7, de son règlement intérieur,

–  vu la recommandation de la commission des libertés civiles, de la justice et des affaires intérieures (A8-0070/2019),

1.  donne son approbation au projet de décision du Conseil;

2.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission, ainsi qu’aux gouvernements et aux parlements des États membres et au Conseil de l’Europe.


Proposition de décision du Conseil autorisant les États membres à devenir parties à la convention du Conseil de l’Europe sur une approche intégrée de la sécurité, de la sûreté et des services lors des matches de football et autres manifestations sportives ***
PDF 122kWORD 41k
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de décision du Conseil autorisant les États membres à devenir parties, dans l’intérêt de l’Union européenne, à la convention du Conseil de l’Europe sur une approche intégrée de la sécurité, de la sûreté et des services lors des matches de football et autres manifestations sportives (STCE nº 218) (12527/2018 – C8-0436/2018 – 2018/0116(NLE))
P8_TA-PROV(2019)0143A8-0080/2019

(Approbation)

Le Parlement européen,

–  vu le projet de décision du Conseil (12527/2018),

–  vu la convention du Conseil de l’Europe sur une approche intégrée de la sécurité, de la sûreté et des services lors des matches de football et autres manifestations sportives (STCE no 218),

–  vu la demande d’approbation présentée par le Conseil conformément à l’article 87, paragraphe 1, à l’article 218, paragraphe 6, deuxième alinéa, point a), v), et à l’article 218, paragraphe 8, du traité sur le fonctionnement de l’Union européenne (C8-0436/2018),

–  vu la décision 2002/348/JAI du Conseil du 25 avril 2002 concernant la sécurité lors de matches de football revêtant une dimension internationale(1),

–  vu la résolution du Parlement européen du 2 février 2017 sur une approche intégrée de la politique des sports: bonne gouvernance, accessibilité et intégrité(2),

–  vu l’article 99, paragraphes 1 et 4, ainsi que l’article 108, paragraphe 7, de son règlement intérieur,

–  vu la recommandation de la commission des libertés civiles, de la justice et des affaires intérieures et l’avis de la commission de la culture et de l’éducation (A8-0080/2019),

1.  donne son approbation au projet de décision du Conseil;

2.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission, ainsi qu’aux gouvernements et aux parlements des États membres et au Conseil de l’Europe.

(1) JO L 121 du 8.5.2002, p. 1.
(2) JO C 252 du 18.7.2018, p. 2.


Protocole modifiant l’accord UE-Chine relatif aux transports maritimes (adhésion de la Croatie) ***
PDF 120kWORD 40k
Résolution législative du Parlement européen du 12 mars 2019 sur le projet de décision du Conseil relative à la conclusion, au nom de l’Union et des États membres, d’un protocole modifiant l’accord entre la Communauté européenne et ses États membres, d’une part, et le gouvernement de la République populaire de Chine, d’autre part, relatif aux transports maritimes, pour tenir compte de l’adhésion de la République de Croatie à l’Union européenne (05083/2015 – C8-0022/2019 – 2014/0327(NLE))
P8_TA-PROV(2019)0144A8-0168/2019

(Approbation)

Le Parlement européen,

–  vu le projet de décision du Conseil (05083/2015),

–  vu le projet de protocole modifiant l’accord entre la Communauté européenne et ses États membres, d'une part, et le gouvernement de la république populaire de Chine, d'autre part, relatif aux transports maritimes (05880/2015),

–  vu la demande d’approbation présentée par le Conseil conformément à l’article 100, paragraphe 2, et à l’article 218, paragraphe 6, deuxième alinéa, point a), du traité sur le fonctionnement de l’Union européenne (C8-0022/2019),

–  vu l’article 99, paragraphes 1 et 4, ainsi que l’article 108, paragraphe 7, de son règlement intérieur,

–  vu la recommandation de la commission des transports et du tourisme (A8-0168/2019),

1.  donne son approbation à la conclusion du protocole;

2.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission, ainsi qu’aux gouvernements et aux parlements des États membres et de la République populaire de Chine.


Accord euro-méditerranéen UE-Égypte (adhésion de la Croatie) ***
PDF 120kWORD 40k
Résolution législative du Parlement européen du 12 mars 2019 sur le projet de décision du Conseil relative à la conclusion, au nom de l’Union européenne et de ses États membres, d’un protocole à l’accord euro-méditerranéen établissant une association entre les Communautés européennes et leurs États membres, d’une part, et la République arabe d’Égypte, d’autre part, visant à tenir compte de l’adhésion de la République de Croatie à l’Union européenne (10219/2016 – C8-0135/2017 – 2016/0121(NLE))
P8_TA-PROV(2019)0145A8-0025/2019

(Approbation)

Le Parlement européen,

–  vu le projet de décision du Conseil (10219/2016),

–  vu le projet de protocole à l’accord euro-méditerranéen établissant une association entre les Communautés européennes et leurs États membres, d’une part, et la République arabe d’Égypte, d’autre part, visant à tenir compte de l’adhésion de la République de Croatie à l’Union européenne (10221/2016),

–  vu la demande d’approbation présentée par le Conseil conformément à l’article 217 et à l’article 218, paragraphe 6, deuxième alinéa, point a), du traité sur le fonctionnement de l’Union européenne (C8-0135/2017),

–  vu l’article 99, paragraphes 1 et 4, ainsi que l’article 108, paragraphe 7, de son règlement intérieur,

–  vu la recommandation de la commission des affaires étrangères (A8-0025/2019),

1.  donne son approbation à la conclusion du protocole;

2.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission, ainsi qu’aux gouvernements et aux parlements des États membres et de la République arabe d’Égypte.


Accord de partenariat et de coopération UE-Turkménistan
PDF 153kWORD 46k
Résolution du Parlement européen du 12 mars 2019 sur le projet de décision du Conseil et de la Commission relative à la conclusion, par l’Union européenne et la Communauté européenne de l’énergie atomique, de l’accord de partenariat et de coopération établissant un partenariat entre les Communautés européennes et leurs États membres, d’une part, et le Turkménistan, d’autre part (12183/1/2011 – C8-0059/2015 – 1998/0031R(NLE))
P8_TA-PROV(2019)0146A8-0072/2019

Le Parlement européen,

–  vu le projet de décision du Conseil et de la Commission (12183/1/2011),

–  vu le projet d’accord de partenariat et de coopération établissant un partenariat entre les Communautés européennes et leurs États membres, d’une part, et le Turkménistan, d’autre part (12288/2011),

–  vu la demande d’approbation présentée par le Conseil conformément à l’article 91, à l’article 100, paragraphe 2, aux articles 207 et 209 et à l’article 218, paragraphe 6, point a), du traité sur le fonctionnement de l’Union européenne, et conformément à l’article 101, deuxième alinéa, du traité instituant la Communauté européenne de l’énergie atomique (C8-0059/2015),

–  vu ses résolutions antérieures sur la région de l’Asie centrale, en particulier celles du 20 février 2008 sur une stratégie européenne en Asie centrale(1), du 15 décembre 2011 sur l’état de la mise en œuvre de la stratégie européenne en Asie centrale(2), du 13 avril 2016 sur la mise en œuvre et la révision de la stratégie de l’UE pour l’Asie centrale(3) et du 22 avril 2009 sur l’accord commercial intérimaire avec le Turkménistan(4), et sa résolution du 14 février 2006 sur la clause relative aux droits de l’homme et à la démocratie dans les accords de l’Union européenne(5),

–  vu l’accord intérimaire de 1999 sur le commerce et les mesures d’accompagnement entre la Communauté européenne, la Communauté européenne du charbon et de l’acier et la Communauté européenne de l’énergie atomique, d’une part, et le Turkménistan, d’autre part, conclu par le Conseil le 27 juillet 2009 (5144/1999), et les réunions régulières de la commission mixte instituée en vertu de celui-ci,

–  vu le protocole d’accord sur l’énergie signé en mai 2008 entre l’Union européenne et le Turkménistan,

–  vu le pacte international relatif aux droits civils et politiques (PIDCP) et le pacte international relatif aux droits économiques, sociaux et culturels (PIDESC), auxquels le Turkménistan est partie,

–  vu le dialogue annuel sur les droits de l’homme entre l’Union européenne et le Turkménistan,

–  vu l’engagement pris par la vice-présidente de la Commission/haute représentante de l’Union pour les affaires étrangères et la politique de sécurité dans la lettre qu’elle a adressée le 16 décembre 2015 à la commission des affaires étrangères, qui porte sur les aspects mentionnés au paragraphe 3 ci-après,

–  vu la lettre adressée le 5 juillet 2018 par la vice-présidente/haute représentante au président de la commission des affaires étrangères, dans laquelle elle fait part de son soutien à l’accord de partenariat et de coopération (APC) avec le Turkménistan,

–  vu l’article 99, paragraphe 5, de son règlement intérieur,

–  vu le rapport intérimaire de la commission des affaires étrangères (A8-0072/2019),

A.  considérant que l’Asie centrale est une région dans laquelle l’Union européenne est de plus en plus engagée;

B.  considérant qu’un accord de partenariat et de coopération (APC) avec le Turkménistan a été paraphé en 1997 et signé en 1998; que 14 États membres des 15 signataires initiaux ont depuis lors ratifié l’APC (le Royaume-Uni étant la dernière partie restante); que le Turkménistan a ratifié l’APC en 2004; que l’adhésion à l’APC par les États membres qui ont adhéré à l’Union après la signature de l’accord fait l’objet d’un protocole et d’une procédure de ratification distincts;

C.  considérant que l’APC, une fois pleinement ratifié, sera conclu pour une période initiale de dix ans, puis renouvelé chaque année, ce qui permet à l’Union de se retirer de l’accord si de graves doutes se posent au sujet du respect des droits de l’homme ou d’autres infractions graves; que les parties peuvent modifier l’APC afin de tenir compte de nouveaux éléments;

D.  considérant qu’en avril 2009, le Parlement européen a été consulté par le Conseil en ce qui concerne l’accord commercial intérimaire avec le Turkménistan, dans le cadre d’une procédure facultative et juridiquement non contraignante;

E.  considérant que l’Organisation pour la sécurité et la coopération en Europe (OSCE) et la Banque européenne pour la reconstruction et le développement (BERD) ont fixé leurs critères de référence à l’aune desquels il convient de mesurer les progrès accomplis au Turkménistan et les critères autorisant la poursuite de la coopération, conformément aux normes internationalement reconnues en matière d’état de droit, de bonne gouvernance et de droits de l’homme;

F.  considérant que le respect de la démocratie, des droits fondamentaux et des droits de l’homme, ainsi que le respect des principes de l’économie de marché, qui constituent des éléments essentiels de l’accord commercial intérimaire (tels qu’énoncés à la fois à l’article 1er dudit accord et à l’article 2 de l’APC), devraient rester des objectifs à long terme pour le Turkménistan; que la suspension unilatérale de l’application de l’accord est possible en cas de violation de ces éléments par l’une des parties;

G.  considérant qu’à la suite des considérations du projet de recommandation visant à ce que le Parlement donne son approbation à la conclusion de l’APC, et de son projet de rapport annexe du 8 mai 2015 contenant une proposition de résolution, la commission des affaires étrangères a décidé de suspendre temporairement la procédure le 24 mai 2016 jusqu’à ce qu’elle constate la réalisation de progrès suffisants en matière de respect des droits de l’homme et de l’état de droit et décide d’ouvrir la procédure intérimaire actuelle;

H.  considérant que le maintien de la validité des critères de référence pour l’avancement des droits de l’homme pour le Turkménistan, tels qu’exposés par le Parlement dans ses résolutions antérieures, revêt une importance capitale si l’on souhaite une politique de l’Union cohérente et fondée sur des principes en ce concerne les relations avec ce pays;

I.  considérant que le Turkménistan a adopté en 2015 un plan d’action national sur les droits de l’homme pour la période 2016-2020 (PANDH), élaboré en 2013 avec l’aide du programme des Nations unies pour le développement;

J.  considérant que le Turkménistan a conclu des accords internationaux, tels que le PIDCP, le PIDESC et les conventions de l’OIT;

1.  demande au Conseil, à la Commission et à la vice-présidente de la Commission/haute représentante de l’Union pour les affaires étrangères et la politique de sécurité (VP/HR) de fixer d’urgence les critères de référence à court terme suivants pour mesurer les progrès durables accomplis par les autorités du Turkménistan, sur la base des recommandations des Nations unies, de l’OSCE et de la BERD, et avant de donner son approbation à l’APC:

Système politique, état de droit et bonne gouvernance

Droits de l’homme et libertés fondamentales

   i) une séparation claire entre les pouvoirs exécutif, législatif et judiciaire et, notamment la possibilité et la garantie d’une réelle participation de la population aux processus décisionnels de l’État, y compris une concertation avec des experts internationaux, tels que la Commission de Venise du Conseil de l’Europe et le Bureau des institutions démocratiques et des droits de l’homme (BIDDH) de l’OSCE, sur la conformité de la Constitution du Turkménistan avec ces principes démocratiques, et une volonté affichée de la part du Turkménistan de tenir compte des recommandations de réformes proposées par ces organisations;
   ii) la suppression des restrictions à la déclaration et au fonctionnement des organisations non gouvernementales;
   iii) la mise en œuvre des engagements pris par le gouvernement turkmène dans son plan d’action national sur les droits de l’homme (PANDH) pour la période 2016-2020;
   iv) la cessation des pratiques de détention secrète, de disparition forcée, de travail forcé et de torture et la communication d’informations sur le sort des personnes disparues ou le lieu où elles se trouvent, afin de permettre aux familles de rester en contact avec les personnes incarcérées; la reconnaissance par les autorités du pays de l’existence de prisonniers politiques et l’octroi aux organisations internationales et observateurs indépendants, notamment le Comité international de la Croix-Rouge, d’un accès sans entrave au pays;
   v) garantir l’accès libre à diverses sources d’information et, en particulier, permettre aux citoyens d’accéder à d’autres sources d’information, y compris les moyens de communication internationaux, et de conserver des appareils de télécommunication, tels que des antennes paraboliques privées ou des connexions internet abordables;
   vi) la cessation des persécutions et des actes d’intimidation à l’encontre des journalistes indépendants et des militants de la société civile et des droits de l’homme établis dans le pays et à l’étranger, y compris des membres de leur famille; la garantie de la liberté d’expression et de réunion;
   vii) autoriser les visites de la part des Nations unies et des organisations internationales et régionales de défense des droits de l’homme qui en ont fait la demande et attendent toujours une réponse;
   viii) mettre un terme au système informel et arbitraire d’interdictions de voyage et garantir que les personnes qui se sont vu refuser l’autorisation de quitter le pays soient en mesure de circuler librement;

2.  demande au Conseil, à la Commission et à la vice-présidente/haute représentante de tenir compte des recommandations à long terme suivantes pour des progrès durables et crédibles:

Système politique, état de droit et bonne gouvernance

Droits de l’homme et libertés fondamentales

   i) le respect des principes de pluralisme politique et de responsabilité démocratique, avec des partis politiques et d’autres organisations qui fonctionnent correctement, à l’abri de toute ingérence;
   ii) la poursuite de la mise en œuvre de réformes à tous les niveaux, conformément aux objectifs de développement durable des Nations unies, et dans tous les domaines de l’administration, en particulier dans le système judiciaire et les services répressifs;
   iii) des garanties solides et efficaces contre la corruption à haut niveau, le blanchiment d’argent, la criminalité organisée et le trafic de stupéfiants;
   iv) la mise en œuvre intégrale de la loi interdisant le travail des enfants;
   v) le respect global de l’exercice pacifique et légitime du droit à la liberté d’expression, à la liberté d’association et à la liberté de religion ou de conviction;
   vi) la liberté générale de circulation des personnes, tant à l’intérieur qu’à l’extérieur du pays;

3.  souligne que le Parlement européen doit suivre et observer de près l’évolution de la situation au Turkménistan et la mise en œuvre de toutes les parties de l’APC, une fois entré en vigueur; invite, dans ce contexte, la vice-présidente/haute représentante à mettre en œuvre et à soutenir publiquement le mécanisme de suivi des droits de l’homme, ce qui permettra au Parlement d’être dûment informé par le Service européen pour l’action extérieure (SEAE) de la mise en œuvre de l’APC, après son entrée en vigueur, et en particulier de ses objectifs et du respect de l’article 2, de sorte qu’il puisse réagir à l’évolution de la situation sur le terrain en cas de violations graves des droits de l’homme démontrées et documentées; met en avant la possibilité d’un mécanisme visant à suspendre l’APC si de tels cas se présentent et se félicite, à cet égard, de la lettre adressée le 16 décembre 2015 par la vice-présidente/haute représentante à la commission des affaires étrangères, qui contient les objectifs suivants:

   i) la garantie que le Parlement européen sera dûment informé de la mise en œuvre des dispositions de l’APC en matière de droits de l’homme et de démocratisation, y compris l’accès aux informations pertinentes sur l’évolution de la situation des droits de l’homme, de la démocratie et de l’état de droit, et que des informations lui seront communiquées rapidement, à sa demande, avant et après les réunions du Conseil de coopération, sous réserve des règles de confidentialité applicables;
   ii) une interaction plus étroite avec le Parlement européen et la société civile dans l’élaboration des dialogues annuels sur les droits de l’homme et les comptes rendus;
   iii) une consultation du Parlement européen lors de l’élaboration de mises à jour de la stratégie de l’Union européenne sur les droits de l’homme au Turkménistan;

4.  salue la déclaration de la VP/HR de novembre 2018 concernant la mise en place d’une délégation de l’Union à part entière à Achgabat; souligne que la nouvelle délégation devrait élaborer une stratégie de coopération mutuellement bénéfique et adaptée aux conditions et besoins du Turkménistan en matière de développement, surveiller la situation dans le pays, notamment les violations des droits de l’homme et les cas particuliers jugés préoccupants, entamer le dialogue avec les différents acteurs politiques, sociaux et économiques du pays, faciliter la diplomatie sur place et améliorer la gestion et la supervision des projets financés par les instruments de financement extérieur de l’Union;

5.  conclut qu’il envisagera de donner son approbation dès lors qu’il estimera que la Commission, le Conseil, la vice-présidente/haute représentante et les autorités du Turkménistan ont dûment tenu compte des recommandations formulées aux paragraphes 1 et 3;

6.  charge son Président de demander au Conseil, à la Commission et à la vice-présidente/haute représentante de fournir régulièrement au Parlement des informations substantielles sur la situation au Turkménistan;

7.  charge son Président de transmettre la présente résolution au Conseil, à la Commission, à la vice-présidente de la Commission/haute représentante de l’Union pour les affaires étrangères et la politique de sécurité, ainsi qu’au gouvernement et au Parlement du Turkménistan.

(1) JO C 184 E du 6.8.2009, p. 49.
(2) JO C 168 E du 14.6.2013, p. 91.
(3) JO C 58 du 15.2.2018, p. 119.
(4) JO C 184 E du 8.7.2010, p. 20.
(5) JO C 290 E du 29.11.2016, p. 107.


Décision d'exécution concernant le lancement de l'échange automatisé de données pour ce qui est des données ADN au Royaume-Uni *
PDF 120kWORD 40k
Résolution législative du Parlement européen du 12 mars 2019 sur le projet de décision d'exécution du Conseil concernant le lancement de l'échange automatisé de données pour ce qui est des données ADN au Royaume-Uni (13123/2018 – C8-0474/2018 – 2018/0812(CNS))
P8_TA-PROV(2019)0147A8-0092/2019

(Consultation)

Le Parlement européen,

–  vu le projet du Conseil (13123/2018),

–  vu l’article 39, paragraphe 1, du traité sur l’Union européenne, tel que modifié par le traité d’Amsterdam, et l’article 9 du protocole nº 36 sur les dispositions transitoires, conformément auxquels il a été consulté par le Conseil (C8-0164/2018),

–  vu la décision 2008/615/JAI du Conseil du 23 juin 2008 relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière(1), et notamment son article 33,

–  vu l'article 78 quater de son règlement intérieur,

–  vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures (A8-0092/2019),

1.  approuve le projet du Conseil;

2.  invite le Conseil, s’il entend s’écarter du texte approuvé par le Parlement, à en informer celui-ci;

3.  demande au Conseil de le consulter à nouveau s’il entend modifier de manière substantielle le texte approuvé par le Parlement;

4.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission.

(1) JO L 210 du 6.8.2008, p. 1.


Échange d'informations sur les ressortissants de pays tiers et système européen d'information sur les casiers judiciaires (ECRIS) ***I
PDF 206kWORD 56k
Résolution
Texte consolidé
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de directive du Parlement européen et du Conseil modifiant la décision-cadre 2009/315/JAI du Conseil en ce qui concerne les échanges d'informations relatives aux ressortissants de pays tiers ainsi que le système européen d'information sur les casiers judiciaires (ECRIS), et remplaçant la décision 2009/316/JAI du Conseil (COM(2016)0007 – C8-0012/2016 – 2016/0002(COD))
P8_TA-PROV(2019)0148A8-0219/2016

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2016)0007),

–  vu l'article 294, paragraphe 2, et l'article 82, paragraphe 1, deuxième alinéa, point d), du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C8-0012/2016),

–  vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,

–  vu l'accord provisoire approuvé en vertu de l’article 69 septies, paragraphe 4, de son règlement intérieur par la commission compétente et l’engagement pris par le représentant du Conseil, par lettre du 19 décembre 2018, d'approuver la position du Parlement européen, conformément à l'article 294, paragraphe 4, du traité sur le fonctionnement de l'Union européenne,

–  vu l'article 59 de son règlement intérieur,

–  vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures (A8-0219/2016),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau, si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.

Position du Parlement européen arrêtée en première lecture le 12 mars 2019 en vue de l’adoption de la directive (UE) 2019/... du Parlement européen et du Conseil modifiant la décision‑cadre 2009/315/JAI du Conseil en ce qui concerne les échanges d'informations relatives aux ressortissants de pays tiers ainsi que le système européen d'information sur les casiers judiciaires (ECRIS), et remplaçant la décision 2009/316/JAI du Conseil

P8_TC1-COD(2016)0002


LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 82, paragraphe 1, deuxième alinéa, point d),

vu la proposition de la Commission européenne,

après transmission du projet d'acte législatif aux parlements nationaux,

statuant conformément à la procédure législative ordinaire(1),

considérant ce qui suit:

(1)  L'Union s'est donné pour objectif d'offrir à ses citoyens un espace de liberté, de sécurité et de justice sans frontières intérieures, au sein duquel est assurée la libre circulation des personnes. Cet objectif devrait être réalisé au moyen, entre autres, de mesures appropriées visant à prévenir et à lutter contre la criminalité, y compris la criminalité organisée et le terrorisme.

(2)  Cet objectif requiert que les informations relatives aux condamnations prononcées dans les États membres soient prises en compte en dehors de l'État membre de condamnation à l'occasion d'une nouvelle procédure pénale, conformément à la décision‑cadre 2008/675/JAI du Conseil(2), ainsi que pour prévenir de nouvelles infractions.

(3)  Cet objectif suppose des échanges d'informations extraites des casiers judiciaires entre les autorités compétentes des États membres. Ces échanges d'informations sont organisés et facilités par les règles énoncées dans la décision‑cadre 2009/315/JAI du Conseil(3) et par le système européen d'information sur les casiers judiciaires (ECRIS), créé conformément à la décision 2009/316/JAI du Conseil(4).

(4)  Toutefois, le cadre juridique actuel de l'ECRIS ne répond pas suffisamment aux particularités des demandes concernant des ressortissants de pays tiers. Bien qu'il soit déjà possible d'échanger des informations sur les ressortissants de pays tiers au moyen de l'ECRIS, il n'existe pas de procédure ni de mécanisme commun de l'Union permettant de le faire avec efficacité, rapidité et exactitude.

(5)  Au sein de l'Union, les informations relatives aux ressortissants de pays tiers ne sont pas rassemblées, comme c'est le cas pour les ressortissants des États membres - dans l'État membre de nationalité -, mais seulement conservées dans les États membres où les condamnations ont été prononcées. Il n'est donc possible d'avoir un aperçu complet des antécédents judiciaires d'un ressortissant d'un pays tiers qu'en demandant ces informations à tous les États membres.

(6)  De telles demandes générales imposent une charge administrative disproportionnée à tous les États membres, y compris à ceux qui ne détiennent pas d'informations sur le ressortissant d'un pays tiers concerné. Dans la pratique, cette charge dissuade les États membres de demander des informations sur les ressortissants de pays tiers à d'autres États membres, ce qui entrave considérablement l'échange d'informations entre eux, et a pour résultat que l'accès aux informations sur les casiers judiciaires est limité aux informations conservées dans leur registre national. Il existe dès lors un risque accru que les échanges d'informations entre États membres soient inefficaces et incomplets.

(7)  Afin d'améliorer la situation, la Commission a soumis une proposition, qui a conduit à l'adoption du règlement (UE) .../.... du Parlement européen et du Conseil(5)(6) portant création d'un système centralisé au niveau de l'Union, contenant les données à caractère personnel des ressortissants de pays tiers condamnés, permettant l'identification de l'État membre ou des États membres détenant des informations sur leurs condamnations antérieures (ci‑après dénommé "ECRIS‑TCN").

(8)  L'ECRIS‑TCN permettra à l'autorité centrale d'un État membre de déterminer de manière rapide et efficace dans quels autres États membres des informations sur le casier judiciaire d'un ressortissant d'un pays tiers sont conservées, de manière à ce que le cadre actuel de l'ECRIS ▌ puisse être utilisé pour demander à ces États membres des informations sur le casier judiciaire en question conformément à la décision‑cadre 2009/315/JAI.

(9)  L'échange d'informations sur les condamnations pénales est un aspect important de toute stratégie visant à lutter contre la criminalité et le terrorisme. L'utilisation, par les États membres, de toutes les possibilités qu'offre l'ECRIS contribuerait à la réponse de la justice pénale à la radicalisation conduisant au terrorisme et à l'extrémisme violent.

(10)  Afin d'accroître l'utilité des informations relatives aux condamnations et aux mesures d'interdiction consécutives à des condamnations pour infractions sexuelles à l'encontre d'enfants, la directive 2011/93/UE du Parlement européen et du Conseil(7) a établi l'obligation, pour les États membres, de prendre les mesures nécessaires pour faire en sorte que, lors du recrutement d'une personne pour un poste impliquant des contacts directs et réguliers avec des enfants, des informations relatives à l'existence de condamnations pénales pour infractions sexuelles à l'encontre d'enfants inscrites au casier judiciaire ou de mesures d'interdiction consécutives auxdites condamnations pénales soient transmises conformément aux procédures prévues dans la décision‑cadre 2009/315/JAI. Le but de ce mécanisme est de veiller à ce qu'une personne condamnée pour une infraction sexuelle commise à l'égard d'enfants ne puisse pas dissimuler cette condamnation ou cette mesure d'interdiction en vue d'exercer une activité professionnelle impliquant des contacts directs et réguliers avec des enfants dans un autre État membre.

(11)  La présente directive vise à apporter à la décision‑cadre 2009/315/JAI les modifications nécessaires pour permettre un échange d'informations efficace sur les condamnations de ressortissants de pays tiers au moyen de l'ECRIS. Elle oblige les États membres à prendre les mesures nécessaires pour faire en sorte que les condamnations soient accompagnées d'informations sur la nationalité, ou les nationalités, de la personne condamnée, dans la mesure où ils disposent de ces informations. Elle introduit également des procédures pour répondre aux demandes d'information, veille à ce qu'un extrait de casier judiciaire demandé par un ressortissant d'un pays tiers soit complété par des informations provenant d'autres États membres, et prévoit les modifications techniques ▌ requises pour assurer le bon fonctionnement du système d'échange d'informations.

(12)  La directive (UE) 2016/680 du Parlement européen et du Conseil(8) devrait s'appliquer au traitement des données à caractère personnel par les autorités nationales compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Le règlement (UE) 2016/679 du Parlement européen et du Conseil(9) devrait s'appliquer au traitement des données à caractère personnel par les autorités nationales lorsqu'un tel traitement ne relève pas du champ d'application de la directive (UE) 2016/680.

(13)  Afin d'assurer des conditions uniformes d'exécution de la décision‑cadre 2009/315/JAI, il convient d'intégrer les principes de la décision 2009/316/JAI dans ladite décision‑cadre, et de conférer des compétences d'exécution à la Commission. Ces compétences devraient être exercées conformément au règlement (UE) nº 182/2011 du Parlement européen et du Conseil(10).

(14)   L'infrastructure de communication commune utilisée pour l'échange d'informations sur les casiers judiciaires devrait être constituée par les services télématiques transeuropéens sécurisés entre administrations (s‑TESTA), toute nouvelle version de ces services ou tout autre réseau sécurisé.

(15)  Nonobstant la possibilité de recourir aux programmes financiers de l'Union conformément à la réglementation applicable, chaque État membre devrait supporter ses propres frais résultant de la mise en œuvre, de la gestion, de l'utilisation et de la maintenance de sa base de données relative aux casiers judiciaires, ainsi que de la mise en œuvre, de la gestion, de l'utilisation et de la maintenance des adaptations techniques nécessaires pour pouvoir utiliser l'ECRIS.

(16)  La présente directive respecte les droits et libertés fondamentaux consacrés, en particulier, dans la Charte des droits fondamentaux de l'Union européenne, tels que le droit à la protection des données à caractère personnel, les droits à des recours juridictionnel et administratif, le principe de l'égalité en droit, le droit à accéder à un tribunal impartial, la présomption d'innocence et l'interdiction générale de toute discrimination. La présente directive devrait être mise en œuvre conformément à ces droits et principes.

(17)  Étant donné que l'objectif de la présente directive, à savoir permettre l'échange rapide et efficace d'informations précises sur les casiers judiciaires des ressortissants de pays tiers, ne peut pas être atteint de manière suffisante par les États membres mais peut, grâce à la mise en place de règles communes, l'être mieux au niveau de l'Union, celle‑ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, la présente directive n'excède pas ce qui est nécessaire pour atteindre cet objectif.

(18)  Conformément aux articles 1er et 2 du protocole n° 22 sur la position du Danemark annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark ne participe pas à l'adoption de la présente directive et n'est pas lié par celle‑ci ni soumis à son application.

(19)  Conformément aux articles 1er et 2 ainsi qu'à l'article 4 bis, paragraphe 1, du protocole n° 21 sur la position du Royaume‑Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, et sans préjudice de l'article 4 dudit protocole, l'Irlande ne participe pas à l'adoption de la présente directive et n'est pas liée par celle‑ci ni soumise à son application. ▌

(20)  Conformément à l'article 3 et à l'article 4 bis, paragraphe 1, du protocole n° 21, le Royaume‑Uni a notifié son souhait de participer à l'adoption et à l'application de la présente directive.

(21)  Le Contrôleur européen de la protection des données a été consulté conformément à l'article 28, paragraphe 2, du règlement (CE) n° 45/2001 du Parlement européen et du Conseil(11) et a rendu un avis le 13 avril 2016(12).

(22)  Il convient dès lors de modifier la décision‑cadre 2009/315/JAI en conséquence,

ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:

Article premier

Modifications de la décision-cadre 2009/315/JAI

La décision‑cadre 2009/315/JAI est modifiée comme suit:

1)  L'article 1er est remplacé par le texte suivant:"

"Article premier

Objet

La présente décision‑cadre

   a) définit les conditions dans lesquelles un État membre de condamnation communique ▌ aux autres États membres les informations relatives à des condamnations;
   b) définit ▌ les obligations qui incombent à l'État membre de condamnation ainsi qu'à l'État membre de la nationalité de la personne condamnée (ci-après dénommé « État membre de nationalité »), et précise les modalités à respecter pour répondre à une demande d'informations extraites du casier judiciaire;
   c) établit un système informatique décentralisé pour les échanges d'informations relatives aux condamnations, fondé sur les bases de données relatives aux casiers judiciaires de chaque État membre, le système européen d'information sur les casiers judiciaires (ECRIS).".

"

2)  À l'article 2, les points suivants sont ajoutés:"

"d) "État membre de condamnation": l'État membre dans lequel une condamnation est prononcée;

   e) "ressortissant d'un pays tiers": une personne qui n'est pas citoyen de l'Union au sens de l'article 20, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, ou qui est une personne apatride ▌ ou dont la nationalité n'est pas connue ▌;
   f) "données dactyloscopiques": les données relatives aux impressions simultanées et roulées des empreintes digitales de chaque doigt d'une personne;
   g) "image faciale": une image numérique du visage d'une personne;
   h) "application de référence de l'ECRIS": le logiciel développé par la Commission et mis à la disposition des États membres pour les échanges d'informations sur les casiers judiciaires au moyen de l'ECRIS.".

"

3)  À l'article 4, le paragraphe 1 est remplacé par le texte suivant:"

"1. Chaque État membre de condamnation prend toutes les mesures nécessaires pour que ▌ les condamnations prononcées sur son territoire soient accompagnées des informations relatives à la nationalité ou aux nationalités de la personne condamnée ▌ s'il s'agit d'un ressortissant d'un autre État membre ou d'un ressortissant d'un pays tiers. Si la nationalité de la personne condamnée n'est pas connue ou si cette personne est apatride, cela est mentionné dans le casier judiciaire.".

"

4)   L'article 6 est modifié comme suit:

a)  le paragraphe 3 est remplacé par le texte suivant:"

"3. Lorsqu'un ressortissant d'un État membre demande à l'autorité centrale d'un autre État membre des informations sur son propre casier judiciaire, cette autorité centrale ▌ adresse à l'autorité centrale de l'État membre de nationalité une demande d'informations et d'informations connexes extraites du casier judiciaire et ▌ les fait figurer dans l'extrait qui est fourni à la personne concernée.";

"

b)  le paragraphe suivant est inséré:"

"3 bis. Lorsqu'un ressortissant d'un pays tiers ▌ demande à l'autorité centrale d'un État membre des informations sur son propre casier judiciaire, cette autorité centrale adresse aux seules autorités centrales des États membres qui détiennent des informations sur le casier judiciaire de cette personne une demande d'informations et d'informations connexes extraites du casier judiciaire et les fait figurer dans l'extrait qui est fourni à la personne concernée.".

"

5)   L'article 7 est modifié comme suit:

a)  le paragraphe 4 est remplacé par le texte suivant:"

"4. Lorsqu'une demande d'informations extraites du casier judiciaire et relatives aux condamnations prononcées à l'encontre d'un ressortissant d'un État membre est adressée, au titre de l'article 6, à l'autorité centrale d'un État membre autre que l'État membre de nationalité, l'État membre requis transmet ces informations ▌ dans les mêmes conditions que celles prévues à l'article 13 de la Convention européenne d'entraide judiciaire en matière pénale.";

"

b)  le paragraphe suivant est inséré:"

"4 bis. Lorsqu'une demande d'informations extraites du casier judiciaire et relatives aux condamnations prononcées à l'encontre d'un ressortissant d'un pays tiers est adressée, au titre de l'article 6, aux fins d'une procédure pénale, l'État membre requis transmet les informations ▌ correspondant à toute condamnation prononcée dans l'État membre requis et inscrites dans le casier judiciaire ainsi qu'à toute condamnation prononcée dans des pays tiers qui lui ont été ultérieurement transmises et qui ont été inscrites dans le casier judiciaire.

Si ces informations sont demandées à des fins autres qu'une procédure pénale, le paragraphe 2 du présent article s'applique mutatis mutandis.".

"

6)  À l'article 8, le paragraphe 2 est remplacé par le texte suivant:"

"2. Les réponses aux demandes visées à l'article 6, paragraphes 2, 3 et 3 bis, sont transmises dans un délai de 20 jours ouvrables à partir de la date de réception de la demande.".

"

7)   L'article 9 est modifié comme suit:

a)  au paragraphe 1, les termes "l'article 7, paragraphes 1 et 4" sont remplacés par les termes "l'article 7, paragraphes 1, 4 et 4 bis";

b)  au paragraphe 2, les termes "l'article 7, paragraphes 2 et 4" sont remplacés par les termes "l'article 7, paragraphes 2, 4 et 4 bis";

c)  au paragraphe 3, les termes "l'article 7, paragraphes 1, 2 et 4" sont remplacés par les termes "l'article 7, paragraphes 1, 2, 4 et 4 bis".

8)   L'article 11 est modifié comme suit:

a)  au paragraphe 1, premier alinéa, point c), le point suivant est ajouté:"

"iv) l'image faciale;";

"

b)  les paragraphes 3 à 7 sont remplacés par le texte suivant:"

"3. Les autorités centrales des États membres transmettent les informations suivantes par voie électronique au moyen de l'ECRIS et en utilisant un format standardisé conforme aux normes établies par des actes d'exécution:

   a) les informations visées à l'article 4;
   b) les demandes visées à l'article 6;
   c) les réponses visées à l'article 7; et
   d) les autres informations pertinentes.

4.  En cas d'indisponibilité de la voie de transmission visée au paragraphe 3 ▌, les autorités centrales des États membres transmettent toutes les informations visées au paragraphe 3 ▌ par tout moyen permettant de laisser une trace écrite et dans des conditions permettant à l'autorité centrale de l'État membre qui les reçoit d'établir l'authenticité des informations, en prenant en considération la sécurité de la transmission.

Si la voie de transmission visée au paragraphe 3 est indisponible pendant une période prolongée, l'État membre concerné en informe les autres États membres et la Commission.

5.  Chaque État membre procède aux adaptations techniques nécessaires à l'utilisation du format standardisé ▌aux fins de la transmission par voie électronique, au moyen de l'ECRIS, de toutes les informations visées au paragraphe 3 aux autres États membres. Il notifie à la Commission la date à partir de laquelle il est en mesure de procéder à ces transmissions ▌.".

"

9)   Les articles suivants sont insérés:"

"Article 11 bis

Système européen d'information sur les casiers judiciaires (ECRIS)

1.  Afin d'échanger des informations extraites des casiers judiciaires par voie électronique conformément à la présente décision‑cadre, un système informatique décentralisé, fondé sur les bases de données relatives aux casiers judiciaires de chaque État membre, le système européen d'information sur les casiers judiciaires (ECRIS), est créé. Il est composé des éléments suivants:

   a) l'application de référence de l'ECRIS;
   b) ▌ une infrastructure de communication commune aux autorités centrales, fournissant un réseau crypté.

Afin de garantir la confidentialité et l'intégrité des informations sur les casiers judiciaires qui sont transmises aux autres États membres, des mesures techniques et organisationnelles appropriées sont utilisées, en tenant compte de l'état des connaissances, du coût de mise en œuvre et des risques posés par le traitement des informations.

2.  Toutes les données issues des casiers judiciaires sont conservées exclusivement dans des bases de données gérées par les États membres.

3.  Les autorités centrales des États membres ne disposent ▌ pas d'un accès direct aux bases de données relatives aux casiers judiciaires des autres États membres.

4.  L'État membre concerné est responsable du fonctionnement de l'application de référence de l'ECRIS et des bases de données qui conservent, transmettent et reçoivent des informations extraites des casiers judiciaires. L'Agence de l'Union européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (eu‑LISA) créée par le règlement (UE) 2018/1726 du Parlement européen et du Conseil* soutient les États membres conformément à ses missions telles qu'elles sont énoncées dans le règlement (UE) .../...(13).

5.  La Commission est responsable du fonctionnement de l'infrastructure de communication commune. Celle‑ci remplit les conditions requises en matière de sécurité et répond pleinement aux besoins de l'ECRIS.

6.  L'eu‑LISA fournit, développe et gère l'application de référence de l'ECRIS▌.

7.  Chaque État membre supporte ses propres frais résultant de la mise en œuvre, de la gestion, de l'utilisation et de la maintenance de sa base de données relative aux casiers judiciaires ainsi que de l'installation et de l'utilisation de l'application de référence de l'ECRIS.

La Commission supporte les frais résultant de la mise en œuvre, de la gestion, de l'utilisation, de la maintenance et des développements futurs de l'infrastructure de communication commune ▌.

8.  Les États membres qui utilisent leur logiciel d'application national de l'ECRIS conformément à l'article 4, paragraphes 4 à 8, du règlement (UE) .../...(14) peuvent continuer à utiliser leur logiciel d'application national de l'ECRIS au lieu de l'application de référence de l'ECRIS, pour autant qu'ils remplissent les conditions énoncées dans ces paragraphes.

Article 11 ter

Actes d'exécution

1.  La Commission arrête les mesures ci‑après au moyen d'actes d'exécution:

   a) le format standardisé visé à l'article 11, paragraphe 3, y compris en ce qui concerne les informations relatives à l'infraction ayant donné lieu à la condamnation et les informations relatives au contenu de la condamnation;
   b) les règles relatives à la mise en œuvre technique de l'ECRIS ▌ et à l'échange de données dactyloscopiques;
   c) les autres modalités techniques d'organisation et de facilitation des échanges d'informations sur les condamnations entre les autorités centrales des États membres, et notamment:
   i) les dispositifs facilitant la compréhension et la traduction automatique des informations transmises;
   ii) les conditions de l'échange des informations par voie électronique, notamment en ce qui concerne les normes techniques à utiliser et, le cas échéant, les procédures d'échange applicables.

2.  Les actes d'exécution visés au paragraphe 1 du présent article sont adoptés en conformité avec la procédure d'examen visée à l'article 12 bis, paragraphe 2.

____________

* Règlement (UE) 2018/1726 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l’Agence de l’Union européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA), modifiant le règlement (CE) n° 1987/2006 et la décision 2007/533/JAI du Conseil et abrogeant le règlement (UE) n° 1077/2011 (JO L 295 du 21.11.2018, p. 99).".

"

10)  L'article suivant est inséré:"

"Article 12 bis

Comité

1.  La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) nº 182/2011.

2.  Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) n° 182/2011 s'applique.

Lorsque le comité n'émet aucun avis, la Commission n'adopte pas le projet d'acte d'exécution, et l'article 5, paragraphe 4, troisième alinéa, du règlement (UE) n° 182/2011 s'applique.".

"

11)  L'article suivant est inséré:"

"Article 13 bis

Rapport de la Commission et réexamen

1.  Au plus tard le ... [12 mois après la date de transposition de la présente directive modificative], la Commission présente au Parlement européen et au Conseil un rapport sur l'application de la présente décision‑cadre. Le rapport évalue dans quelle mesure les États membres ont pris les mesures nécessaires pour se conformer aux dispositions de la présente décision‑cadre, y compris sa mise en œuvre technique.

2.  Le rapport est accompagné, le cas échéant, de propositions législatives pertinentes.

3.  La Commission publie régulièrement un rapport sur les échanges ▌ d'informations extraites du casier judiciaire au moyen de l'ECRIS ainsi que sur l'utilisation de l'ECRIS‑TCN, fondé notamment sur les statistiques fournies par l'eu‑LISA et par les États membres conformément au règlement (UE) .../...(15). Le rapport est publié pour la première fois un an après la présentation du rapport visé au paragraphe 1.

4.  Le rapport de la Commission visé au paragraphe 3 porte en particulier sur le niveau des échanges d'informations entre les États membres, y compris ceux relatifs aux ressortissants de pays tiers, ainsi que sur la finalité des demandes et leur nombre respectif, y compris les demandes introduites à des fins autres qu'une procédure pénale, telles que la vérification des antécédents et les demandes d'informations introduites par des personnes concernées pour obtenir leur propre casier judiciaire.".

"

Article 2

Remplacement de la décision 2009/316/JAI

La décision 2009/316/JAI est remplacée à l'égard des États membres liés par la présente directive, sans préjudice des obligations desdits États membres en ce qui concerne la date de transposition de ladite décision.

Article 3

Transposition

1.  Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard le ... [36 mois après l'entrée en vigueur de la présente directive modificative]. Ils communiquent immédiatement ▌à la Commission le texte de ces dispositions.

Lorsque les États membres adoptent ces dispositions, celles‑ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Elles contiennent également une mention précisant que les références faites, dans les dispositions législatives, réglementaires et administratives en vigueur, à la décision remplacée par la présente directive s'entendent comme faites à la présente directive. Les modalités de cette référence et la formulation de cette mention sont arrêtées par les États membres.

2.  Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu'ils adoptent dans le domaine régi par la présente directive.

3.  Les États membres procèdent aux adaptations techniques visées à l'article 11, paragraphe 5, de la décision-cadre 2009/315/JAI, telle que modifiée par la présente directive, au plus tard le ... [36 mois après l'entrée en vigueur de la présente directive modificative].

Article 4

Entrée en vigueur et application

La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

L'article 2 s'applique à partir du …. [36 mois après l'entrée en vigueur de la présente directive modificative].

Article 5

Destinataires

Les États membres sont destinataires de la présente directive conformément aux traités.

Fait à …, le

Par le Parlement européen Par le Conseil

Le président Le président

(1)Position du Parlement européen du 12 mars 2019.
(2)Décision‑cadre 2008/675/JAI du Conseil du 24 juillet 2008 relative à la prise en compte des décisions de condamnation entre les États membres de l'Union européenne à l'occasion d'une nouvelle procédure pénale (JO L 220 du 15.8.2008, p. 32).
(3)Décision‑cadre 2009/315/JAI du Conseil du 26 février 2009 concernant l'organisation et le contenu des échanges d'informations extraites du casier judiciaire entre les États membres (JO L 93 du 7.4.2009, p. 23).
(4)Décision 2009/316/JAI du Conseil du 6 avril 2009 relative à la création du système européen d'information sur les casiers judiciaires (ECRIS), en application de l'article 11 de la décision‑cadre 2009/315/JAI (JO L 93 du 7.4.2009, p. 33).
(5)Règlement (UE) .../... du Parlement européen et du Conseil du ... portant création d'un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d'information sur les casiers judiciaires et modifiant le règlement (UE) 2018/1726 (JO L …., p …).
(6)+JO: veuillez insérer dans le texte la référence au règlement figurant dans le document PE-CONS 88/18 (2017/0144/COD)) et insérer le numéro, la date et la référence au JO de ce règlement dans la note de bas de page.
(7)Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision‑cadre 2004/68/JAI du Conseil (JO L 335, 17.12.2011, p. 1).
(8)Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
(9)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(10)Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(11)Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).
(12)JO C 186 du 25.5.2016, p. 7.
(13)+JO: veuillez insérer la référence au règlement qui figure dans le document PE-CONS 88/18 (2017/0144 (COD)).
(14)+JO: veuillez insérer la référence au règlement qui figure dans le document PE-CONS 88/18 (2017/0144 (COD)).
(15)+JO: veuillez insérer la référence au règlement qui figure dans le document PE-CONS 88/18 (2017/0144(COD)).


Système centralisé pour identifier les États membres qui détiennent des informations sur les condamnations de ressortissants de pays tiers et d’apatrides (ECRIS-TCN) ***I
PDF 360kWORD 109k
Résolution
Texte consolidé
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de règlement du Parlement européen et du Conseil portant création d’un système centralisé permettant d’identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides, qui vise à compléter et à soutenir le système européen d’information sur les casiers judiciaires (système ECRIS-TCN), et modifiant le règlement (UE) n° 1077/2011 (COM(2017)0344 – C8-0217/2017 – 2017/0144(COD))
P8_TA-PROV(2019)0149A8-0018/2018

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2017)0344),

–  vu l’article 294, paragraphe 2, et l’article 82, paragraphe 1, deuxième alinéa, point d), du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C8-0217/2017),

–  vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

–  vu l'accord provisoire approuvé en vertu de l’article 69 septies, paragraphe 4, de son règlement intérieur par la commission compétente et l’engagement pris par le représentant du Conseil, par lettre du 19 décembre 2018, d'approuver la position du Parlement européen, conformément à l'article 294, paragraphe 4, du traité sur le fonctionnement de l'Union européenne,

–  vu l’article 59 de son règlement intérieur,

–  vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et l’avis de la commission des budgets (A8-0018/2018),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.

Position du Parlement européen arrêtée en première lecture le 12 mars 2019 en vue de l’adoption du règlement (UE) 2019/... du Parlement européen et du Conseil portant création d'un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d'information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726

P8_TC1-COD(2017)0144


LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 82, paragraphe 1, deuxième alinéa, point d),

vu la proposition de la Commission européenne,

après transmission du projet d'acte législatif aux parlements nationaux,

statuant conformément à la procédure législative ordinaire(1),

considérant ce qui suit:

(1)  L'Union s'est donné pour objectif d'offrir à ses citoyens un espace de liberté, de sécurité et de justice sans frontières intérieures, au sein duquel est assurée la libre circulation des personnes. Cet objectif devrait être réalisé au moyen, entre autres, de mesures appropriées visant à prévenir et à lutter contre la criminalité, y compris la criminalité organisée et le terrorisme.

(2)  Cet objectif requiert que les informations relatives aux condamnations prononcées dans les États membres soient prises en compte en dehors de l'État membre de condamnation à l'occasion d'une nouvelle procédure pénale, conformément à la décision‑cadre 2008/675/JAI du Conseil(2), ainsi que pour prévenir de nouvelles infractions.

(3)  Cet objectif suppose des échanges d'informations extraites des casiers judiciaires entre les autorités compétentes des États membres. Ces échanges d'informations sont organisés et facilités par les règles énoncées dans la décision‑cadre 2009/315/JAI du Conseil(3) et par le système européen d'information sur les casiers judiciaires (ECRIS), créé conformément à la décision 2009/316/JAI du Conseil(4).

(4)  Toutefois, le cadre juridique actuel de l'ECRIS ne répond pas suffisamment aux particularités des demandes concernant des ressortissants de pays tiers. Bien qu'il soit déjà possible d'échanger des informations sur les ressortissants de pays tiers au moyen de l'ECRIS, il n'existe pas de procédure ni de mécanisme commun de l'Union permettant de le faire avec efficacité, rapidité et exactitude.

(5)  Au sein de l'Union, les informations relatives aux ressortissants de pays tiers ne sont pas rassemblées, comme c'est le cas pour les ressortissants des États membres, dans l'État membre de nationalité, mais seulement conservées dans les États membres où les condamnations ont été prononcées. Il n'est donc possible d'avoir un aperçu complet des antécédents judiciaires d'un ressortissant d'un pays tiers qu'en demandant ces informations à tous les États membres.

(6)  De telles demandes générales imposent une charge administrative disproportionnée à tous les États membres, y compris à ceux qui ne détiennent pas d'informations sur le ressortissant d'un pays tiers concerné. Dans la pratique, cette charge dissuade les États membres de demander des informations sur les ressortissants de pays tiers à d'autres États membres, ce qui entrave considérablement l'échange d'informations entre eux, et a pour résultat que l'accès aux informations sur les casiers judiciaires est limité aux informations conservées dans leur registre national. Il existe dès lors un risque accru que les échanges d'informations entre États membres soient inefficaces et incomplets, au détriment du niveau de sécurité et de sûreté dont bénéficient les citoyens et les personnes résidant dans l'Union.

(7)  Pour remédier à ce problème, il convient de créer un système au moyen duquel l'autorité centrale d'un État membre peut déterminer rapidement et avec efficacité ▌ quels autres États membres détiennent des informations sur le casier judiciaire d'un ressortissant d'un pays tiers ▌(ci-après dénommé "ECRIS-TCN"). Le cadre actuel de l'ECRIS pourrait ensuite être utilisé pour demander à ces États membres des informations sur le casier judiciaire en question conformément à la décision‑cadre 2009/315/JAI.

(8)  Il convient dès lors que le présent règlement définisse les règles relatives à la création, à l'échelle de l'Union, d'un système centralisé contenant des données à caractère personnel et les règles relatives à la répartition des responsabilités entre l'État membre et l'organisme responsable du développement et de la maintenance du système centralisé, et qu'il fixe toutes les dispositions spécifiques en matière de protection des données qui sont nécessaires pour compléter les mesures existantes en matière de protection des données et garantir un niveau global approprié de protection ▌ et de sécurité des données ainsi que la protection des droits fondamentaux des personnes concernées ▌.

(9)  L'objectif consistant à offrir aux citoyens de l'Union un espace de liberté, de sécurité et de justice sans frontières intérieures, au sein duquel est assurée la libre circulation des personnes, requiert également que les informations à détenir sur les décisions de condamnation soient complètes, y compris en ce qui concerne les citoyens de l'Union qui ont la nationalité d'un pays tiers. Étant donné qu'il est possible que ces personnes se présentent sous une ou plusieurs nationalités, et que différentes décisions de condamnation soient conservées dans l'État membre de condamnation ou dans l'État membre dont la personne concernée a la nationalité, il est nécessaire, d'inclure dans le champ d'application du présent règlement les citoyens de l'Union qui ont la nationalité d'un pays tiers. L'exclusion de ces personnes rendrait les informations conservées dans l'ECRIS-TCN incomplètes. Cela compromettrait la fiabilité du système. Cependant, comme ces personnes possèdent la citoyenneté de l'Union, les conditions dans lesquelles les données dactyloscopiques peuvent être introduites dans l'ECRIS-TCN en ce qui concerne ces personnes devraient être comparables aux conditions dans lesquelles les données dactyloscopiques des citoyens de l'Union sont échangées entre les États membres dans le cadre de l'ECRIS, qui a été créé par la décision‑cadre 2009/315/JAI et la décision 2009/316/JAI. Par conséquent, en ce qui concerne les citoyens de l'Union ayant également la nationalité d'un pays tiers, les données dactyloscopiques ne devraient être introduites dans l'ECRIS‑TCN que lorsqu'elles ont été recueillies conformément au droit national à l'occasion de procédures pénales, étant entendu que, aux fins de cette introduction, les États membres devraient pouvoir utiliser les données dactyloscopiques recueillies à des fins autres qu'une procédure pénale, lorsque cette utilisation est autorisée par le droit national.

(10)  L'ECRIS-TCN devrait permettre le traitement de données dactyloscopiques aux fins d'identifier les États membres détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers. Il devrait aussi permettre le traitement d'images faciales en vue de confirmer son identité. Il est essentiel que l'inscription et l'utilisation de données dactyloscopiques et d'images faciales n'excèdent pas ce qui est strictement nécessaire pour atteindre l'objectif poursuivi, respectent les droits fondamentaux, de même que l'intérêt supérieur de l'enfant, et soient en conformité avec les règles applicables de l'Union en matière de protection des données.

(11)  L'Agence de l'Union européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (ci‑après dénommée "eu‑LISA"), instituée par le règlement (UE) 2018/1726 du Parlement européen et du Conseil(5), devrait être chargée de développer et d'exploiter l'ECRIS‑TCN ▌, compte tenu de son expérience dans la gestion d'autres systèmes à grande échelle dans le domaine de la justice et des affaires intérieures. Il convient de modifier son mandat pour tenir compte de ces nouvelles tâches.

(12)  L'eu-LISA devrait être dotée des ressources financières et humaines nécessaires pour assumer ses responsabilités en vertu du présent règlement.

(13)  Compte tenu de la nécessité de créer des liens techniques étroits entre l'ECRIS‑TCN et l'ECRIS, l'eu‑LISA devrait également être chargée de poursuivre le développement de l'application de référence de l'ECRIS et d'en assurer la maintenance et son mandat devrait être modifié en conséquence.

(14)  Quatre États membres ont développé leur propre logiciel d'application national de l'ECRIS conformément à la décision 2009/316/JAI et l'utilisent à la place de l'application de référence de l'ECRIS pour échanger des informations sur les casiers judiciaires. Compte tenu des caractéristiques particulières que ces États membres ont introduites dans leurs systèmes aux fins d'un usage national et des investissements qu'ils ont réalisés, il convient de les autoriser à utiliser leur logiciel d'application national de l'ECRIS également aux fins de l'ECRIS‑TCN, pour autant que les conditions prévues dans le présent règlement soient respectées.

(15)  L'ECRIS-TCN devrait contenir uniquement les éléments d'identification des ressortissants de pays tiers ayant été condamnés par une juridiction pénale au sein de l'Union. Ces éléments devraient inclure des données alphanumériques et des données dactyloscopiques ▌. Il devrait également être possible d'inclure des images faciales, dans la mesure où le droit de l'État membre dans lequel une condamnation est prononcée autorise la collecte et la conservation des images faciales d'une personne condamnée.

(16)  Les données alphanumériques que les États membres doivent inscrire dans le système central devraient comprendre le nom (nom de famille) et les prénoms de la personne condamnée, ainsi que, lorsque l'autorité centrale dispose de ces informations, tout pseudonyme ou nom d'emprunt de cette personne. Lorsque l'État membre concerné est en possession de données personnelles divergentes, par exemple une orthographe différente d'un nom dans un autre alphabet, il devrait être possible de les inscrire dans le système central à titre complémentaire.

(17)  Les données alphanumériques devraient également comprendre, à titre complémentaire, le numéro d'identité, ou le type et le numéro des documents d'identité de la personne concernée, ainsi que le nom de l'autorité ayant délivré ces documents, lorsque l'autorité centrale dispose de ces informations. L'État membre devrait s'efforcer de vérifier l'authenticité des documents d'identité avant d'inscrire les informations en question dans le système central. En tout état de cause, ces informations pouvant se révéler non fiables, il y a lieu de les exploiter avec prudence.

(18)  Les autorités centrales devraient utiliser l'ECRIS‑TCN pour identifier les États membres qui détiennent des informations sur le casier judiciaire d'un ressortissant d'un pays tiers lorsque ces informations sont demandées dans l'État membre concerné aux fins d'une procédure pénale à l'encontre de cette personne ou à toute fin visée dans le présent règlement. Si l'ECRIS‑TCN devrait en principe être utilisé dans tous ces cas de figure, l'autorité chargée de la conduite de la procédure pénale devrait pouvoir décider qu'il convient de ne pas utiliser l'ECRIS‑TCN lorsque cela ne serait pas approprié dans les circonstances de l'espèce, par exemple dans certains types de procédures pénales urgentes, en cas de transit, lorsque les informations sur le casier judiciaire ont été obtenues récemment par l'intermédiaire de l'ECRIS, ou en cas d'infractions mineures, en particulier s'il s'agit d'infractions routières mineures, d'infractions mineures aux règlements municipaux généraux ainsi que d'infractions mineures à l'ordre public.

(19)  Les États membres devraient aussi pouvoir utiliser l'ECRIS‑TCN à des fins autres que celles prévues dans le présent règlement, si le droit national le prévoit et conformément à celui-ci. Toutefois, pour rendre plus transparente l'utilisation de l'ECRIS‑TCN, les États membres devraient notifier ces autres fins à la Commission, qui devrait veiller à ce que toutes les notifications soient publiées au Journal officiel de l'Union européenne.

(20)  Les autres autorités demandant des informations sur un casier judiciaire devraient également pouvoir décider que l'ECRIS‑TCN ne devrait pas être utilisé lorsque cela ne serait pas approprié dans les circonstances de l'espèce, par exemple dans le cas où il est nécessaire de procéder à des vérifications administratives standard concernant les qualifications professionnelles d'une personne, en particulier si l'on sait que des informations sur le casier judiciaire ne seront pas demandées auprès d'autres États membres, indépendamment du résultat de la recherche dans l'ECRIS‑TCN. Cependant, l'ECRIS‑TCN devrait toujours être utilisé lorsque la demande d'informations sur le casier judiciaire a été introduite par une personne qui demande des informations sur son propre casier judiciaire conformément à la décision‑cadre 2009/315/JAI, ou lorsqu'elle est présentée pour obtenir des informations sur un casier judiciaire conformément à la directive 2011/93/UE du Parlement européen et du Conseil(6).

(21)  Les ressortissants de pays tiers devraient avoir le droit d'obtenir des informations par écrit sur leur propre casier judiciaire conformément au droit de l'État membre dans lequel ils demandent la communication de ces informations et conformément à la décision‑cadre 2009/315/JAI. Avant de communiquer ces informations à un ressortissant d'un pays tiers, l'État membre concerné devrait interroger l'ECRIS‑TCN.

(22)  Les citoyens de l'Union qui ont également la nationalité d'un pays tiers ne seront inclus dans l'ECRIS‑TCN que si les autorités compétentes ont connaissance du fait que ces personnes ont la nationalité d'un pays tiers. Lorsque les autorités compétentes n'ont pas connaissance du fait que des citoyens de l'Union ont également la nationalité d'un pays tiers, il est néanmoins possible que ces personnes aient fait l'objet de condamnations antérieures en tant que ressortissants de pays tiers. Pour faire en sorte que les autorités compétentes aient un aperçu complet des casiers judiciaires, il devrait être possible d'interroger l'ECRIS‑TCN pour vérifier si, en ce qui concerne un citoyen de l'Union, un État membre quelconque détient des informations sur le casier judiciaire de cette personne en tant que ressortissant d'un pays tiers.

(23)  Dans le cas où il existe une concordance entre les données enregistrées dans le système central et celles utilisées par un État membre pour effectuer une recherche (réponse positive), les éléments d'identification pour lesquels une réponse positive a été trouvée devraient être fournis en même temps que ce résultat. Le résultat d'une recherche ne devrait être utilisé par les autorités centrales qu'aux fins de présenter une demande par l'intermédiaire de l'ECRIS ou par l'Agence de l'Union européenne pour la coopération judiciaire en matière pénale (Eurojust) instituée par le règlement (UE) 2018/1727 du Parlement européen et du Conseil(7), l'Agence de l'Union européenne pour la coopération des services répressifs (Europol), instituée par le règlement (UE) 2016/794 du Parlement européen et du Conseil(8), et le Parquet européen, institué par le règlement (UE) 2017/1939 du Conseil(9), qu'aux fins de présenter une demande d'informations relatives aux condamnations au titre du présent règlement.

(24)  Dans un premier temps, les images faciales introduites dans l'ECRIS‑TCN ne devraient être utilisées qu'aux fins de la confirmation de l'identité d'un ressortissant d'un pays tiers en vue d'identifier les États membres détenant des informations sur les condamnations antérieures de ce ressortissant d'un pays tiers. À terme, ▌ les images faciales devraient pouvoir être utilisées pour l'établissement automatisé de correspondances biométriques, pour autant que les exigences techniques et politiques à cet égard aient été respectées. La Commission devrait, en se fondant sur des critères de nécessité et de proportionnalité ainsi que sur les évolutions techniques dans le domaine des logiciels de reconnaissance faciale, évaluer si la technique requise est disponible et prête à être employée avant d'adopter un acte délégué concernant l'utilisation des images faciales aux fins de l'identification de ressortissants de pays tiers en vue d'identifier les États membres détenant des informations sur les condamnations antérieures de ces personnes.

(25)  L'utilisation de la biométrie est nécessaire, car il s'agit de la méthode la plus fiable pour identifier les ressortissants de pays tiers sur le territoire des États membres, qui n'ont souvent pas de documents ni d'autre moyen d'identification à leur disposition, et pour recouper de manière plus fiable les données de ressortissants de pays tiers.

(26)  Les États membres devraient inscrire dans le système central les données dactyloscopiques de ressortissants de pays tiers condamnés qui ont été recueillies conformément au droit national au cours d'une procédure pénale. Afin que les données d'identification les plus complètes possibles figurent dans le système central, les États membres devraient également pouvoir inscrire dans le système central les données dactyloscopiques qui ont été recueillies à d'autres fins qu'une procédure pénale, lorsque ces données dactyloscopiques peuvent être utilisées dans une procédure pénale conformément au droit national.

(27)  Le présent règlement devrait établir des critères minimaux concernant les données dactyloscopiques que les États membres devraient inclure dans le système central. Les États membres devraient avoir le choix soit inscrire les données dactyloscopiques des ressortissants de pays tiers qui ont été condamnés à une peine privative de liberté d'au moins six mois, soit inscrire les données dactyloscopiques de ressortissants de pays tiers qui ont été condamnés pour avoir commis une infraction pénale punissable, en vertu du droit de l'État membre concerné, d'une peine privative de liberté d'une durée maximale d'au moins douze mois.

(28)  Les États membres devraient créer, dans l'ECRIS‑TCN, des enregistrements concernant les ressortissants de pays tiers condamnés. Cela devrait se faire, si possible, automatiquement et sans retard injustifié après l'inscription de la condamnation dans le casier judiciaire national. Les États membres devraient, conformément au présent règlement, inscrire dans le système central les données alphanumériques et dactyloscopiques liées aux condamnations prononcées après la date de début d'inscription des données dans le système ECRIS-TCN. À partir de la même date, et à tout moment par la suite, les États membres devraient pouvoir saisir des images faciales dans le système central.

(29)  Les États membres devraient également, conformément au présent règlement, créer, dans l'ECRIS‑TCN, des enregistrements concernant les ressortissants de pays tiers condamnés avant la date de début de l'inscription des données, afin de garantir l'efficacité maximale du système. Toutefois, les États membres ne devraient pas être tenus, à cette fin, de recueillir des informations qui ne figuraient pas dans leurs casiers judiciaires avant la date de début de l'inscription des données. Les données dactyloscopiques de ressortissants de pays tiers recueillies en rapport avec ces condamnations antérieures devraient être incluses uniquement si elles ont été recueillies à l'occasion d'une procédure pénale, et si l'État membre concerné considère qu'elles peuvent être clairement mises en concordance avec d'autres données d'identification dans les casiers judiciaires.

(30)  L'amélioration de l'échange d'informations sur les condamnations devrait aider les États membres à mettre en œuvre la décision‑cadre 2008/675/JAI, qui impose aux États membres de prendre en compte les condamnations antérieures prononcées dans d'autres États membres à l'occasion d'une nouvelle procédure pénale, dans la mesure où les condamnations nationales antérieures sont prises en compte conformément au droit national.

(31)  Une réponse positive signalée par l'ECRIS‑TCN ne devrait pas automatiquement signifier que le ressortissant d'un pays tiers concerné a fait l'objet d'une condamnation dans les États membres indiqués ▌. L'existence de condamnations antérieures devrait être confirmée uniquement sur la base des informations provenant des casiers judiciaires des États membres concernés.

(32)  Nonobstant la possibilité de recourir aux programmes financiers de l'Union conformément à la réglementation applicable, chaque État membre devrait supporter ses propres frais résultant de la mise en œuvre, de la gestion, de l'utilisation et de la maintenance de sa base de données relative aux casiers judiciaires et de ses bases de données dactyloscopiques nationales, ainsi que de la mise en œuvre, de la gestion, de l'utilisation et de la maintenance des adaptations techniques nécessaires pour pouvoir utiliser l'ECRIS‑TCN, y compris leurs connexions au point d'accès central national.

(33)  Eurojust, Europol et le Parquet européen devraient avoir accès au système ECRIS‑TCN pour identifier les États membres détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers aux fins de l'accomplissement de leurs missions statutaires. Eurojust devrait également disposer d'un accès direct à l'ECRIS‑TCN pour pouvoir accomplir la tâche que lui confie le présent règlement de faire office de point de contact pour les pays tiers et les organisations internationales, sans préjudice de l'application des principes de la coopération judiciaire en matière pénale, y compris les dispositions relatives à l'entraide judiciaire. Bien qu'il y ait lieu de prendre en considération la position des États membres qui ne participent pas à la coopération renforcée portant création du Parquet européen, le Parquet européen ne devrait pas se voir refuser l'accès aux informations relatives aux condamnations au seul motif que l'État membre concerné ne participe pas à cette coopération renforcée.

(34)  Le présent règlement établit des règles d'accès strictes à l'ECRIS‑TCN ainsi que les garanties nécessaires, y compris en ce qui concerne la responsabilité des États membres en matière de collecte et d'utilisation des données. Il indique également comment les personnes physiques peuvent exercer leur droit à réparation ainsi que leurs droits d'accès, de rectification, d'effacement et de recours, en particulier leur droit à un recours effectif, et précise que la surveillance des opérations de traitement doit être assurée par des autorités publiques indépendantes. Il respecte dès lors les libertés et les droits fondamentaux consacrés, en particulier, dans la charte des droits fondamentaux de l'Union européenne, tels que le droit à la protection des données à caractère personnel, le principe de l'égalité en droit et l'interdiction générale de toute discrimination. À cet égard, il tient également compte de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, du Pacte international relatif aux droits civils et politiques et des autres obligations en matière de droits de l'homme découlant du droit international.

(35)  La directive (UE) 2016/680 du Parlement européen et du Conseil(10) ▌ devrait s'appliquer au traitement des données à caractère personnel par les autorités nationales compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Le règlement (UE) 2016/679 du Parlement européen et du Conseil(11) ▌ devrait s'appliquer au traitement des données à caractère personnel par les autorités nationales lorsqu'un tel traitement ne relève pas du champ d'application de la directive (UE) 2016/680. Il convient d'assurer un contrôle coordonné, conformément au règlement (UE) 2018/1725 du Parlement européen et du Conseil(12), qui devrait également s'appliquer au traitement de données à caractère personnel par l'eu‑LISA.

(36)  En ce qui concerne les condamnations antérieures, les autorités centrales devraient inscrire les données alphanumériques au plus tard à la fin de la période d'inscription des données conformément au présent règlement, et les données dactyloscopiques deux ans après la date de mise en service de l'ECRIS-TCN. Les États membres devraient pouvoir inscrire toutes les données au même moment, à condition que ces délais soient respectés.

(37)  Il y a lieu de définir des règles concernant la responsabilité des États membres, d'Eurojust, d'Europol, du Parquet européen et de l'eu-LISA en cas de dommage résultant du non‑respect du présent règlement.

(38)  Afin d'améliorer l'identification des États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers, il convient de déléguer à la Commission le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne en vue de compléter le présent règlement en prévoyant l'utilisation d'images faciales aux fins de l'identification des ressortissants de pays tiers pour identifier les États membres détenant des informations sur les condamnations antérieures. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l'accord interinstitutionnel du 13 avril 2016 "Mieux légiférer"(13). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d'experts de la Commission traitant de la préparation des actes délégués.

(39)  Afin d'assurer des conditions uniformes pour la création et la gestion opérationnelle de l'ECRIS‑TCN, il convient de conférer des compétences d'exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) n° 182/2011 du Parlement européen et du Conseil(14).

(40)  Les États membres devraient prendre les mesures nécessaires pour se conformer au présent règlement dès que possible afin d'assurer le bon fonctionnement de l'ECRIS‑TCN, compte tenu du temps dont l'eu‑LISA a besoin pour développer et mettre en œuvre ce système. Les États membres devraient toutefois disposer d'un délai d'au moins 36 mois à compter de l'entrée en vigueur du présent règlement pour prendre les mesures pour se conformer au présent règlement.

(41)  Étant donné que l'objectif du présent règlement, à savoir permettre l'échange rapide et efficace d'informations exactes sur les casiers judiciaires de ressortissants de pays tiers, ne peut pas être atteint de manière suffisante par les États membres mais peut, grâce à la mise en place de règles communes, l'être mieux au niveau de l'Union, celle‑ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre cet objectif.

(42)  Conformément aux articles 1er et 2 du protocole n° 22 sur la position du Danemark annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark ne participe pas à l'adoption du présent règlement et n'est pas lié par celui‑ci ni soumis à son application.

(43)  Conformément aux articles 1er et 2 ainsi qu'à l'article 4 bis, paragraphe 1, du protocole n° 21 sur la position du Royaume‑Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, et sans préjudice de l'article 4 dudit protocole, l'Irlande ne participe pas à l'adoption du présent règlement et n'est pas liée par celui‑ci ni soumise à son application.

(44)  Conformément à l'article 3 et à l'article 4 bis, paragraphe 1, du protocole n° 21, le Royaume‑Uni a notifié son souhait de participer à l'adoption et à l'application du présent règlement.

(45)  Le Contrôleur européen de la protection des données a été consulté conformément à l'article 28, paragraphe 2, du règlement (CE) n° 45/2001 du Parlement européen et du Conseil(15) et a rendu un avis le 12 décembre 2017(16),

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet

Le présent règlement établit:

a)  ▌ un système permettant d'identifier les États membres détenant des informations sur les condamnations antérieures prononcées à l'encontre de ressortissants de pays tiers (ci‑après dénommé "ECRIS‑TCN");

b)  ▌les conditions dans lesquelles l'ECRIS‑TCN est utilisé par les autorités centrales pour obtenir des informations sur ces condamnations antérieures au moyen du système européen d'information sur les casiers judiciaires (ECRIS) créé par la décision 2009/316/JAI, ainsi que les conditions dans lesquelles Eurojust, Europol et le Parquet européen utilisent l'ECRIS‑TCN.

Article 2

Champ d'application

Le présent règlement s'applique au traitement des données d'identification des ressortissants de pays tiers qui ont fait l'objet de condamnations dans les États membres aux fins d'identifier les États membres dans lesquels ces condamnations ont été prononcées. À l'exception de l'article 5, paragraphe 1, point b) ii), les dispositions du présent règlement qui s'appliquent aux ressortissants de pays tiers s'appliquent aussi aux citoyens de l'Union qui ont également la nationalité d'un pays tiers et qui ont fait l'objet de condamnations dans les États membres.

Article 3

Définitions

Aux fins du présent règlement, on entend par ▌:

1)  "condamnation": toute décision définitive d'une juridiction pénale rendue à l'encontre d'une personne physique en raison d'une infraction pénale, pour autant que cette décision soit inscrite dans le casier judiciaire de l'État membre de condamnation;

2)  "procédure pénale": la phase préalable au procès pénal, le procès pénal et la phase d'exécution de la condamnation;

3)  "casier judiciaire": le registre national ou les registres nationaux regroupant les condamnations conformément au droit national;

4)  "État membre de condamnation": l'État membre dans lequel une condamnation est prononcée;

5)  "autorité centrale": une autorité ▌ désignée conformément à l'article 3, paragraphe 1, de la décision‑cadre 2009/315/JAI;

6)  "autorités compétentes": les autorités centrales et Eurojust, Europol et le Parquet européen, qui sont compétents pour accéder à l'ECRIS‑TCN ou l'interroger en vertu du présent règlement;

7)  "ressortissant d'un pays tiers": une personne qui n'est pas citoyen de l'Union au sens de l'article 20, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, ou qui est une personne apatride ou dont la nationalité n'est pas connue ▌;

8)  "système central": la ou les bases de données dont le développement et la maintenance sont assurés par l'eu‑LISA et qui contiennent les données d'identification des ressortissants de pays tiers qui ont fait l'objet de condamnations dans les États membres ▌;

9)  "logiciel d'interface": le logiciel hébergé par les autorités compétentes qui leur permet d'accéder au système central au moyen de l'infrastructure de communication visée à l'article 4, paragraphe 1, point d);

10)  "données d'identification": les données alphanumériques, les données dactyloscopiques et les images faciales qui sont utilisées pour établir un lien entre ces données et une personne physique;

11)  "données alphanumériques": les données représentées par des lettres, des chiffres, des caractères spéciaux, des espaces et des signes de ponctuation;

12)  "données dactyloscopiques": les données relatives aux impressions simultanées et roulées des empreintes digitales de chaque doigt d'une personne;

13)  "image faciale": une image numérique du visage d'une personne;

14)  "réponse positive": une ou des concordances constatées en comparant les données d'identification enregistrées dans le système central et les données d'identification utilisées pour effectuer une recherche ▌;

15)  "point d'accès central national": le point national de connexion à l'infrastructure de communication visée à l'article 4, paragraphe 1, point d);

16)  "application de référence de l'ECRIS": le logiciel développé par la Commission et mis à la disposition des États membres pour les échanges d'informations sur les casiers judiciaires au moyen de l'ECRIS;

17)  "autorité de contrôle nationale": une autorité publique indépendante instituée par un État membre en vertu des règles de l'Union en matière de protection des données;

18)  "autorités de contrôles": le Contrôleur européen de la protection des données et les autorités de contrôle nationales.

Article 4

Architecture technique de l'ECRIS‑TCN

1.  L'ECRIS‑TCN se compose des éléments suivants:

a)  un système central au sein duquel sont conservées les données d'identification des ressortissants de pays tiers condamnés;

b)  un point d'accès central national dans chaque État membre;

c)  un logiciel d'interface permettant aux autorités compétentes de se connecter au système central, par l'intermédiaire des points d'accès centraux nationaux et de l'infrastructure de communication visée au point d);

d)  une infrastructure de communication entre le système central et les points d'accès centraux nationaux.

2.  Le système central est hébergé par l'eu‑LISA sur ses ▌ sites techniques.

3.  Le logiciel d'interface est compatible avec l'application de référence de l'ECRIS. Les États membres utilisent l'application de référence de l'ECRIS ou, dans la situation et dans les conditions décrites aux paragraphes 4 à 8, le logiciel d'application national de l'ECRIS, pour interroger l'ECRIS‑TCN et pour envoyer ensuite des demandes d'informations sur les casiers judiciaires.

4.  Il incombe aux États membres qui utilisent leur logiciel d'application national de l'ECRIS de s'assurer que celui‑ci permet à leurs autorités gérant les casiers judiciaires d'utiliser l'ECRIS‑TCN, exception faite du logiciel d'interface, conformément au présent règlement. À cette fin, ils s'assurent, avant la date de mise en service de l'ECRIS‑TCN conformément à l'article 35, paragraphe 4, que leur logiciel d'application national de l'ECRIS fonctionne conformément aux protocoles et aux spécifications techniques établis dans les actes d'exécution visés à l'article 10, ainsi qu'à toute autre exigence technique fondée sur ces actes d'exécution établie par l'eu‑LISA en vertu du présent règlement.

5.  Tant qu'ils n'utilisent pas l'application de référence de l'ECRIS, les États membres qui utilisent leur logiciel d'application national de l'ECRIS assurent également la mise en œuvre des adaptations techniques ultérieures de leur logiciel d'application national de l'ECRIS requises par les modifications apportées aux spécifications techniques établies par la voie des actes d'exécution visés à l'article 10, ou à toute autre exigence technique fondée sur ces actes d'exécution établie par l'eu‑LISA en vertu du présent règlement, sans retard injustifié.

6.  Les États membres qui utilisent leur logiciel d'application national de l'ECRIS supportent tous les coûts afférents à la mise en œuvre, à la maintenance et au développement de ce logiciel ainsi qu'à son interconnexion avec l'ECRIS‑TCN, exception faite du logiciel d'interface.

7.  Si un État membre qui utilise son logiciel d'application national de l'ECRIS n'est pas en mesure de satisfaire aux obligations énoncées au présent article, il est tenu d'utiliser l'application de référence de l'ECRIS, y compris le logiciel d'interface intégré, pour pouvoir utiliser l'ECRIS‑TCN.

8.  Aux fins de l'évaluation que doit réaliser la Commission en application de l'article 36, paragraphe 10, point b), les États membres concernés communiquent à la Commission toutes les informations nécessaires.

CHAPITRE II

INSCRIPTION ET UTILISATION DES DONNÉES PAR LES AUTORITÉS CENTRALES

Article 5

Inscription des données dans l'ECRIS‑TCN

1.  Pour chaque ressortissant d'un pays tiers condamné, l'autorité centrale de l'État membre de condamnation crée un fichier de données dans le système central. Ce fichier de données contient:

a)  en ce qui concerne les données alphanumériques:

i)  informations à inclure sauf si, dans des cas particuliers, l'autorité centrale n'en a pas connaissance (informations obligatoires):

le nom (nom de famille);

les prénoms;

la date de naissance;

le lieu de naissance (ville et pays);

la ou les nationalités;

le genre;

− les noms précédents, le cas échéant;

− le code de l'État membre de condamnation;

ii)  informations à inclure lorsqu'elles ont été inscrites dans le casier judiciaire (informations facultatives):

− les noms des parents;

iii)  informations à inclure si l'autorité centrale en dispose (informations complémentaires):

− le numéro d'identité, ou le type et le numéro des documents d'identité de la personne concernée, ainsi que le nom de l'autorité les ayant délivrés;

− les pseudonymes ou noms d'emprunt;

b)  en ce qui concerne les données dactyloscopiques:

i)  les données dactyloscopiques qui ont été recueillies conformément au droit national à l'occasion de procédures pénales;

ii)  au minimum, les données dactyloscopiques recueillies sur la base de l'un des critères suivants:

–  lorsque le ressortissant d'un pays tiers a été condamné à une peine privative de liberté d'au moins six mois;

ou

–  lorsque le ressortissant d'un pays tiers a été condamné pour avoir commis une infraction pénale punissable, en vertu du droit de l'État membre, d'une peine privative de liberté d'une durée maximale d'au moins douze mois.

2.  Les données dactyloscopiques visées au paragraphe 1, point b), du présent article, répondent aux spécifications techniques concernant la qualité, la résolution et le traitement des données dactyloscopiques prévues dans l'acte d'exécution visé à l'article 10, paragraphe 1, point b). Le numéro de référence des données dactyloscopiques de la personne condamnée comprend le code de l'État membre de condamnation.

3.  Le fichier de données peut également contenir des images faciales du ressortissant d'un pays tiers condamné, si le droit de l'État membre de condamnation autorise la collecte et la conservation des images faciales des personnes condamnées.

4.  L'État membre de condamnation crée le fichier de données automatiquement, si possible, et sans retard injustifié après l'inscription de la condamnation dans le ▌ casier judiciaire ▌.

5.  Les États membres de condamnation créent également des fichiers de données concernant les condamnations prononcées avant la date de début de l'inscription des données conformément à l'article 35, paragraphe 1 dans la mesure où les données concernant les personnes condamnées sont conservées ▌ dans leurs bases de données nationales. Dans ces cas, les données dactyloscopiques sont incluses uniquement si elles ont été recueillies à l'occasion d'une procédure pénale conformément au droit national, et lorsqu'elles peuvent être clairement mises en concordance avec d'autres données d'identification dans les casiers judiciaires.

6.  Pour se conformer aux obligations énoncées au paragraphe 1, points b) i ) et b) ii), et au paragraphe 5, les États membres peuvent utiliser les données dactyloscopiques recueillies à des fins autres qu'une procédure pénale, lorsque cette utilisation est autorisée par le droit national.

Article 6

▌Images faciales

1.  Jusqu'à l'entrée en vigueur de l'acte délégué prévu au paragraphe 2, les images faciales ne peuvent être utilisées que pour confirmer l'identité d'un ressortissant d'un pays tiers identifié à la suite d'une consultation alphanumérique ou d'une recherche sur la base des données dactyloscopiques.

2.  La Commission est habilitée à adopter des actes délégués conformément à l'article 37 en vue de compléter le présent règlement en ce qui concerne l'utilisation d'images faciales aux fins de l'identification de ressortissants de pays tiers pour identifier les États membres détenant des informations sur les condamnations antérieures prononcées à l'encontre de ces personnes, lorsque cela devient techniquement possible. Avant d'exercer cette habilitation, la Commission évalue, en se fondant sur des critères de nécessité et de proportionnalité ainsi que sur les évolutions techniques dans le domaine des logiciels de reconnaissance faciale, si la technique requise est disponible et prête à être employée.

Article 7

Utilisation de l'ECRIS‑TCN pour identifier les États membres détenant des informations sur le casier judiciaire

1.  Les autorités centrales utilisent l'ECRIS‑TCN pour identifier les États membres qui détiennent des informations sur le casier judiciaire d'un ressortissant d'un pays tiers, afin d'obtenir des informations sur les condamnations antérieures au moyen de l'ECRIS, lorsque les informations sur le casier judiciaire sont demandées dans l'État membre concerné aux fins d'une procédure pénale à l'encontre de cette personne, ou à l'une des fins ci‑après, si le droit national le prévoit et conformément à celui-ci:

–  vérification par une personne de son propre casier judiciaire, à sa demande;

–  habilitation de sécurité;

–  obtention d'une licence ou d'un permis;

–  enquêtes menées dans le cadre d'un recrutement professionnel;

–  enquêtes menées dans le cadre d'un recrutement en vue d'activités bénévoles impliquant des contacts directs et réguliers avec des enfants ou des personnes vulnérables;

–  procédures de visas, d'acquisition de la citoyenneté et de migration, y compris les procédures d'asile; et

–  vérifications en rapport avec des marchés publics et des concours publics.

Toutefois, dans des cas particuliers, autres que ceux où un ressortissant d'un pays tiers présente à l'autorité centrale une demande d'informations sur son propre casier judiciaire, ou lorsque la demande est présentée pour obtenir des informations sur un casier judiciaire en vertu de l'article 10, paragraphe 2, de la directive 2011/93/UE, l'autorité demandant des informations sur le casier judiciaire peut décider qu'il n'est pas approprié d'utiliser l'ECRIS‑TCN.

2.  Tout État membre qui décide, si le droit national le prévoit et conformément à celui-ci, d'utiliser l'ECRIS‑TCN à des fins autres que celles prévues au paragraphe 1 pour obtenir des informations sur les condamnations antérieures au moyen de l'ECRIS notifie à la Commission, au plus tard à la date de mise en service visée à l'article 35, paragraphe 4, ou à tout moment par la suite, ces autres fins et toutes les modifications qui y sont apportées. La Commission publie ces notifications au Journal officiel de l'Union européenne dans les trente jours suivant leur réception.

3.  Eurojust, Europol ▌ et le Parquet européen peuvent interroger l'ECRIS‑TCN pour identifier les États membres détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers conformément aux articles 14 à 18. Toutefois, ils ne sont pas habilités à inscrire, rectifier ou effacer des données dans l'ECRIS-TCN.

4.  Aux fins visées aux paragraphes 1, 2 et 3, les autorités compétentes peuvent également interroger l'ECRIS‑TCN pour vérifier si, en ce qui concerne un citoyen de l'Union, un État membre quelconque détient des informations sur le casier judiciaire de cette personne en tant que ressortissant d'un pays tiers.

5.  Lorsqu'elles interrogent l'ECRIS‑TCN, les autorités compétentes peuvent utiliser une partie ou la totalité des données visées à l'article 5, paragraphe 1. L'ensemble minimal de données requises pour interroger le système est précisé dans un acte d'exécution adopté conformément à l'article 10, paragraphe 1, point g).

6.  Les autorités compétentes peuvent également interroger l'ECRIS‑TCN en utilisant des ▌images faciales ▌, pour autant que cette fonctionnalité ait été mise en œuvre conformément à l'article 6, paragraphe 2.

7.  En cas de réponse positive, le système central indique automatiquement à l'autorité compétente les États membres détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné, ainsi que les numéros de référence associés et toute donnée d'identification correspondante. Ces données d'identification ne sont utilisées qu'aux fins de la vérification de l'identité du ressortissant d'un pays tiers concerné. Les résultats d'une recherche dans le système central ne peuvent être utilisés que pour introduire une demande conformément à l'article 6 de la décision‑cadre 2009/315/JAI ou une demande visée à l'article 17, paragraphe 3, du présent règlement.

8.  En l'absence de réponse positive, le système central en informe automatiquement l'autorité compétente.

CHAPITRE III

CONSERVATION ET MODIFICATION DES DONNÉES

Article 8

Durée de conservation des données stockées

1.  Chaque ▌ fichier de données est conservé dans le système central tant que les données relatives aux condamnations de la personne concernée sont conservées dans le ▌ casier judiciaire ▌.

2.  À l'expiration de la durée de conservation visée au paragraphe 1, l'autorité centrale de l'État membre de condamnation procède à l'effacement du ▌ fichier de données, y compris les données dactyloscopiques et les images faciales, du système central. L'effacement se fait automatiquement, si possible, et en tout état de cause au plus tard un mois après l'expiration de la durée de conservation.

Article 9

Modification et effacement de données.

1.  Les États membres peuvent modifier ou effacer les données qu'ils ont inscrites dans l'ECRIS‑TCN.

2.  Toute modification des informations figurant dans le casier judiciaire ▌ qui ont conduit à la création d'un fichier de données conformément à l'article 5 comprend une modification identique, par l'État membre de condamnation, des informations conservées dans le fichier de données en question dans le système central, sans retard injustifié.

3.  Si un État membre de condamnation a des raisons de penser que les données qu'il a enregistrées dans le système central sont inexactes ou que des données ont été traitées dans le système central en violation du présent règlement, il:

a)  lance immédiatement une procédure de vérification des données concernées ou de la licéité de leur traitement, selon le cas;

b)  si nécessaire, les rectifie ou les efface du système central sans retard injustifié.

4.  Si un État membre autre que l'État membre de condamnation qui a inscrit les données a des raisons de penser que les données enregistrées dans le système central sont inexactes ou que des données ont été traitées dans le système central en violation du présent règlement, il prend contact, sans retard injustifié, avec l'autorité centrale de l'État membre de condamnation.

L'État membre de condamnation:

a)  lance immédiatement une procédure de vérification de l'exactitude des données concernées ou de la licéité de leur traitement, selon le cas;

b)  si nécessaire, les rectifie ou les efface du système central sans retard injustifié;

c)  informe l'autre État membre que les données ont été rectifiées ou effacées, ou lui expose les raisons pour lesquelles les données n'ont pas été rectifiées ou effacées, sans retard injustifié.

CHAPITRE IV

DÉVELOPPEMENT, FONCTIONNEMENT ET RESPONSABILITÉS

Article 10

Adoption d'actes d'exécution par la Commission

1.  La Commission adopte les actes d'exécution nécessaires au développement technique et ▌ à la mise en œuvre de l'ECRIS‑TCN, dès que possible et en particulier les actes concernant:

a)  les spécifications techniques pour le traitement des données alphanumériques;

b)  les spécifications techniques pour la qualité, la résolution et le traitement des données dactyloscopiques ▌;

c)  les spécifications techniques du logiciel d'interface;

d)  les spécifications techniques pour la qualité, la résolution et le traitement des images faciales aux fins de l'article 6 et aux conditions qui y sont énoncées;

e)  la qualité des données, y compris un dispositif et des procédures de contrôle de la qualité des données;

f)  l'inscription des données conformément à l'article 5;

g)  la consultation et l'interrogation de l'ECRIS‑TCN conformément à l'article 7;

h)  la modification et l'effacement des données conformément aux articles 8 et 9;

i)  la tenue des registres et l'accès à ceux‑ci conformément à l'article 31;

j)  le fonctionnement du fichier central et les règles en matière de sécurité et de protection des données applicables au fichier, conformément à l'article 32;

k)  la mise à disposition de statistiques conformément à l'article 32;

l)  les exigences en matière de performance et de disponibilité de l'ECRIS‑TCN, y compris les spécifications et exigences minimales de performance en matière biométrique de l'ECRIS‑TCN, en particulier pour ce qui est du taux de fausses identifications positives et du taux de fausses identifications négatives.

2.  Les actes d'exécution visés au paragraphe 1 sont adoptés en conformité avec la procédure d'examen visée à l'article 38, paragraphe 2.

Article 11

Développement et gestion opérationnelle de l'ECRIS‑TCN

1.  L'eu‑LISA est responsable du développement de l'ECRIS‑TCN conformément au principe de protection des données dès la conception et par défaut. En outre, l'eu‑LISA est responsable de la gestion opérationnelle de l'ECRIS‑TCN. Le développement consiste en l'élaboration et la mise en œuvre des spécifications techniques, en la réalisation d'essais et en la coordination générale du projet.

2.  L'eu‑LISA est également responsable de la poursuite du développement et de la maintenance de l'application de référence de l'ECRIS.

3.  L'eu‑LISA définit la conception de l'architecture matérielle de l'ECRIS‑TCN, notamment ses spécifications techniques et l'évolution en ce qui concerne le système central, le point d'accès central national, et le logiciel d'interface. Cette conception est adoptée par son conseil d'administration, sous réserve de l'avis favorable de la Commission.

4.  L'eu‑LISA développe et met en place l'ECRIS‑TCN dès que possible après l'entrée en vigueur du présent règlement ▌ et après l'adoption par la Commission des actes d'exécution prévus à l'article 10.

5.  Avant la phase de conception et de développement de l'ECRIS‑TCN, le conseil d'administration de l'eu‑LISA établit un conseil de gestion du programme, composé de dix membres.

Le conseil de gestion du programme est constitué de huit membres désignés par le conseil d'administration, du président du groupe consultatif visé à l'article 39 et d'un membre désigné par la Commission. Les membres désignés par le conseil d'administration sont issus exclusivement des États membres qui sont pleinement liés, en vertu du droit de l'Union, par les instruments législatifs régissant l'ECRIS et qui participeront à l'ECRIS‑TCN. Le conseil d'administration veille à ce que les membres qu'il désigne au conseil de gestion du programme disposent de l'expérience et de l'expertise nécessaires en matière de développement et de gestion des systèmes informatiques utilisés par les autorités judiciaires et celles gérant les casiers judiciaires.

L'eu‑LISA participe aux travaux du conseil de gestion du programme. À cette fin, des représentants de l'eu‑LISA assistent aux réunions du conseil de gestion du programme afin de faire rapport sur les travaux relatifs à la conception et au développement de l'ECRIS‑TCN ainsi que sur les autres travaux et activités connexes.

Le conseil de gestion du programme se réunit au moins une fois tous les trois mois, et plus souvent si nécessaire. Il veille à la bonne gestion de la phase de conception et de développement de l'ECRIS‑TCN ainsi qu'à la cohérence entre les projets ECRIS‑TCN aux niveaux central et national et avec le logiciel d'application national de l'ECRIS. Le conseil de gestion du programme présente régulièrement, et si possible chaque mois, au conseil d'administration de l'eu‑LISA des rapports écrits sur l'état d'avancement du projet. Le conseil de gestion du programme n'a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter les membres du conseil d'administration.

6.  Le conseil de gestion du programme établit son règlement intérieur, qui comprend notamment des règles sur:

a)  la présidence;

b)  les lieux de réunion;

c)  la préparation des réunions;

d)  l'admission d'experts aux réunions;

e)  des plans de communication assurant l'information exhaustive des membres du conseil d'administration non participants.

7.  La présidence du conseil de gestion du programme est exercée par un État membre qui est pleinement lié, en vertu du droit de l'Union, par les instruments législatifs régissant l'ECRIS et les instruments législatifs régissant le développement, la mise en place, le fonctionnement et l'utilisation de tous les systèmes informatiques à grande échelle gérés par l'eu‑LISA.

8.  Tous les frais de voyage et de séjour exposés par les membres du conseil de gestion du programme sont pris en charge par l'eu‑LISA. L'article 10 du règlement intérieur de l'eu‑LISA s'applique mutatis mutandis. Le secrétariat du conseil de gestion du programme est assuré par l'eu‑LISA.

9.  Pendant la phase de conception et de développement, le groupe consultatif visé à l'article 39 se compose des gestionnaires de projets nationaux de l'ECRIS‑TCN et est présidé par l'eu‑LISA. Au cours de cette phase, il se réunit régulièrement, et si possible au moins une fois par mois, jusqu'à la mise en service de l'ECRIS‑TCN. Après chaque réunion, il fait rapport au conseil de gestion du programme ▌. Il fournit l'expertise technique nécessaire à l'appui des tâches du conseil de gestion du programme et suit l'état de préparation des États membres.

10.  Afin de garantir la confidentialité et l'intégrité des données conservées dans l'ECRIS‑TCN à tout moment, l'eu‑LISA prévoit, en coopération avec les États membres, les mesures techniques et organisationnelles appropriées, en tenant compte de l'état des connaissances, du coût de mise en œuvre et des risques posés par le traitement.

11.  L'eu‑LISA est responsable des tâches ci‑après, liées à l'infrastructure de communication visée à l'article 4, paragraphe 1, point d):

a)  la supervision;

b)  la sécurité;

c)  la coordination des relations entre les États membres et le fournisseur de l'infrastructure de communication.

12.  La Commission est chargée de toutes les autres tâches liées à l'infrastructure de communication visées à l'article 4, paragraphe 1, point d), en particulier:

a)  les tâches relatives à l'exécution du budget;

b)  l'acquisition et le renouvellement;

c)  les questions contractuelles.

13.  L'eu‑LISA élabore et gère un dispositif et des procédures de contrôle de la qualité des données conservées dans l'ECRIS‑TCN et présente à intervalles réguliers des rapports aux États membres. Elle présente à la Commission, à intervalles réguliers, des rapports précisant les problèmes rencontrés et les États membres concernés.

14.  La gestion opérationnelle de l'ECRIS‑TCN comprend toutes les tâches nécessaires au fonctionnement de l'ECRIS-TCN conformément au présent règlement, en particulier les travaux de maintenance et les perfectionnements techniques indispensables pour que l'ECRIS-TCN fonctionne à un niveau satisfaisant, conformément aux spécifications techniques.

15.  L'eu‑LISA s'acquitte des tâches liées à la fourniture d'une formation relative à l'utilisation technique de l'ECRIS‑TCN et de l'application de référence de l'ECRIS.

16.  Sans préjudice de l'article 17 du statut des fonctionnaires de l'Union européenne, tel qu'il figure dans le règlement (CEE, Euratom, CECA) n° 259/68 du Conseil(17), l'eu‑LISA applique des règles appropriées en matière de secret professionnel ou impose des obligations de confidentialité équivalentes à tous les membres de son personnel appelés à travailler avec les données enregistrées dans le système central. Cette obligation continue de s'appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leur activité.

Article 12

Responsabilités des États membres

1.  Chaque État membre est responsable:

a)  de l'établissement d'une connexion sécurisée entre son casier judiciaire national ▌, ses bases de données dactyloscopiques et son point d'accès central national;

b)  du développement, du fonctionnement et de la maintenance de la connexion visée au point a);

c)  de l'établissement d'une connexion entre ses systèmes nationaux et l'application de référence de l'ECRIS;

d)  de la gestion et des modalités de l'accès à l'ECRIS‑TCN dont bénéficie le personnel dûment autorisé des autorités centrales, conformément au présent règlement, ainsi que de l'établissement d'une liste de ce personnel et des profils visés à l'article 19, paragraphe 3, point g), et de la mise à jour régulière de cette liste.

2.  Chaque État membre veille à ce que le personnel de son autorité centrale ayant un droit d'accès à l'ECRIS‑TCN reçoive, avant d'être autorisé à traiter des données conservées dans le système central, une formation appropriée, portant en particulier sur les règles en matière de sécurité et de protection des données ainsi que les droits fondamentaux applicables.

Article 13

Responsabilité en matière d'utilisation des données

1.  Conformément aux règles applicables de l'Union en matière de protection des données, chaque État membre veille à ce que les données enregistrées dans l'ECRIS‑TCN soient traitées de manière licite, et en particulier à ce que:

a)  seul le personnel dûment autorisé ait accès aux données pour l'accomplissement de ses tâches;

b)  les données soient collectées de manière licite et dans le respect intégral de la dignité humaine et des droits fondamentaux du ressortissant d'un pays tiers concerné;

c)  les données soient inscrites de manière licite dans l'ECRIS‑TCN;

d)  les données soient exactes et à jour lors de leur inscription dans l'ECRIS‑TCN.

2.  L'eu‑LISA veille à ce que l'ECRIS‑TCN soit utilisé conformément au présent règlement, à l'acte délégué visé à l'article 6, paragraphe 2, et aux actes d'exécution visés à l'article 10, ainsi qu'au règlement (UE) 2018/1725. En particulier, l'eu‑LISA prend les mesures nécessaires pour assurer la sécurité du système central et de l'infrastructure de communication visées à l'article 4, paragraphe 1, point d), sans préjudice des responsabilités incombant à chaque État membre.

3.  L'eu‑LISA informe le Parlement européen, le Conseil et la Commission, ainsi que le Contrôleur européen de la protection des données, dès que possible, des mesures qu'elle prend, en vertu du paragraphe 2, en vue de la mise en service de l'ECRIS‑TCN.

4.  La Commission met les informations visées au paragraphe 3 à la disposition des États membres et du public, par l'intermédiaire d'un site internet public régulièrement actualisé.

Article 14

Accès d'Eurojust, d'Europol et du Parquet européen

1.  Eurojust dispose d'un accès direct à l'ECRIS‑TCN aux fins de la mise en œuvre de l'article 17, ainsi que de l'accomplissement de ses missions en vertu de l'article 2 du règlement (UE) 2018/1727, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.

2.  Europol dispose d'un accès direct à l'ECRIS‑TCN aux fins de l'accomplissement de ses missions en vertu de l'article 4, paragraphe 1, points a) à e) et h), du règlement (UE) 2016/794, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.

3.  Le Parquet européen dispose d'un accès direct à l'ECRIS‑TCN aux fins de l'accomplissement de ses missions en vertu de l'article 4 du règlement (UE) 2017/1939, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.

4.  À la suite d'une réponse positive indiquant les États membres détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers, Eurojust, Europol et le Parquet européen peuvent utiliser les contacts qu'ils ont respectivement établis avec les autorités nationales de ces États membres pour demander des informations sur le casier judiciaire dans la forme prévue par leurs actes constitutifs respectifs.

Article 15

Accès du personnel autorisé d'Eurojust, d'Europol et du Parquet européen

Eurojust, Europol et le Parquet européen sont responsables de la gestion et des modalités d'accès à l'ECRIS‑TCN du personnel dûment autorisé, conformément au présent règlement et ▌de l'établissement d'une liste de ce personnel et de ses profils et de la mise à jour régulière de cette liste.

Article 16

Responsabilités d'Eurojust, d'Europolet du Parquet européen

Eurojust, Europol et le Parquet européen:

a)  mettent en place les moyens techniques permettant la connexion à l'ECRIS‑TCN et sont chargés du maintien de cette connexion;

b)  fournissent une formation appropriée couvrant, en particulier, les règles en matière de sécurité et de protection des données et les droits fondamentaux applicables aux membres de leur personnel ayant un droit d'accès à l'ECRIS‑TCN avant de les autoriser à traiter des données conservées dans le système central;

c)  veillent à ce que les données à caractère personnel traitées par ce personnel en vertu du présent règlement soient protégées conformément aux règles applicables en matière de protection des données.

Article 17

Point de contact pour les pays tiers et les organisations internationales

1.  Les pays tiers et les organisations internationales peuvent, aux fins d'une procédure pénale, adresser des demandes d'information, le cas échéant, sur l'État membre détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers à Eurojust. À cette fin, ils utilisent le formulaire type figurant à l'annexe du présent règlement.

2.  Lorsqu'une demande en vertu du paragraphe 1 lui est adressée, Eurojust utilise l'ECRIS‑TCN pour identifier, le cas échéant, les États membres détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné.

3.  En cas de réponse positive, Eurojust demande à l'État membre détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné s'il consent à ce qu'Eurojust communique son nom au pays tiers ou à l'organisation internationale. Lorsque cet État membre donne son consentement, Eurojust communique au pays tiers ou à l'organisation internationale le nom de cet État membre et informe le pays tiers ou l'organisation internationale de la manière dont il/elle peut introduire une demande d'extrait de casier judiciaire auprès de cet État membre en conformité avec les procédures applicables.

4.  En l'absence de réponse positive ou lorsqu'Eurojust ne peut pas donner de réponse, conformément au paragraphe 3, aux demandes qui lui ont été adressées au titre du présent article, elle informe le pays tiers ou l'organisation internationale concerné qu'elle a mené à bien la procédure, sans indiquer si des informations sur le casier judiciaire de la personne concernée sont détenues par un État membre.

Article 18

Communication d'informations à un pays tiers, une organisation internationale ou une entité privée

Ni Eurojust, ni Europol, ni le Parquet européen, ni aucune autorité centrale ne peut transférer à un pays tiers, à une organisation internationale ou à une entité privée, ni mettre à leur disposition, des informations concernant un ressortissant d'un pays tiers obtenues au moyen de l'ECRIS‑TCN. Le présent article ne porte pas atteinte à l'article 17, paragraphe 3.

Article 19

Sécurité des données

1.  L'eu‑LISA prend les mesures nécessaires pour assurer la sécurité de l'ECRIS‑TCN, sans préjudice des responsabilités incombant à chaque État membre, en tenant compte des mesures de sécurité prévues au paragraphe 3.

2.  En ce qui concerne le fonctionnement de l'ECRIS‑TCN, l'eu‑LISA prend les mesures nécessaires à la réalisation des objectifs fixés au paragraphe 3, y compris l'adoption d'un plan de sécurité et d'un plan de continuité des activités et de rétablissement après sinistre, ainsi que pour faire en sorte que les systèmes installés puissent, en cas d'interruption, être rétablis.

3.  Les États membres assurent la sécurité des données avant et pendant leur transmission au point d'accès central national et leur réception depuis ce même point d'accès central. En particulier, chaque État membre:

a)  assure la protection physique des données, notamment en élaborant des plans d'urgence pour la protection des ▌ infrastructures;

b)  empêche l'accès de toute personne non autorisée aux installations nationales dans lesquelles sont effectuées les opérations qui incombent à l'État membre en rapport avec l'ECRIS‑TCN;

c)  empêche toute lecture, copie, modification ou suppression non autorisées de supports de données;

d)  empêche l'introduction non autorisée de données et le contrôle, la modification ou l'effacement non autorisés de données à caractère personnel conservées;

e)  empêche le traitement non autorisé de données dans l'ECRIS‑TCN ainsi que toute modification ou tout effacement non autorisés de données traitées dans le système ECRIS‑TCN;

f)  fait en sorte que les personnes autorisées à avoir accès à l'ECRIS‑TCN n'aient accès qu'aux données couvertes par leur autorisation d'accès, et ce uniquement au moyen d'identifiants individuels uniques et de modes d'accès confidentiels;

g)  fait en sorte que toutes les autorités ayant un droit d'accès à l'ECRIS‑TCN créent des profils décrivant les fonctions et les responsabilités des personnes autorisées à inscrire les données, à les rectifier, à les effacer, à les consulter et à y faire des recherches, et qu'elles communiquent sans retard injustifié ces profils aux autorités ▌ de contrôle nationales, lorsque ces dernières en font la demande;

h)  faire en sorte qu'il soit possible de vérifier et de déterminer à quels organes et organismes de l'Union les données à caractère personnel peuvent être transmises au moyen de matériel de transmission de données;

i)  fait en sorte qu'il soit possible de vérifier et d'établir quelles données ont été traitées dans l'ECRIS‑TCN, à quel moment, par qui et dans quel but;

j)  empêche toute lecture, copie ou modification ou tout effacement non autorisés de données à caractère personnel pendant leur transmission à partir de l'ECRIS‑TCN ou vers celui‑ci, ou durant le transport de supports de données, en particulier par des techniques de cryptage adaptées;

k)  contrôle l'efficacité des mesures de sécurité visées au présent paragraphe et prend les mesures organisationnelles nécessaires en matière d'autocontrôle et de surveillance pour assurer le respect du présent règlement.

4.  L'eu‑LISA et les États membres coopèrent afin d'assurer une approche cohérente en matière de sécurité des données, sur la base d'un processus de gestion des risques pour la sécurité englobant l'ensemble de l'ECRIS‑TCN.

Article 20

Responsabilité

1.  Toute personne ou tout État membre ayant subi un dommage matériel ou moral du fait d'un traitement illicite ou de toute autre action incompatible avec le présent règlement a le droit d'obtenir réparation:

a)  de l'État membre responsable du dommage subi; ou

b)  de l'eu‑LISA, si elle n'a pas satisfait à ses obligations énoncées dans le présent règlement ou dans le règlement (UE) 2018/1725.

L'État membre qui est responsable du dommage subi ou l'eu‑LISA, respectivement, est exonéré(e) partiellement ou totalement de sa responsabilité s'il/si elle prouve que le fait générateur du dommage ne lui est pas imputable.

2.  Si le non‑respect, par un État membre, Eurojust, Europol ou le Parquet européen, des obligations qui lui incombent en vertu du présent règlement cause un dommage à l'ECRIS‑TCN, cet État membre, Eurojust, Europol, ou le Parquet européen, respectivement, en est tenu responsable, sauf si et dans la mesure où l'eu‑LISA ou un autre État membre participant à l'ECRIS‑TCN n'a pas pris de mesures raisonnables pour prévenir le dommage ou en atténuer les effets.

3.  Les actions en réparation intentées contre un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par le droit de l'État membre défendeur. Les actions en réparation intentées contre l'eu‑LISA, Eurojust, Europol et le Parquet européen pour les dommages visés aux paragraphes 1 et 2 sont régis par leurs actes constitutifs respectifs.

Article 21

Autocontrôle

Les États membres veillent à ce que chaque autorité centrale prenne les mesures nécessaires pour se conformer au présent règlement et coopère, s'il y a lieu, avec les autorités de contrôles.

Article 22

Sanctions

Toute utilisation frauduleuse de données inscrites dans l'ECRIS‑TCN donne lieu, conformément au droit national ou de l'Union, à des sanctions ou à des mesures disciplinaires qui sont effectives, proportionnées et dissuasives.

CHAPITRE V

DROITS ET SURVEILLANCE EN MATIÈRE DE PROTECTION DES DONNÉES

Article 23

Responsable du traitement des données et sous‑traitant des données

1.  Chaque autorité centrale doit être considérée comme le responsable du traitement des données conformément aux règles applicables de l'Union en matière de protection des données pour ce qui est du traitement des données à caractère personnel effectué par ledit État membre en vertu du présent règlement.

2.  L'eu‑LISA est considérée comme le sous‑traitant des données conformément au règlement (UE) 2018/1725 pour ce qui est des données à caractère personnel inscrites dans le système central par les États membres.

Article 24

Finalité du traitement des données à caractère personnel

1.  Les données inscrites dans le système central ne font l'objet d'un traitement qu'aux fins de l'identification des États membres détenant des informations sur les casiers judiciaires de ressortissants de pays tiers.

2.  En dehors du personnel dûment autorisé d'Eurojust, d'Europol et du Parquet européen, qui a accès à l'ECRIS‑TCN aux fins du présent règlement, l'accès à l'ECRIS‑TCN est exclusivement réservé au personnel dûment autorisé des autorités centrales ▌. L'accès est limité à ce qui est requis pour l'accomplissement des tâches, conformément aux finalités visées au paragraphe 1, et à ce qui est nécessaire et proportionné aux objectifs poursuivis.

Article 25

Droit d'accès, de rectification, d'effacement et de limitation du traitement

1.  Les demandes des ressortissants de pays tiers concernant les droits d'accès aux données à caractère personnel, de rectification et d'effacement de ces données et de la limitation de leur traitement, qui sont prévus par les règles applicables de l'Union en matière de protection des données, peuvent être adressées à l'autorité centrale de tout État membre

2.  Lorsqu'une demande est adressée à un État membre autre que l'État membre de condamnation, ▌ l'État membre auquel la demande a été adressée la transmet à l'État membre de condamnation sans retard injustifié et, en tout état de cause, dans les dix jours ouvrables suivant la réception de la demande. Dès réception de la demande, l'État membre de condamnation:

a)  lance immédiatement une procédure de vérification de l'exactitude des données concernées ou de la licéité de leur traitement dans l'ECRIS‑TCN; et

b)  répond sans retard injustifié à l'État membre qui a transmis la demande.

3.  S'il apparaît que les données enregistrées dans l'ECRIS‑TCN sont ▌ inexactes ou qu'elles y ont été traitées de façon illicite, l'État membre de condamnation rectifie ou efface les données conformément à l'article 9. L'État membre de condamnation ou, le cas échéant, l'État membre auquel la demande a été adressée confirme par écrit et sans retard injustifié à la personne concernée que des mesures ont été prises pour rectifier ou effacer des données la concernant. L'État membre de condamnation notifie également sans retard injustifié les mesures qui ont été prises à tout autre État membre ayant reçu des informations relatives à cette condamnation obtenues à la suite de l'interrogation de l'ECRIS‑TCN.

4.  Si l'État membre de condamnation ▌ n'estime pas que les données enregistrées dans l'ECRIS‑TCN sont inexactes ou qu'elles ont été traitées de façon illicite, il adopte une décision administrative ou judiciaire indiquant par écrit à la personne concernée ▌ les raisons pour lesquelles il n'est pas disposé à rectifier ou effacer les données la concernant. Ces cas sont, s'il y a lieu, communiqués à l'autorité de contrôle nationale.

5.  L'État membre qui a adopté la ▌ décision n vertu du paragraphe 4 fournit également à la personne concernée des informations expliquant les mesures que cette personne peut prendre si ▌ elle n'accepte pas l'explication fournie en vertu du paragraphe 4. Il s'agit notamment d'informations sur les modalités de recours ou de réclamation devant les autorités ou les juridictions compétentes de cet État membre, ainsi que sur toute aide, y compris de la part des autorités de contrôle nationales, disponible conformément au droit national de cet État membre.

6.  Toute demande présentée en vertu du paragraphe 1 comporte toutes les ▌ informations nécessaires à l'identification de la personne concernée. Ces informations ne sont utilisées que pour permettre l'exercice des droits visés au paragraphe 1 et sont ensuite immédiatement effacées.

7.  Lorsque le paragraphe 2 s'applique, l'autorité centrale à qui la demande a été adressée conserve une trace écrite de l'introduction de cette demande, de la façon dont la demande a été traitée et à quelle autorité elle a été transmise. Si une autorité de contrôle nationale en fait la demande, l'autorité centrale lui transmet sans retard cette trace. L'autorité centrale et l'autorité de contrôle nationale effacent de telles traces trois ans après leur établissement.

Article 26

Coopération en vue de garantir le respect des droits en matière de protection des données

1.  Les autorités centrales coopèrent entre elles en vue de garantir le respect des droits prévus à l'article 25.

2.  Dans chaque État membre, l'autorité de contrôle nationale communique sur demande à la personne concernée des informations sur la manière d'exercer son droit de faire rectifier ou effacer les données la concernant, conformément aux règles applicables de l'Union en matière de protection des données.

3.  Aux fins du présent article, l'autorité de contrôle nationale de l'État membre qui a transmis les données et l'autorité de contrôle nationale de l'État membre auquel la demande a été adressée coopèrent entre elles.

Article 27

Voies de recours

▌ Toute personne a le droit d'introduire une réclamation et le droit de former un recours dans l'État membre de condamnation qui lui a refusé le droit d'accès aux données la concernant ou le droit d'en obtenir la rectification ou l'effacement visés à l'article 25, conformément au droit national ou de l'Union.

Article 28

Surveillance assurée par les autorités de contrôle nationales

1.  Chaque État membre veille à ce que les autorités de contrôle nationales, désignées conformément aux règles applicables de l'Union en matière de protection des données, contrôlent la licéité du traitement, effectué par l'État membre en question, des données à caractère personnel visées aux articles 5 et 6, y compris de leur transmission à partir de l'ECRIS‑TCN et vers celui‑ci.

2.  L'autorité de contrôle nationale veille à ce qu'un audit des activités de traitement des données figurant dans les casiers judiciaires et les bases de données dactyloscopiques nationaux en rapport avec l'échange de données entre ces systèmes et l'ECRIS‑TCN, répondant aux normes internationales d'audit applicables, soit réalisé tous les trois ans au minimum à compter de la date de mise en service de l'ECRIS‑TCN.

3.  Les États membres veillent à ce que leurs autorités de contrôle nationales disposent de ressources suffisantes pour s'acquitter des tâches qui leur sont confiées en vertu du présent règlement.

4.  Chaque État membre communique toutes les informations demandées par ses autorités de contrôle nationales et leur fournit, en particulier, les informations relatives aux activités menées conformément aux articles 12, 13 et 19. Chaque État membre permet à ses autorités de contrôle nationales d'accéder à ses traces en application de l'article 25, paragraphe 7, et à ses registres nationaux en application de l'article 31, paragraphe 6, et, à tout moment, à l'ensemble de ses locaux liés à l'ECRIS‑TCN.

Article 29

Surveillance assurée par le Contrôleur européen de la protection des données

1.  Le Contrôleur européen de la protection des données contrôle que les activités de traitement des données à caractère personnel menées par l'eu‑LISA qui concernent l'ECRIS‑TCN sont effectuées conformément au présent règlement.

2.  Le Contrôleur européen de la protection des données veille à ce qu'un audit des activités de traitement des données à caractère personnel menées par l'eu‑LISA, répondant aux normes internationales d'audit applicables, soit réalisé tous les trois ans au minimum. Le rapport de cet audit est communiqué au Parlement européen, au Conseil, à la Commission, à l'eu‑LISA et aux autorités de contrôle. L'eu‑LISA se voit offrir la possibilité de formuler des observations avant l'adoption du rapport.

3.  L'eu‑LISA communique au Contrôleur européen de la protection des données les renseignements qu'il demande et lui donne accès à tous les documents et aux registres visés à l'article 31 et, à tout moment, à l'ensemble de ses locaux.

Article 30

Coopération entre les autorités de contrôle nationales et le Contrôleur européen de la protection des données

Un contrôle coordonné de l'ECRIS-TCN est assuré conformément à l'article 62 du règlement (UE) 2018/1725.

Article 31

Tenue de registres

1.  L'eu‑LISA et les autorités compétentes veillent, conformément à leurs responsabilités respectives, à ce que toutes les activités de traitement de données dans l'ECRIS‑TCN soient consignées dans un registre conformément au paragraphe 2 aux fins de la vérification de la recevabilité des demandes ainsi que du contrôle de l'intégrité et de la sécurité des données et de la licéité du traitement des données, de même qu'à des fins d'autocontrôle.

2.  Le registre ▌ mentionne:

a)  la finalité de la demande d'accès aux données de l'ECRIS‑TCN;

b)  les données transmises, visées à l'article 5;

c)  la référence du fichier national;

d)  la date et l'heure précise de l'opération;

e)  les données utilisées pour la demande;

f)  les données d'identification de l'agent qui a effectué la recherche ▌.

3.  Le registre des opérations de consultation et de transmission des données permet d'établir le motif de telles opérations.

4.  Les registres ▌ ne sont utilisés que pour contrôler la licéité du traitement des données et pour garantir l'intégrité et la sécurité de celles‑ci. Seuls les registres contenant des données à caractère non personnel peuvent être utilisés aux fins du suivi et de l'évaluation visés à l'article 36. Ces registres sont protégés par des mesures appropriées contre tout accès non autorisé et sont effacés au bout de trois ans s'ils ne sont plus nécessaires à une procédure de contrôle déjà engagée.

5.  Sur demande, l'eu‑LISA met, sans retard injustifié, les registres de ses opérations de traitement à la disposition des autorités centrales.

6.  Les autorités de contrôle nationales compétentes chargées de vérifier la recevabilité de la demande et de contrôler la licéité du traitement des données ainsi que l'intégrité et la sécurité des données ont accès aux registres à leur demande aux fins de l'accomplissement des tâches qui leur incombent. Sur demande, les autorités centrales mettent, sans retard injustifié, les registres de leurs opérations de traitement à la disposition des autorités de contrôle nationales compétentes.

CHAPITRE VI

DISPOSITIONS FINALES

Article 32

Utilisation des données à des fins d'établissement de rapports et de statistiques

1.  Le personnel dûment autorisé de l'eu‑LISA, des autorités compétentes ▌ et de la Commission n'ont accès aux données traitées dans l'ECRIS‑TCN qu'à des fins statistiques et d'établissement de rapports ne permettant aucune identification d'individus.

2.  Aux fins du paragraphe 1, l'eu‑LISA crée, met en place et héberge sur ses sites techniques un fichier central contenant les données visées au paragraphe 1 qui, sans permettre l'identification d'individus, permet d'obtenir des rapports et des statistiques personnalisables. L'accès au fichier central est accordé de manière sécurisée, moyennant un contrôle de l'accès et des profils d'utilisateur spécifiques utilisés exclusivement aux fins de l'établissement de rapports et de statistiques.

3.  Les procédures mises en place par l'eu‑LISA pour suivre le fonctionnement de l'ECRIS‑TCN, visées à l'article 36, ainsi que l'application de référence de l'ECRIS, prévoient la possibilité de produire régulièrement des statistiques à ▌ des fins de suivi.

Chaque mois, l'eu‑LISA soumet à la Commission ▌ des statistiques sur l'enregistrement, le stockage et l'échange d'informations extraites des casiers judiciaires au moyen de l'ECRIS‑TCN et de l'application de référence de l'ECRIS. L'eu-LISA veille à ce qu'il ne soit pas possible d'identifier des individus sur la base de ces statistiques. À la demande de la Commission, l'eu‑LISA lui communique des statistiques relatives à certains aspects spécifiques ayant trait à la mise en œuvre du présent règlement.

4.  Les États membres communiquent à l'eu‑LISA les statistiques dont elle a besoin pour s'acquitter de ses obligations visées au présent article. Ils procurent à la Commission des statistiques sur le nombre de ressortissants de pays tiers condamnés, de même que sur le nombre de condamnations de ressortissants de pays tiers prononcées sur leur territoire ▌.

Article 33

Coûts

1.  Les coûts afférents à la création et au fonctionnement du système central, de l'infrastructure de communication visée à l'article 4, paragraphe 1, point d), du logiciel d'interface et de l'application de référence de l'ECRIS sont à la charge du budget général de l'Union.

2.  Les coûts de connexion d'Eurojust, d'Europol et ▌ du Parquet européen ▌ à l'ECRIS‑TCN sont imputés à leurs budgets respectifs.

3.  Les autres coûts sont pris en charge par les États membres, en particulier les coûts afférents à la connexion des casiers judiciaires nationaux existants, des bases de données dactyloscopiques et des autorités centrales à l'ECRIS‑TCN, ainsi que les coûts liés à l'hébergement de l'application de référence de l'ECRIS.

Article 34

Notifications

1.  Chaque État membre notifie à l'eu‑LISA le nom de son ou de ses autorités centrales qui bénéficient d'un accès pour inscrire, rectifier, effacer ou consulter des données ou effectuer des recherches dans celles‑ci, ainsi que toute modification à cet égard.

2.  L'eu‑LISA fait publier, tant au Journal officiel de l'Union européenne que sur son site internet, une liste des autorités centrales notifiées par les États membres. Lorsque l'eu‑LISA reçoit la notification d'une modification de l'autorité centrale d'un État membre, elle met à jour la liste sans retard injustifié.

Article 35

Inscription des données et mise en service du système

1.  Dès que la Commission considère que les conditions ci‑après sont remplies, elle détermine la date à partir de laquelle les États membres commencent à inscrire les données visées à l'article 5 dans l'ECRIS‑TCN ▌:

a)  les actes d'exécution pertinents visés à l'article 10 ont été adoptés;

b)  les États membres ont validé les aménagements techniques et juridiques nécessaires pour recueillir et transmettre à l'ECRIS‑TCN les données visées à l'article 5 et ils les ont notifiés à la Commission;

c)  l'eu‑LISA a réalisé un essai complet de l'ECRIS‑TCN, qu'elle a mené en coopération avec les États membres à partir de données d'essai anonymes.

2.  Lorsque la Commission a déterminé la date de début de l'inscription des données conformément au paragraphe 1, elle la communique aux États membres. Durant une période de deux mois à compter de cette date, les États membres inscrivent les données visées à l'article 5 dans l'ECRIS‑TCN, en tenant compte de l'article 41, paragraphe 2.

3.  Au terme de la période visée au paragraphe 2, l'eu‑LISA réalise un essai final de l'ECRIS‑TCN, en coopération avec les États membres.

4.  Lorsque l'essai visé au paragraphe 3 a été mené à bien avec succès et que l'eu‑LISA considère que l'ECRIS-TCN est prêt à être mis en service, elle en informe la Commission. La Commission informe le Parlement européen et le Conseil des résultats de l'essai effectué et arrête la date de mise en service de l'ECRIS‑TCN.

5.  La décision de la Commission relative à la date de mise en service de l'ECRIS‑TCN visée au paragraphe 4 est publiée au Journal officiel de l'Union européenne.

6.  Les États membres commencent à utiliser l'ECRIS‑TCN à partir de la date fixée par la Commission conformément au paragraphe 4.

7.  Lorsqu'elle prend les décisions visées au présent article, la Commission peut prévoir des dates différentes pour l'inscription dans l'ECRIS‑TCN des données alphanumériques et des données dactyloscopiques visées à l'article 5, ainsi que pour le début des opérations relatives à ces différentes catégories de données.

Article 36

Suivi et évaluation

1.  L'eu‑LISA veille à ce que des procédures soient en place pour suivre le développement de l'ECRIS‑TCN par rapport aux objectifs fixés en matière de planification et de coûts et suivre le fonctionnement de l'ECRIS‑TCN et de l'application de référence de l'ECRIS par rapport aux objectifs fixés en matière de résultats techniques, de coût‑efficacité, de sécurité et de qualité du service.

2.  Aux fins du suivi du fonctionnement de l'ECRIS-TCN et de sa maintenance technique, l'eu‑LISA a accès aux informations nécessaires concernant les opérations de traitement de données effectuées dans l'ECRIS‑TCN et l'application de référence de l'ECRIS.

3.  Au plus tard … [six mois après l'entrée en vigueur du présent règlement], puis tous les six mois pendant la phase de conception et de développement, l'eu‑LISA présente un rapport au Parlement européen et au Conseil sur l'état d'avancement du développement de l'ECRIS‑TCN et de l'application de référence de l'ECRIS.

4.  Le rapport visé au paragraphe 3 comprend un aperçu des coûts et de l'état d'avancement du projet, une évaluation des incidences financières ainsi que des informations sur les problèmes techniques et les risques susceptibles d'avoir des retombées sur le coût total de l'ECRIS-TCN à imputer sur le budget général de l'Union conformément à l'article 33.

5.  En cas de retards importants dans le processus de développement, l'eu-LISA informe le Parlement européen et le Conseil dès que possible des raisons de ces retards ainsi que de leurs incidences temporelles et financières.

6.  Une fois achevé le développement de l'ECRIS‑TCN et de l'application de référence de l'ECRIS, l'eu-LISA soumet un rapport au Parlement européen et au Conseil expliquant la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et justifiant les écarts éventuels.

7.  En cas de mise à niveau technique de l'ECRIS-TCN susceptible d'entraîner des coûts importants, l'eu-LISA informe le Parlement européen et la Commission.

8.  Deux ans après la mise en service de l'ECRIS‑TCN et chaque année par la suite, l'eu‑LISA présente à la Commission un rapport sur le fonctionnement technique de l'ECRIS‑TCN et de l'application de référence de l'ECRIS, y compris sur leur sécurité, fondé notamment sur les statistiques relatives au fonctionnement et à l'utilisation de l'ECRIS‑TCN, ainsi que sur l'échange, par l'intermédiaire de l'application de référence de l'ECRIS, d'informations extraites des casiers judiciaires.

9.  Quatre ans après la mise en service de l'ECRIS‑TCN et tous les quatre ans par la suite, la Commission procède à une évaluation globale de l'ECRIS‑TCN et de l'application de référence de l'ECRIS. Le rapport d'évaluation globale établi sur cette base comprend une évaluation de l'application du présent règlement et un examen des résultats obtenus par rapport aux objectifs fixés ainsi que de l'incidence sur les droits fondamentaux. Le rapport détermine également si les principes de base du fonctionnement de l'ECRIS‑TCN restent valables, apprécie la pertinence de l'utilisation des données biométriques aux fins de l'ECRIS‑TCN et la sécurité de l'ECRIS‑TCN, et en tire toutes les conséquences en matière de sécurité pour le fonctionnement futur. L'évaluation comprend les éventuelles recommandations nécessaires. La Commission transmet le ▌ rapport au Parlement européen, au Conseil, au Contrôleur européen de la protection des données et à l'Agence des droits fondamentaux de l'Union européenne.

10.  En outre, la première évaluation globale visée au paragraphe 9 porte notamment sur:

a)  la mesure dans laquelle, sur la base de données statistiques pertinentes et d'autres informations communiquées par les États membres, l'inclusion dans l'ECRIS‑TCN des données d'identification des citoyens de l'Union qui ont également la nationalité d'un pays tiers a contribué à la réalisation des objectifs du présent règlement;

b)  la possibilité, pour certains États membres, de continuer à utiliser un logiciel d'application national de l'ECRIS, visé à l'article 4;

c)  l'inscription des données dactyloscopiques dans l'ECRIS‑TCN, en particulier l'application des critères minimaux visés à l'article 5, paragraphe 1, point b) ii);

d)  l'impact de l'ECRIS et de l'ECRIS‑TCN sur la protection des données à caractère personnel.

L'évaluation peut, au besoin, être accompagnée de propositions législatives. Les évaluations globales ultérieures peuvent comprendre une appréciation de l'un ou l'autre de ces aspects ou de la totalité d'entre eux.

11.  Les États membres, Eurojust, Europol ▌ et le Parquet européen ▌ communiquent à l'eu‑LISA et à la Commission les informations nécessaires à l'établissement des rapports visés aux paragraphes 3, 8 et 9, dans le respect des indicateurs quantitatifs prédéfinis par la Commission, l'eu‑LISA ou la Commission et l'eu-LISA. Ces informations ne portent pas préjudice aux méthodes de travail et ne comprennent pas d'indications sur les sources, les membres du personnel ou les enquêtes.

12.  S'il y a lieu, les autorités de contrôle communiquent à l'eu‑LISA et à la Commission les informations nécessaires à l'établissement des rapports visés au paragraphe 9, dans le respect des indicateurs quantitatifs prédéfinis par la Commission, l'eu‑LISA ou la Commission et l'eu-LISA. Ces informations ne portent pas préjudice aux méthodes de travail et ne comprennent pas d'indications sur les sources, les membres du personnel ou les enquêtes.

13.  L'eu‑LISA communique à la Commission les informations nécessaires pour réaliser les évaluations globales visées au paragraphe 9.

Article 37

Exercice de la délégation

1.  Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.  Le pouvoir d'adopter des actes délégués visé à l'article 6, paragraphe 2, est conféré à la Commission pour une durée indéterminée à compter du ... [date d'entrée en vigueur du présent règlement].

3.  La délégation de pouvoir visée à l'article 6, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.  Avant l'adoption d'un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l'accord interinstitutionnel du 13 avril 2016 "Mieux légiférer".

5.  Aussitôt qu'elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

6.  Un acte délégué adopté en vertu de l'article 6, paragraphe 2, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil.

Article 38

Comité

1.  La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) nº 182/2011.▌

2.  Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) n° 182/2011 s'applique.

Lorsque le comité n'émet aucun avis, la Commission n'adopte pas le projet d'acte d'exécution et l'article 5, paragraphe 4, troisième alinéa, du règlement (UE) n° 182/2011 s'applique.

Article 39

Groupe consultatif

L'eu‑LISA crée un groupe consultatif pour pouvoir bénéficier d'une expertise en rapport avec l'ECRIS‑TCN et l'application de référence de l'ECRIS, notamment dans le contexte de l'élaboration de son programme de travail annuel et de son rapport d'activité annuel. Durant la phase de conception et de développement, l'article 11, paragraphe 9, s'applique.

Article 40

Modifications du règlement (UE) 2018/1726

Le règlement (UE) 2018/1726 est modifié comme suit:

1)  À l'article 1er, le paragraphe 4 est remplacé par le texte suivant:"

"4. L'Agence est chargée de la conception, du développement ou de la gestion opérationnelle du système d'entrée/de sortie (EES), de DubliNet, du système européen d'information et d'autorisation concernant les voyages (ETIAS), de l'ECRIS‑TCN et de l'application de référence de l'ECRIS.".

"

2)  L'article suivant est inséré:"

"Article 8 bis

Tâches liées à l'ECRIS TCN et à l'application de référence de l'ECRIS

En ce qui concerne l'ECRIS‑TCN et l'application de référence de l'ECRIS, l'Agence s'acquitte:

   a) des tâches qui lui sont confiées par le règlement (UE) …/ du Parlement européen et du Conseil ▌*(18);
   b) des tâches liées à une formation relative à l'utilisation technique de l'ECRIS‑TCN et de l'application de référence de l'ECRIS.

________________

* Règlement (UE) …/… du Parlement européen et du Conseil du … portant création d'un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d'information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726 (JO L … du …, p. …).(19)".

"

3)  À l'article 14, le paragraphe 1 est remplacé par le texte suivant:"

"1. L'Agence suit ▌ les progrès de la recherche présentant de l'intérêt pour la gestion opérationnelle du SIS II, du VIS, d'Eurodac, de l'EES, de l'ETIAS, de DubliNet, de l'ECRIS‑TCN et des autres systèmes d'information à grande échelle visés à l'article 1er, paragraphe 5.".

"

4)  À l'article 19, le paragraphe 1 est modifié comme suit:

a)  le point ee) est remplacé par le texte suivant:"

"ee) adopte les rapports sur le développement de l'EES, au titre de l'article 72, paragraphe 2, du règlement (UE) 2017/2226, les rapports sur le développement de l'ETIAS, au titre de l'article 92, paragraphe 2, du règlement (UE) 2018/1240 et les rapports sur le développement de l'ECRIS‑TCN et de l'application de référence de l'ECRIS, au titre de l'article 36, paragraphe 3, du règlement (UE) …/…(20);";

"

b)  le point ff) est remplacé par le texte suivant:"

"ff) adopte les rapports sur le fonctionnement technique du SIS II, au titre, respectivement, de l'article 50, paragraphe 4, du règlement (CE) n° 1987/2006 et de l'article 66, paragraphe 4, de la décision 2007/533/JAI, du VIS, au titre de l'article 50, paragraphe 3, du règlement (CE) n° 767/2008 et de l'article 17, paragraphe 3, de la décision 2008/633/JAI, de l'EES, au titre de l'article 72, paragraphe 4, du règlement (UE) 2017/2226, de l'ETIAS, au titre de l'article 92, paragraphe 4, du règlement (UE) 2018/1240, ainsi que de l'ECRIS‑TCN et de l'application de référence de l'ECRIS, au titre de l'article 36, paragraphe 8, du règlement (UE) …/…+;";

"

c)  le point hh) est remplacé par le texte suivant:"

"hh) adopte des observations formelles sur les rapports du Contrôleur européen de la protection des données concernant les audits réalisés au titre de l'article 45, paragraphe 2, du règlement (CE) n° 1987/2006, de l'article 42, paragraphe 2, du règlement (CE) n° 767/2008, de l'article 31, paragraphe 2, du règlement (UE) n° 603/2013, de l'article 56, paragraphe 2, du règlement (UE) 2017/2226, de l'article 67 du règlement (UE) 2018/1240 et de l'article 29, paragraphe 2, du règlement (UE) …/…(21) , et veille à ce qu'il soit donné dûment suite à ces audits;";

"

d)  le point suivant est inséré:"

"ll bis) soumet à la Commission des statistiques sur l'ECRIS‑TCN et l'application de référence de l'ECRIS, au titre de l'article 32, paragraphe 4, deuxième alinéa, du règlement …/…+;";

"

e)  le point mm) est remplacé par le texte suivant:"

"mm) veille à la publication annuelle de la liste des autorités compétentes autorisées à consulter directement les données introduites dans le SIS II au titre de l'article 31, paragraphe 8, du règlement (CE) n° 1987/2006 et de l'article 46, paragraphe 8, de la décision 2007/533/JAI, de la liste des offices des systèmes nationaux de SIS II (offices N.SIS II) et des bureaux SIRENE au titre, respectivement, de ▌ l'article 7, paragraphe 3, du règlement (CE) n° 1987/2006 et de l'article 7, paragraphe 3, de la décision 2007/533/JAI, ainsi que de la liste des autorités compétentes au titre de l'article 65, paragraphe 2, du règlement (UE) 2017/2226, de la liste des autorités compétentes au titre de l'article 87, paragraphe 2, du règlement (UE) 2018/1240 et de ▌ la liste des autorités centrales au titre de l'article 34, paragraphe 2, du règlement …/…(22);"

"

5)  À l'article 22, paragraphe 4, l'alinéa suivant est inséré après le troisième alinéa:"

"Eurojust, Europol et le Parquet européen peuvent assister aux réunions du conseil d'administration en tant qu'observateurs lorsqu'une question concernant l'ECRIS-TCN en relation avec l'application du règlement …/…(23), figure à l'ordre du jour.".

"

6)  À l'article 24, paragraphe 3, le point p) est remplacé par le texte suivant:"

"p) de déterminer, sans préjudice de l'article 17 du statut des fonctionnaires, ▌ les exigences de confidentialité à respecter pour se conformer à l'article 17 du règlement (CE) n° 1987/2006, à l'article 17 de la décision 2007/533/JAI, à l'article 26, paragraphe 9, du règlement (CE) n° 767/2008, à l'article 4, paragraphe 4, du règlement (UE) n° 603/2013, ▌ à l'article 37, paragraphe 4, du règlement (UE) 2017/2226, à l'article 74, paragraphe 2, du règlement 2018/1240 et à l'article 11, paragraphe 16, du ▌règlement (UE) …/…(24);".

"

7)  À l'article 27, paragraphe 1, le point suivant est inséré:"

"d bis) le groupe consultatif sur l'ECRIS-TCN;".

"

Article 41

Mise en œuvre et dispositions transitoires

1.  Les États membres prennent les mesures nécessaires pour se conformer au ▌ présent règlement dès que possible afin d'assurer le bon fonctionnement de l'ECRIS‑TCN.

2.  Pour les condamnations prononcées avant la date de début de l'inscription des données conformément à l'article 35, paragraphe 1, les autorités centrales créent les fichiers de données individuels dans le système central comme suit:

a)  les données alphanumériques à inscrire dans le système central à la fin de la période visée à l'article 35, paragraphe 2;

b)  les données dactyloscopiques à inscrire dans le système central deux ans à compter de la mise en service du système conformément à l'article 35, paragraphe 4.

Article 42

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.

Fait à …, le

Par le Parlement européen Par le Conseil

Le président Le président

ANNEXE

Formulaire type de demande d'informations,

visé à l'article 17, paragraphe 1, du règlement (UE) …/…(25),

à utiliser pour obtenir des informations, le cas échéant, sur l'État membre

détenant

des informations sur le casier judiciaire d'un ressortissant d'un pays tiers

Ce formulaire, disponible sur le site www.eurojust.europa.eu dans les 24 langues officielles des institutions de l'Union, est à adresser dans l'une de ces langues à ECRIS-TCN@eurojust.europa.eu

État ou organisation internationale à l'origine de la demande:

Nom de l'État ou de l'organisation internationale:

Autorité soumettant la demande:

Représentée par (nom de la personne):

Fonctions:

Adresse:

Numéro de téléphone:

Adresse électronique:

Procédure pénale pour laquelle les informations sont demandées:

Numéro de référence interne:

Autorité compétente:

Type d'infractions faisant l'objet d'une enquête (mentionner l'article ou les articles applicables du code pénal):

Autres informations pertinentes (par exemple, urgence de la demande):

Données d'identification de la personne ayant la nationalité d'un pays tiers au sujet de laquelle des informations relatives à l'État membre de condamnation sont demandées:

NB: donner le plus grand nombre possible d'informations disponibles.

Nom (nom de famille):

Prénom(s):

Date de naissance:

Lieu de naissance (ville et pays):

Nationalité(s):

Genre:

Nom(s) précédent(s), le cas échéant:

Noms des parents:

Numéro d'identité:

Type et numéro du ou des documents d'identité de la personne concernée:

Autorité ayant délivré le(s) document(s):

Pseudonymes ou noms d'emprunt:

Si les données dactyloscopiques sont disponibles, veuillez les fournir.

En cas de personnes multiples, veuillez les indiquer séparément.

20190312-P8_TA-PROV(2019)0149_FR-p0000002.png

Lieu

 

Date

 

Signature et cachet (électroniques):

________________

(1)Position du Parlement européen du 12 mars 2019.
(2)Décision-cadre 2008/675/JAI du Conseil du 24 juillet 2008 relative à la prise en compte des décisions de condamnation entre les États membres de l'Union européenne à l'occasion d'une nouvelle procédure pénale (JO L 220 du 15.8.2008, p. 32).
(3)Décision-cadre 2009/315/JAI du Conseil du 26 février 2009 concernant l'organisation et le contenu des échanges d'informations extraites du casier judiciaire entre les États membres (JO L 93 du 7.4.2009, p. 23).
(4)Décision 2009/316/JAI du Conseil du 6 avril 2009 relative à la création du système européen d'information sur les casiers judiciaires (ECRIS), en application de l'article 11 de la décision‑cadre 2009/315/JAI (JO L 93 du 7.4.2009, p. 33).
(5)Règlement (UE) 2018/1726 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l'Agence de l'Union européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (eu‑LISA), modifiant le règlement (CE) n° 1987/2006 et la décision 2007/533/JAI du Conseil et abrogeant le règlement (UE) n° 1077/2011 (JO L 295 du 21.11.2018, p. 99).
(6)Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).
(7)Règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et remplaçant et abrogeant la décision 2002/187/JAI du Conseil (JO L 295 du 21.11.2018, p. 138).
(8)Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).
(9)Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).
(10)Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
(11)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(12)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(13)JO L 123 du 12.5.2016, p. 1.
(14)Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(15)Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).
(16)JO C 55 du 14.2.2018, p. 4.
(17)JO L 56 du 4.3.1968, p. 1.
(18)+JO: veuillez insérer le numéro du présent règlement.
(19)++ JO: veuillez insérer le numéro, la date et les références au JO du présent règlement.
(20)+JO: veuillez insérer le numéro du présent règlement.
(21)+JO: veuillez insérer le numéro du présent règlement.
(22)+JO: veuillez insérer le numéro du présent règlement.
(23)+JO: veuillez insérer le numéro du présent règlement.
(24)+JO: veuillez insérer le numéro du présent règlement.
(25)+JO: veuillez insérer le numéro du présent règlement.


Programme «Corps européen de solidarité» ***I
PDF 313kWORD 110k
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de règlement du Parlement européen et du Conseil établissant le programme «Corps européen de solidarité» et abrogeant le [règlement relatif au corps européen de solidarité] et le règlement (UE) nº 375/2014 (COM(2018)0440 – C8-0264/2018 – 2018/0230(COD))
P8_TA(2019)0150A8-0079/2019

Ce texte est en cours de traitement pour être publié dans votre langue. Vous pouvez déjà accéder à la version PDF ou WORD en cliquant sur l'icône en haut à droite.


Règlement sur la cybersécurité ***I
PDF 446kWORD 145k
Résolution
Texte consolidé
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de règlement du Parlement européen et du Conseil relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) nº 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (règlement sur la cybersécurité) (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))
P8_TA-PROV(2019)0151A8-0264/2018

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2017)0477),

–  vu l’article 294, paragraphe 2, et l’article 114 du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C8-0310/2017),

–  vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

–  vu l’avis motivé soumis par le Sénat français, dans le cadre du protocole n° 2 sur l’application des principes de subsidiarité et de proportionnalité, déclarant que le projet d’acte législatif n’est pas conforme au principe de subsidiarité,

–  vu l’avis du Comité économique et social européen du 14 février 2018(1),

–  vu l’avis du Comité des régions du 31 janvier 2018(2),

–  vu l'accord provisoire approuvé en vertu de l’article 69 septies, paragraphe 4, de son règlement intérieur par la commission compétente et l’engagement pris par le représentant du Conseil, par lettre du 19 décembre 2018, d'approuver la position du Parlement européen, conformément à l'article 294, paragraphe 4, du traité sur le fonctionnement de l'Union européenne,

–  vu l’article 59 de son règlement intérieur,

–  vu le rapport de la commission de l’industrie, de la recherche et de l’énergie et les avis de la commission du marché intérieur et de la protection des consommateurs, de la commission des budgets ainsi que de la commission des libertés civiles, de la justice et des affaires intérieures (A8-0264/2018),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.

Position du Parlement européen arrêtée en première lecture le 12 mars 2019 en vue de l’adoption du règlement (UE) 2019/... du Parlement européen et du Conseil relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité ▌) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité)

P8_TC1-COD(2017)0225


(Texte présentant de l'intérêt pour l'EEE)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 114,

vu la proposition de la Commission européenne,

après transmission du projet d'acte législatif aux parlements nationaux,

vu l'avis du Comité économique et social européen(3),

vu l'avis du Comité des régions(4),

statuant conformément à la procédure législative ordinaire(5),

considérant ce qui suit:

(1)  Les réseaux et systèmes d'information et les réseaux et services de communications électroniques remplissent une fonction essentielle dans la société et sont devenus le nerf de la croissance économique. Les technologies de l'information et des communications (TIC) sont le fondement des systèmes complexes qui rendent possibles les activités sociales quotidiennes, permettent à nos économies de fonctionner dans des secteurs clés comme la santé, l'énergie, la finance et les transports, et soutiennent, en particulier, le fonctionnement du marché intérieur.

(2)  L'utilisation des réseaux et des systèmes d'information par les citoyens, les organisations et les entreprises s'est généralisée dans l'Union tout entière. La numérisation et la connectivité deviennent des caractéristiques essentielles d’un nombre toujours croissant de produits et de services et avec l'avènement de l'internet des objets (IdO), un nombre extrêmement élevé de dispositifs numériques connectés devrait être mis en service dans toute l'Union au cours de la prochaine décennie. Alors qu'un nombre croissant de dispositifs sont connectés à l'internet, leur conception n'intègre pas suffisamment la sécurité et la résilience, de sorte que la cybersécurité est insuffisante. Dans ce contexte, le recours limité à la certification conduit les utilisateurs - qu'ils soient des particuliers, des organisations ou des entreprises - à ne pas disposer de suffisamment d'informations sur les caractéristiques en matière de cybersécurité des produits TIC, services TIC et processus TIC, ce qui nuit à la confiance dans les solutions numériques. Les réseaux et systèmes d'information sont à même de nous assister dans tous les aspects de notre vie et constituent le moteur de la croissance économique de l'Union. Ils constituent le pilier de la réalisation du marché unique numérique.

(3)  Une numérisation et une connectivité accrues augmentent les risques liés à la cybersécurité, ce qui rend l'ensemble de la société plus vulnérable aux cybermenaces et exacerbe les dangers auxquels sont confrontés les individus, notamment les personnes vulnérables telles que les enfants. Afin d'atténuer ces risques, il convient de prendre toutes les mesures nécessaires pour améliorer la cybersécurité dans l'Union afin que les réseaux et systèmes d'information, les réseaux de communication, les produits, services et appareils numériques utilisés par les citoyens, les organisations et les entreprises — depuis les petites et moyennes entreprises (PME), telles qu’elles sont définies dans la recommandation de la Commission 2003/361/CE(6), jusqu'aux opérateurs d'infrastructures critiques — soient mieux protégés contre les cybermenaces.

(4)  En mettant les informations utiles à la disposition du public, l'Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA), instituée par le règlement (UE) n° 526/2013 du Parlement européen et du Conseil(7), contribue au développement du secteur de la cybersécurité dans l'Union, en particulier les PME et les start-ups. L'ENISA devrait s'efforcer d'établir une coopération plus étroite avec les universités et les entités de recherche afin de contribuer à réduire la dépendance à l’égard des les produits et services de cybersécurité provenant de l'extérieur de l'Union et de renforcer les chaînes d'approvisionnement à l'intérieur de l'Union.

(5)  Les cyberattaques sont en augmentation, et une économie et une société connectées qui sont plus vulnérables aux cybermenaces et aux cyberattaques ont besoin de dispositifs de défense renforcés. Cependant, alors que les cyberattaques sont souvent de nature transfrontière, les compétences des autorités chargées de la cybersécurité et des autorités chargées de l'application de la loi ainsi que les réponses politiques qu'elles y apportent sont surtout nationales. Des incidents majeurs pourraient perturber la fourniture de services essentiels dans l'ensemble de l'Union. Cela nécessite de mettre en place des réponses efficaces et coordonnées et une gestion de la crise à l'échelon de l'Union, sur la base de politiques spécifiques et d'instruments élargis aux fins de la solidarité européenne et de l'assistance mutuelle. En outre, il est important pour les décideurs, les entreprises du secteur et les utilisateurs que la situation en matière de cybersécurité et de résilience dans l'Union soit régulièrement évaluée, sur la base de données de l'Union fiables et d'une anticipation systématique des évolutions, défis et menaces futurs au niveau de l'Union et à l'échelle mondiale.

(6)  Compte tenu de l'augmentation des enjeux auxquels l'Union est confrontée dans le domaine de la cybersécurité, il est nécessaire de disposer d’un ensemble complet de mesures qui s'appuieraient sur les actions déjà menées par l'Union et favoriseraient des objectifs complémentaires. Ces objectifs comprennent la poursuite du renforcement des capacités et de l'état de préparation des États membres et des entreprises, ainsi qu'une amélioration de la coopération, du partage d'informations et de la coordination entre les États membres et les institutions, organes et organismes de l'Union. En outre, étant donné que les cybermenaces ignorent les frontières, il est nécessaire d'augmenter, au niveau de l'Union, les capacités susceptibles de compléter l'action des États membres, notamment dans les cas d'incidents et de crises transfrontières majeurs, tout en prenant en compte l'importance de préserver et de renforcer les capacités nationales de réaction en cas de cybermenaces de tous types.

(7)  Des efforts supplémentaires sont également nécessaires pour sensibiliser davantage les citoyens, les organisations et les entreprises aux questions de cybersécurité. En outre, étant donné que les incidents nuisent à la confiance dans les fournisseurs de services numériques et dans le marché unique numérique lui-même, en particulier chez les consommateurs, cette confiance devrait être encore renforcée par la communication, en toute transparence, d'informations sur le niveau de sécurité qui caractérise les produits TIC, services TIC et processus TIC, qui précisent que la certification de cybersécurité, aussi élevée soit-elle, ne peut garantir qu'un produit TIC, service TIC ou processus TIC soit complètement sécurisé. Un renforcement de la confiance peut être facilité par une certification mise en œuvre à l'échelle de l'Union prévoyant des exigences et des critères d'évaluation communs en matière de cybersécurité dans l'ensemble des marchés nationaux et des secteurs.

(8)  La cybersécurité n'est pas qu'une question liée à la technologie, mais une question pour laquelle le comportement humain est tout aussi important. C'est pourquoi il convient d'encourager vivement les citoyens, les organisations et les entreprises à adopter une "hygiène informatique", à savoir des mesures simples, de routine qui, lorsqu'ils les mettent en œuvre et les effectuent régulièrement, réduisent au minimum leur exposition aux risques liés aux cybermenaces.

(9)  En vue de renforcer les structures de cybersécurité de l'Union, il est important de préserver et de développer les capacités de réaction globale des États membres en cas de cybermenaces, y compris en cas d'incidents transfrontières.

(10)  Les entreprises et les consommateurs individuels devraient disposer d'informations précises sur le niveau d'assurance auquel la sécurité de leurs produits TIC, services TIC et processus TIC a été certifiée. Dans le même temps, aucun produit TIC ou service TIC n'est totalement sécurisé sur le plan de la cybersécurité, et des règles fondamentales d'hygiène informatique doivent être promues et privilégiées. Compte tenu de la disponibilité croissante de dispositifs IdO, le secteur privé peut prendre une série de mesures volontaires dans l'optique de renforcer la sécurité des produits TIC, services TIC et processus TIC.

(11)  Souvent, les produits et systèmes TIC modernes intègrent une ou plusieurs technologies et composants tiers et reposent sur ceux-ci, par exemple des modules logiciels, des bibliothèques ou des interfaces de programmation d’applications. Ce rapport dit de "dépendance" pourrait présenter des risques supplémentaires liés à la cybersécurité car les vulnérabilités des composants tiers pourraient aussi affecter la sécurité des produits TIC, services TIC et processus TIC. Dans bon nombre de cas, recenser et documenter ces dépendances permet aux utilisateurs finaux des produits TIC, services TIC et processus TIC d'optimiser leurs activités de gestion des risques liés à la cybersécurité en améliorant, par exemple, les procédures qu'ils mettent en œuvre pour gérer les vulnérabilités liées à la cybersécurité et y remédier.

(12)  Les organisations, les fabricants ou les fournisseurs impliqués dans la conception et le développement de produits TIC, services TIC ou processus TIC devraient être encouragés à mettre en œuvre, aux stades les plus précoces de la conception et du développement, des mesures permettant de protéger au mieux la sécurité de ces produits, services et processus, de manière à ce que la survenue de cyberattaques soit présumée et que leur incidence soit anticipée et minimisée ("sécurité dès le stade de la conception"). La sécurité devrait être prise en charge tout au long du cycle de vie du produit TIC, service TIC ou processus TIC par les processus de conception et de développement qui évoluent constamment pour réduire le risque de préjudice causé par une utilisation malveillante.

(13)  Les entreprises, les organisations et le secteur public devraient configurer les produits TIC, services TIC ou processus TIC qu'ils conçoivent de manière à assurer un niveau de sécurité plus élevé, ce qui permettrait au premier utilisateur de recevoir une configuration par défaut avec les paramétrages les plus sûrs possibles (ci-après dénommée "sécurité par défaut"), réduisant ainsi la charge qui pèse sur les utilisateurs de devoir configurer un produit TIC, service TIC ou processus TIC de manière adéquate. Pour fonctionner, la sécurité par défaut ne devrait pas nécessiter une configuration approfondie, ou une compréhension des détails techniques spécifique, ou encore un comportement non intuitif de la part de l'utilisateur, et devrait fonctionner facilement et de façon fiable lorsqu'elle est mise en œuvre. Si, au cas par cas, une analyse des risques et de la facilité d'utilisation aboutit à la conclusion qu'une configuration par défaut n'est pas réalisable, les utilisateurs devraient être incités à choisir le paramétrage le plus sécurisé.

(14)  Le règlement (CE) n° 460/2004 du Parlement européen et du Conseil(8) a institué l'ENISA aux fins de contribuer à la réalisation des objectifs visant à assurer un niveau élevé et efficace de sécurité des réseaux et de l'information au sein de l'Union et à favoriser l'émergence d'une culture de la sécurité des réseaux et de l'information dans l'intérêt des citoyens, des consommateurs, des entreprises et des administrations publiques. Le règlement (CE) n° 1007/2008 du Parlement européen et du Conseil (9) a prorogé le mandat de l'ENISA jusqu'en mars 2012. Le règlement (CE) n° 580/2011 du Parlement européen et du Conseil(10) a prorogé le mandat de l'ENISA une nouvelle fois jusqu'au 13 septembre 2013. Le règlement (UE) n° 526/2013 a prorogé le mandat de l'ENISA jusqu'au 19 juin 2020.

(15)  L'Union a déjà pris d'importantes mesures pour garantir la cybersécurité et renforcer la confiance dans les technologies numériques. En 2013, la stratégie de cybersécurité de l'Union européenne a été adoptée afin d'orienter la politique que l'Union entendait mener en réaction aux cybermenaces et aux risques liés à la cybersécurité. Dans le but de mieux protéger les citoyens en ligne, l'Union a adopté en 2016 son premier acte juridique dans le domaine de la cybersécurité sous la forme de la directive (UE) 2016/1148 du Parlement européen et du Conseil(11). La directive (UE) 2006/1148 a instauré des exigences concernant les capacités nationales dans le domaine de la cybersécurité, a établi les premiers mécanismes destinés à améliorer la coopération stratégique et opérationnelle entre les États membres, et a introduit des obligations concernant les mesures de sécurité et la notification des incidents dans différents secteurs qui revêtent une importance vitale pour l'économie et la société tels que l'énergie, les transports, la fourniture et la distribution d'eau potable, les banques, les infrastructures des marchés financiers, les soins de santé, les infrastructures numériques ainsi que les fournisseurs de services numériques fondamentaux (moteurs de recherche, services d'informatique en nuage et places de marché en ligne). L'ENISA s'est vu attribuer un rôle essentiel d'appui à la mise en œuvre de ladite directive. En outre, lutter efficacement contre la cybercriminalité est une priorité importante du programme européen en matière de sécurité et contribue à l'objectif global consistant à atteindre un niveau élevé de cybersécurité. D'autres actes juridiques tels que le règlement (UE) 2016/679 du Parlement européen et du Conseil(12) et les directives 2002/58/CE(13) et (UE) 2018/1972(14) du Parlement européen et du Conseil contribuent également à un niveau élevé de cybersécurité dans le marché unique numérique.

(16)  Depuis l'adoption de la stratégie de cybersécurité de l'Union européenne en 2013 et la dernière révision du mandat de l'ENISA, le cadre d'action général a considérablement évolué en raison d'un environnement mondial devenu plus incertain et moins sécurisé. Dans ce contexte, et compte tenu de l'évolution positive du rôle que l'ENISA joue en tant que point de référence par ses conseils et ses compétences, et en tant que facilitatrice de coopération et de renforcement des capacités, ainsi que dans le cadre de la nouvelle politique de cybersécurité de l'Union, il est nécessaire de réviser le mandat de l'ENISA pour définir son rôle dans le nouvel écosystème de la cybersécurité et faire en sorte qu'elle contribue efficacement à la réponse apportée par l'Union aux défis en matière de cybersécurité qui résultent de la transformation radicale de la situation en ce qui concerne les cybermenaces, à l’égard desquels le mandat actuel de l’ENISA est insuffisant ainsi qu’il est apparu lors de l'évaluation de l'ENISA.

(17)  L'ENISA instituée par le présent règlement devrait succéder à l'ENISA instituée par le règlement (UE) n° 526/2013. L'ENISA devrait remplir les tâches qui lui sont confiées par le présent règlement et par les autres actes juridiques de l'Union dans le domaine de la cybersécurité, notamment en fournissant des conseils et en apportant des compétences, ainsi qu’en jouant le rôle de centre d'information et de connaissance de l'Union. Elle devrait promouvoir l'échange de bonnes pratiques entre les États membres et les parties prenantes du secteur privé, proposer des actions politiques à la Commission et aux États membres, agir en tant que point de référence pour les initiatives politiques sectorielles au niveau de l'Union en ce qui concerne les questions de cybersécurité, et favoriser la coopération opérationnelle à la fois entre les États membres et entre ceux-ci et les institutions, organes et organismes de l'Union.

(18)  Dans le cadre de la décision (2004/97/CE, Euratom) prise d'un commun accord entre les représentants des États membres réunis au niveau des chefs d'État ou de gouvernement(15), les représentants des États membres ont décidé que l'ENISA aurait son siège dans une ville en Grèce qui serait désignée par le gouvernement grec. L'État membre d'accueil de l'ENISA devrait offrir les meilleures conditions possibles pour un fonctionnement harmonieux et efficace de l'ENISA. Il est impératif, pour l'exécution correcte et efficace de ses tâches, pour le recrutement et la fidélisation du personnel et pour une plus grande efficacité des activités de mise en réseau, que l'ENISA soit établie dans un lieu approprié, offrant, entre autres, des liaisons de transport et des aménagements appropriés pour les conjoints et enfants accompagnant les membres du personnel de l'ENISA. Les dispositions nécessaires devraient être arrêtées dans un accord conclu entre l'ENISA et l'État membre d'accueil, après approbation du conseil d'administration de l'ENISA.

(19)  Compte tenu de l'aggravation des risques et des défis liés à la cybersécurité auxquels l'Union est confrontée, il faudrait augmenter les ressources financières et humaines allouées à l'ENISA pour tenir compte du renforcement de son rôle et de ses tâches, ainsi que de sa position critique parmi les organisations qui défendent l'écosystème numérique de l'Union, pour lui permettre d'exécuter efficacement les tâches qui lui sont confiées en vertu du présent règlement.

(20)  L'ENISA devrait acquérir et maintenir un niveau élevé de compétence et servir de point de référence qui instaure la confiance dans le marché intérieur du fait de son indépendance, de la qualité des conseils qu’elle fournit et des informations qu’elle diffuse, de la transparence de ses procédures, de la transparence de ses modes de fonctionnement et de sa diligence à exécuter ses tâches. L'ENISA devrait soutenir activement les efforts déployés au niveau national et devrait contribuer de manière anticipée ▌ aux efforts consentis par l'Union, tout en s'acquittant de ses missions en totale coopération avec les institutions, ▌organes et organismes de l'Union et avec les États membres, en évitant les doubles emplois et en favorisant les synergies. De plus, l'ENISA devrait s'appuyer sur les informations fournies par le secteur privé et les autres parties prenantes concernées et travailler en coopération avec ceux-ci. Un ensemble de tâches devrait déterminer la manière dont l'ENISA doit atteindre ses objectifs tout en lui laissant une certaine souplesse de fonctionnement.

(21)  Pour être en mesure d'apporter un soutien adéquat à la coopération opérationnelle entre les États membres, l'ENISA devrait renforcer davantage ses capacités et aptitudes techniques et humaines. Elle devrait accroître son savoir-faire et ses capacités. Sur une base volontaire, l'ENISA et les États membres pourraient élaborer des programmes visant à détacher des experts nationaux auprès de l'ENISA, en créant des groupes d'experts et des programmes d'échanges de personnel.

(22)  L'ENISA devrait assister la Commission au moyen de conseils, d'avis et d'analyses sur toutes les questions de l'Union liées à l'élaboration, l'actualisation et la révision des politiques et de la législation dans le domaine de la cybersécurité et de ses aspects sectoriels spécifiques, afin d'améliorer la pertinence des politiques et de la législation de l'Union ayant une dimension liée à la cybersécurité et de permettre la mise en œuvre cohérente de ces politiques et législations au niveau national. L'ENISA devrait agir comme point de référence, par ses conseils et ses compétences, pour les initiatives politiques et législatives sectorielles spécifiques au niveau de l'Union lorsque des questions liées à la cybersécurité sont en jeu. L'ENISA devrait tenir le Parlement européen régulièrement informé de ses activités.

(23)  Le noyau public de l'internet ouvert, à savoir ses principaux protocoles et ses principales infrastructures, qui constituent un bien public mondial, joue un rôle essentiel dans la fonction de l'internet en général et soutient son fonctionnement normal. L'ENISA devrait soutenir la sécurité du noyau public de l’internet ouvert et la stabilité de son fonctionnement, y compris, sans s'y limiter, ses protocoles clés (notamment DNS, BGP et IPv6), le fonctionnement du système des noms de domaines (tel que le fonctionnement de tous les domaines de premier niveau) et le fonctionnement de la zone racine.

(24)  La principale tâche de l'ENISA consiste à promouvoir la mise en œuvre cohérente du cadre juridique applicable, et notamment la mise en œuvre effective de la directive (UE) 2016/1148 ainsi que des autres instruments juridiques pertinents comportant des aspects liés à la cybersécurité, ce qui est essentiel pour renforcer la cyber-résilience. Compte tenu de l'évolution rapide de la situation en ce qui concerne les cybermenaces, il est clair que les États membres doivent s'appuyer sur une approche plus globale, transsectorielle, du développement de la cyber-résilience.

(25)  L'ENISA devrait assister les États membres et les institutions, ▌organes et organismes de l'Union dans leurs efforts pour mettre en place et développer les capacités et la préparation requises aux fins de prévenir et de détecter les cybermenaces et incidents et d'y réagir, et en ce qui concerne la sécurité des réseaux et des systèmes d'information. L'ENISA devrait notamment soutenir le développement et l'amélioration des centres de réponse aux incidents de sécurité informatique (CSIRT) nationaux et de l'Union ▌ prévus par la directive (UE) 2016/1148, afin qu'ils atteignent un niveau de maturité commun élevé dans l'ensemble de l'Union. Les activités entreprises par l'ENISA concernant les capacités opérationnelles des États membres devraient soutenir activement les mesures prises par les États membres pour respecter les obligations qui leur incombent au titre de la directive (UE) 2016/1148 et ne devraient donc pas s'y substituer.

(26)  L'ENISA devrait également contribuer à l'élaboration et à la mise à jour des stratégies en matière de sécurité des réseaux et systèmes d'information au niveau de l'Union et, sur demande, au niveau des États membres, notamment en matière de cybersécurité, et devrait promouvoir la diffusion de telles stratégies et suivre les progrès de leur mise en œuvre. L'ENISA devrait en outre contribuer à couvrir les besoins en matière de formations et de matériel pédagogique, y compris les besoins des organismes publics et, le cas échéant, dans une large mesure, "former les formateurs" en s'appuyant sur le cadre de compétences numériques pour les citoyens, en vue d'aider les États membres ainsi que les institutions, organes et organismes de l'Union à mettre en place leurs propres capacités de formation.

(27)  L'ENISA devrait soutenir les États membres dans le domaine de la sensibilisation et de l'éducation à la cybersécurité en favorisant une coordination plus étroite et l'échange de bonnes pratiques entre les États membres. Un tel soutien pourrait consister à développer un réseau de points de contact nationaux en matière d'éducation ainsi qu’une plateforme de formation à la cybersécurité. Le réseau de points de contact nationaux en matière d'éducation pourrait fonctionner au sein du réseau des agents de liaison nationaux et être un point de départ pour une future coordination au sein des États membres.

(28)  L'ENISA devrait aider le groupe de coopération créé par la directive (UE) 2016/1148 à exécuter ses tâches, notamment en le faisant bénéficier de ses conseils et de ses compétences, et en facilitant l'échange de bonnes pratiques en matière de risques et d'incidents, entre autres en ce qui concerne l'identification des opérateurs de services essentiels par les États membres, ainsi que les dépendances transfrontalières.

(29)  Afin de stimuler la coopération entre le secteur public et le secteur privé et au sein de ce dernier, notamment pour soutenir la protection des infrastructures critiques, l'ENISA devrait soutenir le partage d'informations au sein des secteurs et entre ceux-ci, en particulier les secteurs énumérés à l'annexe II de la directive (UE) 2016/1148, en proposant des bonnes pratiques et des orientations sur les outils disponibles et sur les procédures, ainsi qu’en proposant des orientations sur la manière de traiter les questions de réglementation liées au partage d'informations, par exemple en facilitant la mise en place de centres de partage et d'analyse d'informations sectoriels.

(30)  Comme l'incidence négative potentielle des vulnérabilités des produits TIC, services TIC et processus TIC croît constamment, il importe de détecter ces vulnérabilités et d'y remédier pour réduire le risque global en matière de cybersécurité. Il est prouvé que la coopération entre les organisations, les fabricants de produits TIC vulnérables ou les fournisseurs de services et processus TIC vulnérables ainsi que les acteurs du secteur de la recherche en matière de cybersécurité et les autorités qui détectent les vulnérabilités permet d'améliorer sensiblement le taux de détection et le rythme de l'élimination des vulnérabilités dans les produits TIC, services TIC et processus TIC. La divulgation coordonnée des vulnérabilités consiste en un processus structuré de coopération dans lequel les vulnérabilités sont signalées au propriétaire du système d'information, ce qui donne à l'organisation la possibilité de diagnostiquer la vulnérabilité et d'y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. Ce processus prévoit en outre une coordination entre la partie qui a procédé à la détection et l'organisation en ce qui concerne la publication de ces vulnérabilités. Les politiques coordonnées de divulgation des vulnérabilités pourraient jouer un rôle important dans le cadre des efforts que les États membres déploient pour renforcer la cybersécurité.

(31)  L'ENISA devrait agréger et analyser les rapports nationaux partagés volontairement et qui émanent des CSIRT et de l'équipe d'intervention en cas d'urgence informatique pour les institutions, organes et organismes de l'Union (CERT-UE) interinstitutionnelle instituée en vertu de l'accord entre le Parlement européen, le Conseil européen, le Conseil de l'Union européenne, la Commission européenne, la Cour de justice de l'Union européenne, la Banque centrale européenne, la Cour des comptes européenne, le Service européen pour l’action extérieure, le Comité économique et social européen, le Comité européen des régions et la Banque européenne d’investissement relatif à l'organisation et au fonctionnement d'une équipe d'intervention en cas d'urgence informatique pour les institutions, organes et organismes de l'Union (CERT-UE)(16) afin de contribuer à établir des procédures, un langage et une terminologie communs pour l'échange d'informations. Dans ce contexte, l'ENISA devrait impliquer le secteur privé, dans le cadre de la directive (UE) 2016/1148, laquelle fixe les bases de l'échange volontaire d'informations techniques à l'échelon opérationnel au sein du réseau des centres de réponse aux incidents de sécurité informatique (ci-après dénommé "réseau des CSIRT") institué par ladite directive.

(32)  L'ENISA devrait contribuer à l'élaboration de réponses au niveau de l'Union en cas d'incidents et de crises transfrontières majeurs liés à la cybersécurité. Cette tâche devrait être effectuée conformément au mandat de l'ENISA en application du présent règlement, ainsi qu'à une approche devant faire l'objet d'un accord des États membres dans le cadre de la recommandation (UE) 2017/1584 de la Commission(17) et des conclusions du Conseil du 26 juin 2018 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs de l'Union. Cette tâche pourrait comprendre la collecte d'informations pertinentes et un rôle de facilitateur entre le réseau des CSIRT et la communauté technique, ainsi qu'entre les décideurs chargés de la gestion des crises. En outre, l'ENISA devrait soutenir la coopération opérationnelle entre les États membres si un ou plusieurs États membres le demandent, pour le traitement des incidents sur le plan technique ▌, en facilitant les échanges de solutions techniques pertinents entre les États membres et en contribuant à l'élaboration des communications au public. L'ENISA devrait soutenir la coopération opérationnelle en testant les modalités de cette coopération grâce à des exercices réguliers de cybersécurité.

(33)  Pour soutenir la coopération opérationnelle, l'ENISA devrait recourir aux compétences techniques et opérationnelles disponibles de la CERT-UE grâce à une coopération structurée ▌. Une telle coopération structurée pourrait s'appuyer sur les compétences de l'ENISA. Le cas échéant, des accords dédiés entre les deux entités devraient être conclus afin de définir les modalités pratiques de la mise en œuvre de cette coopération et d'éviter la duplication des activités.

(34)  En exécutant sa tâche consistant à soutenir la coopération opérationnelle au sein du réseau des CSIRT, l'ENISA devrait être en mesure de fournir un appui aux États membres, à leur demande, par exemple en fournissant des conseils sur la manière d'améliorer leurs capacités de prévention et de détection des incidents et de réaction aux incidents, en facilitant la gestion technique des incidents ayant un impact significatif ou substantiel, ou en assurant l'analyse des cybermenaces et des incidents. L'ENISA devrait faciliter la gestion technique des incidents ayant un impact significatif ou substantiel, en particulier en soutenant le partage volontaire de solutions techniques entre États membres ou en produisant des informations techniques combinées, telles que des solutions techniques partagées volontairement par les États membres. La recommandation (UE) 2017/1584 recommande aux États membres de coopérer de bonne foi et de partager sans retard indu, entre eux et avec l'ENISA, les informations relatives aux incidents et crises de cybersécurité majeurs. Ces informations devraient apporter une aide supplémentaire à l'ENISA dans l'exécution de sa tâche de soutien à la coopération opérationnelle.

(35)  Dans le cadre de la coopération régulière sur le plan technique menée pour étayer l'appréciation de la situation au niveau de l'Union, l'ENISA devrait préparer à intervalles réguliers, en coopération étroite avec les États membres, un rapport approfondi de situation technique en matière de cybersécurité sur les incidents et cybermenaces dans l'Union, sur la base d'informations du domaine public, de sa propre analyse et de rapports que lui communiquent les CSIRT des États membres ▌ ou les points de contact nationaux uniques en matière de sécurité des réseaux et des systèmes d’information (ci-après dénommés "points de contact uniques") prévus par la directive (UE) 2016/1148, sur une base volontaire dans les deux cas, le Centre européen de lutte contre la cybercriminalité (EC3) au sein d'Europol, la CERT-UE et, le cas échéant, le Centre de l'Union européenne pour l'analyse du renseignement (INTCEN UE) au sein du Service européen pour l'action extérieure. Ce rapport devrait être mis à la disposition du Conseil, de la Commission, du haut représentant de l'Union pour les affaires étrangères et la politique de sécurité et du réseau des CSIRT.

(36)  Le soutien apporté par l'ENISA aux enquêtes techniques ex post sur les incidents ayant un impact significatif ou substantiel, effectuées à la demande des États membres concernés ▌, devrait être axé sur la prévention des incidents futurs ▌. Les États membres concernés devraient fournir les informations et l'assistance nécessaires pour permettre à l'ENISA de soutenir efficacement l'enquête technique ex post.

(37)  Les États membres peuvent inviter les entreprises concernées par l'incident à coopérer en fournissant les renseignements et l'assistance nécessaires à l'ENISA, sans préjudice de leur droit de protéger les informations commercialement sensibles et les informations pertinentes du point de vue de la sécurité publique.

(38)  Pour mieux comprendre les défis dans le domaine de la cybersécurité, et en vue de fournir aux États membres et aux institutions, organes et organismes de l'Union des conseils stratégiques à long terme, l'ENISA devrait analyser les risques actuels et émergents liés à la cybersécurité. À cet effet, l'ENISA devrait, en coopération avec les États membres et, le cas échéant, avec des organismes de statistique et d'autres organismes, recueillir des informations pertinentes du domaine public ou partagées volontairement sur les technologies émergentes, les soumettre à des analyses et fournir des évaluations thématiques spécifiques sur les effets sociétaux, juridiques, économiques et réglementaires à attendre des innovations technologiques sur la sécurité des réseaux et de l'information, notamment sur la cybersécurité. L'ENISA devrait en outre aider les États membres et les institutions, organes et organismes de l'Union à recenser les risques émergents liés à la cybersécurité et à prévenir les incidents ▌, en procédant à l'analyse des cybermenaces, des vulnérabilités et des incidents.

(39)  Afin de renforcer la résilience de l'Union, l'ENISA devrait développer des compétences dans le domaine de la cybersécurité des infrastructures, en soutenant en particulier les secteurs énumérés à l'annexe II de la directive (UE) 2016/1148 et ceux utilisés par les fournisseurs des services numériques énumérés à l'annexe III de ladite directive, en fournissant des conseils et des lignes directrices et en échangeant de bonnes pratiques. En vue de faciliter l'accès à des informations mieux structurées sur les risques liés à la cybersécurité et les solutions possibles, l'ENISA devrait mettre sur pied et gérer le "pôle d'information" de l'Union, un portail servant de guichet unique fournissant au public des informations sur la cybersécurité en provenance des institutions, organes et organismes de l'Union et nationaux. Faciliter l’accès à des informations mieux structurées sur les risques liés à la cybersécurité et les solutions possibles pourrait aussi aider les États membres à consolider leurs capacités, à harmoniser leurs pratiques et, partant, à améliorer leur résilience générale face aux cyberattaques.

(40)  L'ENISA devrait contribuer à sensibiliser le public aux ▌ risques liés à la cybersécurité, y compris en organisant une campagne de sensibilisation à l'échelle de l'Union en favorisant l'éducation, et à fournir, à l'intention des citoyens ▌, des organisations et des entreprises des orientations sur les bonnes pratiques à adopter par les utilisateurs individuels. L'ENISA devrait également contribuer à promouvoir les meilleures pratiques et solutions, y compris en matière d'hygiène informatique et d'habileté numérique au niveau des citoyens, ▌ des organisations et des entreprises en collectant et en analysant des informations du domaine public sur les incidents significatifs, et en rédigeant et en publiant des rapports et des orientations à l’intention des citoyens, des organisations et des entreprises en vue d'améliorer leur niveau global de préparation et de résilience. L'ENISA devrait également s'efforcer de fournir aux consommateurs des informations pertinentes concernant les schémas de certification en vigueur, par exemple en fournissant des lignes directrices et des recommandations. L'ENISA devrait en outre organiser, conformément au plan d'action en matière d'éducation numérique établi par la communication de la Commission du 17 janvier 2018 et en coopération avec les États membres et les institutions, organes et organismes de l'Union, des campagnes d'information régulières et des campagnes publiques d'éducation s'adressant aux utilisateurs finaux, en vue de promouvoir une navigation en ligne plus sûre pour les particuliers et l'habileté numérique, de sensibiliser aux cybermenaces potentielles, y compris les activités criminelles en ligne telles que le hameçonnage, les réseaux zombies, les fraudes financières et bancaires, la falsification de données, et de favoriser la fourniture de conseils de base en matière d'authentification multifacteurs, de mises à jour de sécurité, de chiffrement, d'anonymisation et de protection des données.

(41)  L'ENISA devrait jouer un rôle central dans l'accélération de la sensibilisation des utilisateurs finaux à la sécurité des appareils et à la sécurité de l'utilisation des services, et devrait promouvoir les concepts de sécurité dès la conception et de protection de la vie privée dès la conception au niveau de l'Union. En poursuivant cet objectif, l'ENISA devrait utiliser les meilleures pratiques et les compétences disponibles, en particulier les meilleures pratiques et les compétences développées par le monde universitaire et par les chercheurs en sécurité informatique.

(42)  Afin de soutenir les entreprises actives dans le secteur de la cybersécurité, ainsi que les utilisateurs qui recourent aux solutions de cybersécurité, l'ENISA devrait mettre sur pied et gérer un "observatoire du marché" en procédant à des analyses régulières et en diffusant des informations sur les principales tendances observées sur le marché de la cybersécurité, tant du côté de la demande que du côté de l'offre.

(43)  L'ENISA devrait contribuer aux efforts que l'Union déploie en vue de coopérer avec les organisations internationales ainsi qu'au sein des cadres internationaux de coopération concernés dans le domaine de la cybersécurité. En particulier, l'ENISA devrait contribuer, s'il y a lieu, à une coopération avec des organisations telles que l'OCDE, l'OSCE et l'OTAN. Une telle coopération pourrait comprendre des exercices conjoints dans le domaine de la cybersécurité ainsi qu'une coordination conjointe de la réponse à apporter aux incidents. Ces activités doivent se dérouler dans le plein respect des principes d'inclusion, de réciprocité et d'autonomie décisionnelle de l'Union, sans préjudice du caractère particulier de la politique de sécurité et de défense de tout État membre.

(44)  Afin de réaliser pleinement ses objectifs, l'ENISA devrait se concerter avec les autorités de contrôle de l'Union compétentes et avec d'autres autorités compétentes de l'Union ainsi qu'avec les institutions, organes et organismes de l'Union, notamment la CERT-UE, l'EC3, l'Agence européenne de défense (AED), l'Agence du système global de navigation par satellite (GNSS - Global Navigation Satellite Systems) européen (ci-après dénommée "Agence du GNSS européen"), l'Organe des régulateurs européens des communications électroniques (ORECE), l'Agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (eu-LISA), la Banque centrale européenne (BCE), l'Autorité bancaire européenne (ABE), le comité européen de la protection des données, l'Agence de coopération des régulateurs de l'énergie (ACER), l'Agence de l'Union européenne pour la sécurité aérienne (AESA) et toute autre agence de l'Union jouant un rôle dans le domaine de la cybersécurité. L'ENISA devrait aussi se concerter avec les autorités chargées de la protection des données en vue de procéder à des échanges de savoir-faire et de bonnes pratiques et devrait leur fournir des conseils sur les questions liées à la cybersécurité qui sont susceptibles d'avoir une incidence sur leurs travaux. Les représentants des autorités chargées de l'application de la loi et des autorités chargées de la protection des données au niveau national et à l'échelon de l'Union devraient pouvoir être représentés au sein du groupe consultatif de l'ENISA. Dans ses relations avec les autorités chargées de l'application de la loi concernant les questions de sécurité des réseaux et de l'information susceptibles d'avoir une incidence sur leurs travaux, l'ENISA devrait respecter les canaux d'information existants et les réseaux établis.

(45)  Des partenariats pourraient être noués avec des établissements universitaires menant des initiatives de recherche dans les domaines en question, et il convient que les organisations de consommateurs et autres disposent de canaux adéquats pour leurs contributions, lesquelles devraient être prises en compte.

(46)  L'ENISA, dans son rôle de secrétariat du réseau des CSIRT, devrait soutenir les CSIRT des États membres et la CERT-UE dans le cadre de la coopération opérationnelle en rapport avec les tâches pertinentes du réseau des CSIRT, telles qu'elles sont visées dans la directive (EU) 2016/1148. En outre, l'ENISA devrait promouvoir et soutenir la coopération entre les CSIRT concernés en cas d'incidents, d'attaques ou de perturbations sur les réseaux ou infrastructures dont les CSIRT assurent la gestion ou la protection et impliquant, ou susceptibles d'impliquer, au moins deux CSIRT, tout en tenant dûment compte des procédures opératoires standard du réseau des CSIRT.

(47)  Afin que l'Union soit mieux préparée pour réagir aux incidents, l'ENISA devrait organiser régulièrement des exercices de cybersécurité au niveau de l'Union et aider les États membres et les institutions, organes et organismes de l'Union à organiser de tels exercices s'ils en font la demande. Il convient d'organiser tous les deux ans des exercices globaux à grande échelle incluant des éléments techniques, opérationnels ou stratégiques. En outre, l'ENISA devrait pouvoir organiser régulièrement des exercices moins globaux avec le même objectif, à savoir celui de faire en sorte que l'Union soit mieux préparée pour répondre à des incidents.

(48)  L'ENISA devrait continuer à développer et maintenir ses compétences en matière de certification de cybersécurité en vue de soutenir la politique de l'Union dans ce domaine. L'ENISA devrait s'appuyer sur les meilleures pratiques existantes et promouvoir l’adoption de la certification de cybersécurité dans l'Union, notamment en contribuant à l'établissement et au maintien d'un cadre de certification de cybersécurité au niveau de l'Union (ci-après dénommé "cadre européen de certification de cybersécurité"), en vue d'accroître la transparence de l'assurance en matière de cybersécurité des produits TIC, services TIC et processus TIC et, partant, de renforcer la confiance dans le marché intérieur numérique ainsi que sa compétitivité.

(49)  Des politiques de cybersécurité efficaces devraient reposer sur des méthodes d'évaluation des risques bien élaborées, dans le secteur public comme dans le secteur privé. Les méthodes d'évaluation des risques sont utilisées à différents niveaux, et il n'existe pas de pratiques communes en ce qui concerne leur application efficace. La promotion et le développement des meilleures pratiques en matière d'évaluation des risques et de solutions interopérables de gestion des risques dans les organisations des secteurs public et privé relèveront le niveau de cybersécurité dans l'Union. À cette fin, l'ENISA devrait favoriser la coopération entre parties prenantes au niveau de l'Union et contribuer à leurs efforts concernant l'établissement et l'adoption de normes européennes et internationales en matière de gestion des risques et de sécurité mesurable des produits, systèmes, réseaux et services électroniques, lesquels, conjointement avec les logiciels, constituent les réseaux et systèmes d'information.

(50)  L'ENISA devrait encourager les États membres, les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC à renforcer leurs normes de sécurité générales afin que tous les utilisateurs d'internet puissent prendre les mesures nécessaires pour garantir leur propre cybersécurité et devraient inciter à le faire. En particulier, les fabricants et les fournisseurs de produits TIC, services TIC ou processus TIC devraient fournir les mises à jour nécessaires et devraient rappeler, retirer ou recycler les produits TIC, services TIC ou processus TIC qui ne satisfont pas aux normes de cybersécurité, tandis que les importateurs et les distributeurs devraient veiller à ce que les produits TIC, services TIC et processus TIC qu'ils mettent sur le marché de l'Union respectent les exigences applicables et ne présentent pas de risque pour les consommateurs de l'Union.

(51)  En coopération avec les autorités compétentes, l'ENISA devrait pouvoir diffuser des informations sur le niveau de cybersécurité des produits TIC, services TIC et processus TIC offerts sur le marché intérieur, et devrait émettre des alertes visant des fabricants ou fournisseurs de produits TIC, services TIC ou processus TIC et les contraignant à améliorer la sécurité de leurs produits TIC, services TIC et processus TIC, y compris la cybersécurité ▌.

(52)  L'ENISA devrait prendre pleinement en compte les activités en cours en matière de recherche, de développement et d'évaluation technologique, et plus particulièrement les activités menées dans le cadre des différentes initiatives de recherche de l'Union, pour fournir des conseils aux institutions, organes et organismes de l'Union et, le cas échéant, aux États membres, s’ils en font la demande, sur les besoins et les priorités en matière de recherche dans le domaine de la cybersécurité ▌. Pour recenser les besoins et les priorités en matière de recherche, l'ENISA devrait également consulter les groupes d'utilisateurs concernés. Plus spécifiquement, une coopération pourrait être établie avec le Conseil européen de la recherche, l'Institut européen d'innovation et de technologie et l'Institut d'études de sécurité de l'Union européenne.

(53)  L'ENISA devrait consulter régulièrement les organismes de normalisation, en particulier les organismes européens de normalisation, lors de l'élaboration des schémas européens de certification de cybersécurité.

(54)  Les cybermenaces constituent un problème mondial. Il est nécessaire de renforcer la coopération internationale pour améliorer les normes de cybersécurité, y compris en ce qui concerne la nécessité de définir des normes de comportement communes, d’adopter des codes de conduite, de recourir à des normes internationales, et de partager des informations, d’encourager une collaboration internationale plus rapide en réponse aux problèmes de sécurité des réseaux et de l'information et de favoriser une approche globale commune de ces problèmes. À cette fin, l'ENISA devrait aider l'Union à poursuivre son engagement et sa coopération avec les pays tiers et les organisations internationales en mettant les compétences et l'analyse nécessaires au service des institutions, organes et organismes de l'Union concernés, le cas échéant.

(55)  L'ENISA devrait être en mesure de répondre aux demandes de conseil et d'assistance ad hoc qui sont formulées par les États membres et les institutions, organes et organismes de l'Union sur des questions qui relèvent du mandat de l'ENISA.

(56)  Il est raisonnable et recommandé de mettre en œuvre certains principes relatifs à la gouvernance de l'ENISA afin de se conformer à la déclaration commune et à l'approche commune convenues par le groupe de travail interinstitutionnel sur les agences décentralisées de l'Union en juillet 2012, dont l’objectif est de rationaliser les activités des agences décentralisées et d'améliorer leur efficacité. Il convient par ailleurs de tenir compte, s'il y a lieu, des recommandations figurant dans la déclaration commune et de l'approche commune ▌ dans les programmes de travail de l'ENISA, les évaluations de l’ENISA ainsi que les pratiques de l’ENISA en matière d'établissement de rapports et ses pratiques administratives.

(57)  Le conseil d'administration, composé de représentants des États membres et de la Commission, devrait fixer l'orientation générale des activités de l'ENISA et veiller à ce qu'elle exécute ses tâches conformément au présent règlement. Le conseil d'administration devrait être doté des pouvoirs nécessaires pour établir le budget, vérifier l'exécution du budget, adopter des règles financières appropriées, instaurer des procédures de travail transparentes pour la prise de décisions par l'ENISA, adopter le document unique de programmation de l'ENISA, adopter son propre règlement intérieur, nommer le directeur exécutif et statuer sur la prorogation et la cessation du mandat du directeur exécutif.

(58)  Pour assurer le fonctionnement correct et efficace de l'ENISA, la Commission et les États membres devraient veiller à ce que les personnes nommées au conseil d'administration soient dotées de compétences professionnelles et d'une expérience appropriées. La Commission et les États membres devraient également s'efforcer de limiter le roulement de leurs représentants respectifs au sein du conseil d'administration, afin de garantir la continuité des travaux de ce dernier.

(59)  Le bon fonctionnement de l'ENISA exige que le directeur exécutif de celle-ci soit nommé sur la base de son mérite et de ses aptitudes attestées dans le domaine de l'administration et de la gestion, ainsi que de ses compétences et de son expérience pertinentes en matière de cybersécurité. Il convient que le directeur exécutif exerce ses fonctions en toute indépendance. Le directeur exécutif devrait élaborer une proposition de programme de travail annuel pour l'ENISA, après consultation préalable de la Commission, et prendre toutes les mesures nécessaires pour garantir la bonne mise en œuvre de ce programme de travail. Le directeur exécutif devrait préparer un rapport annuel à soumettre au conseil d'administration, portant sur la mise en œuvre du programme de travail annuel de l'ENISA, établir un projet d'état prévisionnel des recettes et des dépenses de l'ENISA et exécuter le budget. Le directeur exécutif devrait, en outre, avoir la possibilité de créer des groupes de travail ad hoc pour traiter de questions spécifiques, en particulier de questions de nature scientifique, technique, juridique ou socio‑économique. La création d'un groupe de travail ad hoc est notamment jugée nécessaire pour la préparation d'un schéma européen de certification de cybersécurité candidat spécifique (ci-après dénommé « schéma candidat"). Le directeur exécutif devrait veiller à ce que les membres des groupes de travail ad hoc soient sélectionnés selon les critères de compétence les plus élevés, visant à assurer un équilibre hommes-femmes et un équilibre adéquat, en fonction des questions spécifiques concernées, entre les administrations publiques des États membres, les institutions, organes et organismes de l'Union et le secteur privé, y compris les entreprises du secteur, les utilisateurs et les experts universitaires en matière de sécurité des réseaux et de l'information.

(60)  Le conseil exécutif devrait contribuer au fonctionnement efficace du conseil d'administration. Dans le cadre de ses travaux préparatoires liés aux décisions du conseil d'administration, le conseil exécutif devrait examiner de manière approfondie les informations pertinentes, étudier les options disponibles et proposer des conseils et des solutions afin de préparer les décisions du conseil d'administration.

(61)  L'ENISA devrait disposer, à titre d'organe consultatif, d'un groupe consultatif de l'ENISA pour assurer un dialogue régulier avec le secteur privé, les organisations de consommateurs et d’autres parties prenantes concernées. Le groupe consultatif de l'ENISA, institué par le conseil d'administration sur proposition du directeur exécutif, devrait s'attacher à examiner des questions pertinentes pour les parties prenantes et devrait les porter à l'attention de l'ENISA. Le groupe consultatif de l'ENISA devrait être consulté en particulier au sujet du projet de programme de travail annuel de l'ENISA. La composition du groupe consultatif de l'ENISA et les tâches assignées à ce groupe devraient assurer une représentation suffisante des parties prenantes dans les travaux de l'ENISA.

(62)  Le groupe des parties prenantes pour la certification de cybersécurité devrait être institué pour aider l'ENISA et la Commission à faciliter la consultation des parties prenantes concernées. Le groupe des parties prenantes pour la certification de cybersécurité devrait être composé de membres représentant le secteur dans des proportions équilibrées, du côté tant de la demande que de l'offre de produits TIC et services TIC, y compris, en particulier, les PME, les fournisseurs de services numériques, les organismes européens et internationaux de normalisation, les organismes d'accréditation nationaux, les autorités de contrôle de la protection des données, les organismes d'évaluation de la conformité en application du règlement (CE) n° 765/2008 du Parlement européen et du Conseil(18), et les universités ainsi que les organisations de consommateurs.

(63)  L'ENISA devrait disposer de règles en matière de prévention et de gestion des conflits d'intérêts. L'ENISA devrait aussi appliquer les dispositions pertinentes du droit de l'Union en ce qui concerne l'accès du public aux documents prévu par le règlement (CE) n° 1049/2001 du Parlement européen et du Conseil▌(19). Le traitement des données à caractère personnel devrait être régi par le règlement (UE) 2018/1725 du Parlement européen et du Conseil ▌(20). L'ENISA devrait respecter les dispositions applicables aux institutions, organes et organismes de l'Union et la législation nationale concernant le traitement des informations, notamment les informations non classifiées sensibles et les informations classifiées de l'Union européenne (ICUE).

(64)  Pour garantir l'autonomie et l'indépendance complètes de l'ENISA et lui permettre d'exécuter des tâches supplémentaires, y compris des tâches urgentes imprévues, il convient de la doter d'un budget suffisant et autonome dont l'essentiel des recettes devrait provenir d'une contribution de l'Union et de contributions des pays tiers participant aux travaux de l'ENISA. Doter l'ENISA d'un budget adéquat est primordial pour garantir qu'elle dispose d'une capacité suffisante pour exécuter l'ensemble de ses tâches toujours plus nombreuses et atteindre ses objectifs. La majeure partie des effectifs de l'ENISA devrait se consacrer directement à la mise en œuvre opérationnelle du mandat de l'ENISA. L'État membre d'accueil et tout autre État membre devrait être autorisé à apporter des contributions volontaires au budget de l'ENISA. La procédure budgétaire de l'Union devrait rester applicable en ce qui concerne toute subvention imputable sur le budget général de l'Union. En outre, la Cour des comptes devrait contrôler les comptes de l'ENISA afin de garantir la transparence et la responsabilité.

(65)  La certification de cybersécurité joue un rôle important dans l'amélioration de la sécurité des produits TIC ▌, services TIC et processus TIC et le renforcement de la confiance qui leur est accordée. Le marché unique numérique, et en particulier l'économie des données et l'IdO, ne peuvent prospérer que si le grand public est convaincu que ces produits ▌, services et processus offrent un certain niveau de cybersécurité. Les voitures connectées et automatisées, les dispositifs médicaux électroniques, les systèmes de contrôle-commande industriels et les réseaux intelligents ne sont que quelques exemples de secteurs dans lesquels la certification est déjà largement utilisée ou est susceptible de l'être dans un avenir proche. Les secteurs régis par la directive (UE) 2016/1148 sont également des secteurs où la certification de cybersécurité joue un rôle critique.

(66)  Dans la communication de 2016 intitulée "Renforcer le système européen de cyber-résilience et promouvoir la compétitivité et l'innovation dans le secteur européen de la cybersécurité", la Commission a souligné le besoin de produits et de solutions de très bonne qualité, abordables et interopérables en matière de cybersécurité. L'offre de produits TIC ▌, services TIC et processus TIC au sein du marché unique reste très fragmentée sur le plan géographique. Cela est dû au fait que le secteur de la cybersécurité en Europe s'est développé principalement en fonction de la demande des gouvernements nationaux. En outre, le manque de solutions interopérables (normes techniques), de pratiques et de dispositifs de certification à l'échelle de l'Union constitue l'une des autres lacunes affectant le marché unique dans le domaine de la cybersécurité. Il en résulte que les entreprises européennes ont des difficultés à être concurrentielles au niveau national, à l'échelon de l'Union et au niveau mondial. Cela restreint également le choix des technologies viables et utilisables en matière de cybersécurité qui s'offre aux particuliers et aux entreprises. De la même façon, dans la communication de 2017 sur la révision à mi-parcours de la mise en œuvre de la stratégie pour le marché unique numérique - Un marché unique numérique connecté pour tous, la Commission a insisté sur le besoin de produits et systèmes connectés qui soient sûrs, et a indiqué que la création d'un cadre européen de la sécurité des TIC fixant des règles sur les modalités d'organisation de la certification de sécurité des TIC dans l'Union pourrait à la fois préserver la confiance dans l'internet et permettre de lutter contre la fragmentation actuelle du marché intérieur.

(67)  Actuellement, la certification de cybersécurité des produits TIC ▌, services TIC et processus TIC n'est utilisée que de façon limitée. Lorsqu'elle existe, elle intervient essentiellement au niveau des États membres ou dans le cadre de schémas pilotés par les entreprises du secteur. Dans ce contexte, un certificat délivré par une autorité nationale de certification de cybersécurité n'est pas, en principe, reconnu dans d'autres États membres. Il arrive donc que les entreprises doivent certifier leurs produits TIC ▌, services TIC et processus TIC dans les différents États membres où elles exercent leurs activités, par exemple pour participer à des procédures nationales de passation de marchés, ce qui implique des coûts supplémentaires. En outre, alors que de nouveaux schémas voient le jour, il ne semble pas exister d'approche cohérente et globale des questions de cybersécurité transversales, par exemple dans le domaine de l'IoD. Les schémas existants présentent des lacunes importantes et des différences en termes de couverture des produits, de niveaux d'assurance, de critères de fond et d'utilisation effective, ce qui entrave les mécanismes de reconnaissance mutuelle au sein de l'Union.

(68)  Des efforts ont été réalisés pour garantir une reconnaissance mutuelle des certificats dans l'Union. Cependant, ils n'ont que partiellement abouti. L'exemple le plus marquant à cet égard est l'accord de reconnaissance mutuelle (ARM) du groupe des hauts fonctionnaires pour la sécurité des systèmes d'information (SOG-IS). Même s'il est le modèle le plus remarquable en ce qui concerne la coopération et la reconnaissance mutuelle dans le domaine de la certification de sécurité, ▌ le SOG-IS ne réunit que certains États membres. De ce fait, l'ARM du SOG-IS n'a eu qu'une efficacité limitée dans la perspective du marché intérieur.

(69)  Dès lors, il est nécessaire d'adopter une approche commune et d'établir un cadre européen de certification de cybersécurité établissant les principales exigences horizontales pour les schémas européens de certification de cybersécurité à développer, et permettant la reconnaissance et l'utilisation dans tous les États membres des certificats de cybersécurité européens et des déclarations de conformité de l’UE pour les produits TIC, services TIC ou processus TIC. Ce faisant, il est essentiel de s'appuyer sur des schémas nationaux et internationaux existants, ainsi que sur des systèmes de reconnaissance mutuelle, en particulier le SOG-IS, et de créer les conditions d'une transition en douceur des schémas existants relevant de ces systèmes vers les schémas relevant du nouveau cadre européen de certification de cybersécurité. Le cadre européen de certification de cybersécurité devrait poursuivre un double objectif. Tout d'abord, il devrait contribuer à renforcer la confiance dans les produits TIC, services TIC et processus TIC qui ont été certifiés conformément aux schémas européens de certification de cybersécurité. Ensuite, il devrait aider à éviter la multiplication de schémas de certification de cybersécurité nationales contradictoires ou faisant double emploi, réduisant ainsi les coûts à la charge des entreprises exerçant leurs activités sur le marché unique numérique. Les schémas européens de certification de cybersécurité devraient être non discriminatoires et fondés sur des normes européennes ou internationales, sauf si ces normes sont inefficaces ou inappropriées pour remplir les objectifs légitimes de l'Union à cet égard.

(70)  Le cadre européen de certification de cybersécurité devrait être établi de manière homogène dans tous les États membres afin d'éviter la pratique du "shopping de certifications" en raison des différents niveaux d'exigence dans les différents États membres.

(71)  Les schémas européens de certification de cybersécurité devraient reposer sur les éléments déjà existants au niveau international et national et, au besoin, sur les spécifications techniques des forums et consortiums, en tirant les leçons des points forts actuels et en évaluant et en corrigeant les points faibles.

(72)  Des solutions de cybersécurité flexibles sont nécessaires pour que les entreprises du secteur gardent une longueur d'avance sur les cybermenaces; dès lors, tout schéma de certification devrait être conçu de manière à éviter le risque d'obsolescence rapide.

(73)  La Commission devrait être habilitée à adopter des schémas européens de certification de cybersécurité concernant des groupes spécifiques de produits TIC, services TIC et processus TIC. Ces schémas devraient être mis en œuvre et contrôlés par des autorités nationales de ▌ certification de cybersécurité, et les certificats délivrés au titre de ces schémas devraient être valables et reconnus sur tout le territoire de l'Union. Les schémas de certification gérés par les entreprises du secteur ou d'autres organismes privés devraient être exclus du champ d'application du présent règlement. Toutefois, les organismes qui gèrent de tels schémas devraient pouvoir proposer que la Commission les prenne pour base en vue de les approuver en tant que schéma européen de certification de cybersécurité.

(74)  Les dispositions du présent règlement devraient être sans préjudice du droit de l'Union qui prévoit des règles spécifiques concernant la certification des produits TIC, services TIC et processus TIC. En particulier, le règlement (UE) 2016/679 fixe des dispositions en vue de la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent ledit règlement. Ces mécanismes de certification et ces labels et marques en matière de protection des données devraient permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits TIC, services TIC et processus TIC en question. Le présent règlement est sans préjudice de la certification des opérations de traitement des données au titre du règlement (UE) 2016/679, y compris lorsque ces opérations sont intégrées dans des produits TIC, services TIC et processus TIC.

(75)  Les schémas européens de certification de cybersécurité devraient avoir pour finalité de garantir que les produits TIC, services TIC et processus TIC certifiés selon de tels schémas respectent les exigences définies qui visent à protéger la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées , transmises ou traitées, ou des fonctions connexes de ces produits, services et processus tout au long de leur cycle de vie, ou des services qu'ils offrent ou qui sont accessibles par leur intermédiaire. Il n'est pas possible d'exposer en détail les exigences de cybersécurité se rapportant à tous les produits TIC, services TIC et processus TIC dans le présent règlement. Les produits TIC, services TIC et processus TIC et les besoins de cybersécurité relatifs à ces produits, services et processus sont si divers qu'il est très difficile d'élaborer des exigences de cybersécurité générales qui soient valables en toutes circonstances. Il est donc nécessaire d'adopter, aux fins de la certification, une notion large et générale de la cybersécurité, laquelle devrait être complétée par une série d'objectifs spécifiques en matière de cybersécurité à prendre en compte lors de la conception de schémas européens de certification de cybersécurité. Les modalités selon lesquelles ces objectifs doivent être atteints pour des produits TIC, services TIC et processus TIC spécifiques devraient ensuite être précisées en détail au niveau de chaque schéma de certification adopté par la Commission, par exemple en faisant référence à des normes ou à des spécifications techniques s'il n'existe aucune norme appropriée.

(76)  Les spécifications techniques à utiliser dans les schémas européens de certification de cybersécurité devraient respecter les exigences énoncées à l'annexe II du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil(21). Il pourrait toutefois être jugé nécessaire de s'écarter quelque peu de ces exigences dans des cas dûment justifiés, lorsque ces spécifications techniques doivent être utilisées dans un schéma européen de certification de cybersécurité renvoyant à un niveau d'assurance dit "élevé". Les motifs de ces écarts devraient être rendus publics.

(77)  L'évaluation de la conformité est une procédure consistant à évaluer s'il est satisfait aux exigences relatives à un produit TIC, service TIC ou processus TIC qui ont été définies. Cette procédure est réalisée par un tiers indépendant, autre que le fabricant ou le fournisseur des produits TIC, services TIC ou processus TIC qui font l'objet de l'évaluation. Un certificat de cybersécurité européen devrait être délivré à l'issue d'une procédure d'évaluation d'un produit TIC, service TIC ou processus TIC réussie. Il convient de considérer le certificat de cybersécurité européen comme une confirmation que l'évaluation a été dûment réalisée. En fonction du niveau d'assurance, le schéma européen de certification de cybersécurité devrait indiquer si le certificat de cybersécurité européen doit être délivré par un organisme privé ou public. L'évaluation de la conformité et la certification ne peuvent en soi garantir que les produits TIC, services TIC et processus TIC certifiés sont sécurisés du point de vue de la cybersécurité. Il s'agit plutôt de procédures et de méthodologies techniques visant à attester que des produits TIC, services TIC et processus TIC ont été soumis à des essais et qu'ils respectent certaines exigences de cybersécurité établies par ailleurs, par exemple dans des normes techniques.

(78)  Le choix, par les utilisateurs de certificats de cybersécurité européens, de la certification appropriée et des exigences de sécurité correspondantes devrait se fonder sur une analyse des risques associés à l'utilisation des produits TIC, services TIC ou processus TIC. En conséquence, le niveau d'assurance devrait ainsi correspondre au niveau de risque associé à l'utilisation prévue d'un produit TIC, service TIC ou processus TIC.

(79)  Les schémas européens de certification de cybersécurité pourraient prévoir une évaluation de la conformité devant être effectuée sous la seule responsabilité du fabricant ou du fournisseur de produits TIC, services TIC ou processus TIC (ci-après dénommée "autoévaluation de la conformité"). En pareils cas, il devrait suffire que le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC effectue lui-même tous les contrôles pour garantir que les produits TIC, services TIC ou processus TIC sont conformes au schéma européen de certification de cybersécurité. L'autoévaluation de la conformité devrait être considérée comme appropriée pour les produits TIC et services TIC de faible complexité ou pour les processus TIC qui présentent un risque faible pour le public, tels que des mécanismes de conception et de production simples. En outre, l'autoévaluation de la conformité ne devrait être autorisée pour les produits TIC, services TIC ou processus TIC que lorsqu’ils correspondent à un niveau d'assurance dit "élémentaire".

(80)  Les schémas européens de certification de cybersécurité pourraient permettre à la fois les autoévaluations de la conformité et les certifications de produits TIC, services TIC ou processus TIC. Dans ce cas, le schéma devrait prévoir des moyens clairs et compréhensibles pour les consommateurs ou les autres utilisateurs de distinguer entre les produits TIC, services TIC ou processus TIC à l’égard desquels le fabricant ou le fournisseur des produits TIC, services TIC ou processus TIC est responsable de l’évaluation, et les produits TIC, services TIC et processus TIC qui sont certifiés par un tiers.

(81)  Le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC qui effectue une autoévaluation de la conformité devrait pouvoir délivrer et signer la déclaration de conformité de l'UE dans le cadre de la procédure d'évaluation de la conformité. Une déclaration de conformité de l'UE est un document qui indique qu'un produit TIC, service TIC ou processus TIC spécifique respecte les exigences du schéma européen de certification de cybersécurité. En délivrant et en signant la déclaration de conformité de l'UE, le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC assume la responsabilité du respect par le produit TIC, service TIC ou processus TIC des exigences légales du schéma européen de certification de cybersécurité. Une copie de la déclaration de conformité de l'UE devrait être soumise à l'autorité nationale de certification de cybersécurité et à l'ENISA.

(82)  Le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC devrait mettre à la disposition de l'autorité nationale de certification de cybersécurité compétente, pour une durée fixée dans le schéma européen de certification de cybersécurité concerné, la déclaration de conformité de l'UE, la documentation technique et toutes les autres informations pertinentes relatives à la conformité des produits TIC, services TIC ou processus TIC avec un schéma européen de certification de cybersécurité. La documentation technique devrait préciser les exigences applicables au titre du schéma et devrait couvrir la conception, la fabrication et le fonctionnement du produit TIC, service TIC ou processus TIC dans la mesure nécessaire à l'autoévaluation de la conformité. La documentation technique devrait être compilée de façon à permettre d'évaluer si un produit TIC ou un service TIC respecte les exigences applicables au titre de ce schéma.

(83)  La gouvernance du cadre européen de certification de cybersécurité prend en compte la participation des États membres ainsi qu'une participation appropriée des parties prenantes, et définit le rôle de la Commission pendant la planification et la proposition, la demande, l'élaboration, l'adoption ainsi que l'évaluation des schémas européens de certification de cybersécurité.

(84)   ▌La Commission devrait préparer, avec le soutien du groupe européen de certification de cybersécurité (GECC) et du groupe des parties prenantes pour la certification de cybersécurité et à la suite d'une large consultation ouverte, un programme de travail glissant de l'Union pour les schémas européens de certification de cybersécurité et devrait le publier sous la forme d'un instrument non contraignant. Le programme de travail glissant de l'Union devrait consister en un document stratégique permettant aux entreprises du secteur, aux autorités nationales et aux organismes de normalisation, en particulier, de se préparer à l’avance dans la perspective des futurs schémas européens de certification de cybersécurité. Le programme de travail glissant de l'Union devrait comporter un aperçu pluriannuel des demandes de schémas candidats que la Commission compte adresser à l'ENISA pour préparation, sur la base de motifs spécifiques. La Commission devrait tenir compte du programme de travail glissant de l'Union lors de la préparation de son plan glissant pour la normalisation des TIC et des demandes de normalisation adressées à des organismes européens de normalisation. Compte tenu de la rapidité de l'introduction et de l'adoption des nouvelles technologies, de l'apparition de risques liés à la cybersécurité auparavant inconnus et de l'évolution de la législation et des marchés, la Commission ou le GECC devrait être habilité(e) à demander à l'ENISA de préparer des schémas candidats qui n'ont pas été prévus dans le programme de travail glissant de l'Union. En pareils cas, la Commission et le GECC devraient en outre évaluer le bien-fondé d'une telle demande en tenant compte des finalités et objectifs généraux du présent règlement et de la nécessité d'assurer la continuité en ce qui concerne la planification et l'utilisation des ressources par l'ENISA.

À la suite d'une telle demande, l'ENISA devrait préparer les schémas candidats pour des produits TIC, services TIC et processus TIC spécifiques sans retard injustifié. La Commission devrait évaluer l'incidence positive et négative de sa demande sur le marché spécifique en question, en particulier son impact sur les PME, l'innovation, les obstacles à l'entrée sur ce marché et les coûts pour les utilisateurs finaux. Sur la base du schéma candidat préparé par l'ENISA, la Commission devrait alors être habilitée à adopter le schéma européen de certification de cybersécurité par voie d'actes d'exécution. Compte tenu de la finalité générale du présent règlement et des objectifs de sécurité qui y sont fixés, les schémas européens de certification de cybersécurité adoptés par la Commission devraient préciser un ensemble minimal d'éléments relatifs à l'objet, au champ d'application et au fonctionnement du schéma considéré. Ces éléments devraient notamment comprendre le champ d'application et l'objet de la certification de cybersécurité, y compris l'indication des catégories de produits TIC, services TIC et processus TIC couverts, la description détaillée des exigences de cybersécurité, par exemple par référence à des normes ou des spécifications techniques, les critères et méthodes d'évaluation spécifiques, ainsi que le niveau d'assurance visé ("élémentaire", "substantiel" ou "élevé"), et les niveaux d'évaluation s'il y a lieu. L'ENISA devrait pouvoir refuser une demande adressée par le GECC. De telles décisions devraient être prises par le conseil d'administration et devraient être dûment motivées.

(85)  L'ENISA devrait maintenir un site internet fournissant des informations sur les schémas européens de certification de cybersécurité et leur donnant une visibilité, qui devrait, entre autres, comprendre les demandes de préparation d'un schéma candidat ainsi que les retours d'information reçus lors du processus de consultation réalisé par l'ENISA au cours de la phase préparatoire. Le site internet devrait en outre fournir des informations sur les certificats de cybersécurité européens et les déclarations de conformité de l'UE délivrés en application du présent règlement, notamment des informations concernant le retrait et l'expiration de tels certificats de cybersécurité européens et déclarations de conformité de l'UE. Le site internet devrait en outre indiquer les schémas nationaux de certification de cybersécurité qui ont été remplacés par un schéma européen de certification de cybersécurité.

(86)  Le niveau d'assurance d’un schéma européen de certification constitue le fondement permettant de garantir qu'un produit TIC, service TIC ou processus TIC satisfait aux exigences de sécurité d'un schéma européen de certification de cybersécurité spécifique. Pour assurer la cohérence du cadre européen de certification de cybersécurité, un schéma européen de certification de cybersécurité devrait pouvoir préciser les niveaux d'assurance pour les certificats de cybersécurité européens et les déclarations de conformité de l'UE délivrés dans le cadre de ce schéma. Chaque certificat de cybersécurité européen pourrait renvoyer à l'un des niveaux d'assurance, à savoir "élémentaire", "substantiel" ou "élevé", tandis que la déclaration de conformité de l'UE pourrait ne renvoyer qu'au niveau d'assurance dit "élémentaire". Les niveaux d'assurance prévoiraient la rigueur et l'ampleur correspondantes de l'évaluation du produit TIC, du service TIC ou du processus TIC et seraient déterminés par référence aux spécifications techniques, normes et procédures qui y sont liées, y compris les contrôles techniques, dont l'objectif est de limiter les incidents ou de les prévenir. Chaque niveau d'assurance devrait être cohérent dans les différents domaines sectoriels dans lesquels la certification s'applique.

(87)  Un schéma européen de certification de cybersécurité pourrait préciser plusieurs niveaux d'évaluation, en fonction de la rigueur et de l'ampleur de la méthode d'évaluation utilisée. Les niveaux d'évaluation devraient correspondre à l'un des niveaux d'assurance et être associés à une combinaison appropriée de composantes d'assurance. Pour tous les niveaux d'assurance, le produit TIC, service TIC ou processus TIC devrait contenir un certain nombre de fonctions sécurisées, telles qu'elles sont définies par le schéma, pouvant comprendre: une configuration sécurisée prête à l'emploi, un code signé, une mise à jour sécurisée, ainsi que la limitation de l'exploitation de failles et des protections complètes ("full stack") ou du tas de la mémoire. Ces fonctions devraient faire l'objet d'un développement et d'une maintenance fondés sur des approches de développement mettant l'accent sur la sécurité et des outils associés, afin de garantir que des mécanismes efficaces au niveau tant du logiciel que du matériel sont incorporés de manière fiable.

(88)  Pour le niveau d'assurance dit "élémentaire", l'évaluation devrait au moins porter sur les composantes d'assurance suivantes: l'évaluation devrait comprendre au moins un examen, par l'organisme d'évaluation de la conformité, de la documentation technique accompagnant le produit TIC, service TIC ou processus TIC. Lorsque la certification inclut des processus TIC, le processus de conception, de développement et de maintenance d'un produit TIC ou service TIC devrait également être soumis à l'examen technique. Lorsqu'un schéma européen de certification de cybersécurité prévoit une autoévaluation de la conformité, il devrait suffire que le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC ait effectué une autoévaluation de la conformité du produit TIC, service TIC ou processus TIC avec le schéma de certification.

(89)  Pour le niveau d'assurance dit "substantiel", l'évaluation devrait au moins porter sur, outre les exigences liées au niveau d'assurance dit "élémentaire", la vérification de la conformité des fonctionnalités de sécurité du produit TIC, service TIC ou processus TIC avec sa documentation technique.

(90)  Pour le niveau d'assurance dit "élevé", l'évaluation devrait au moins porter sur, outre les exigences liées au niveau d'assurance dit "substantiel", un test d'efficacité évaluant la résistance des fonctionnalités de sécurité du produit TIC, service TIC ou processus TIC face à des cyberattaques élaborées lancées par des personnes aux aptitudes solides et aux ressources importantes.

(91)  Le recours à la certification de cybersécurité européenne et aux déclarations de conformité de l'UE devrait rester volontaire, sauf disposition contraire du droit de l'Union ou du droit d’un État membre adoptée conformément au droit de l'Union. En l'absence d'harmonisation du droit de l'Union, les États membres peuvent adopter des réglementations techniques nationales prévoyant une certification obligatoire dans le cadre du schéma européen de certification de cybersécurité conformément à la directive (UE) 2015/1535 du Parlement européen et du Conseil(22). Les États membres ont aussi recours à la certification européenne de cybersécurité dans le cadre d'un marché public et de la directive 2014/24/UE du Parlement européen et du Conseil(23).

(92)  Dans certains domaines, il pourrait s'avérer nécessaire, à l'avenir, d'imposer certaines exigences spécifiques en matière de cybersécurité et de rendre la certification y afférente obligatoire pour certains produits TIC, services TIC ou processus TIC, afin d'améliorer le niveau de la cybersécurité dans l'Union. À intervalles réguliers, la Commission devrait assurer un suivi de l'incidence des schémas européens de certification de cybersécurité adoptés sur la disponibilité dans le marché intérieur de produits TIC, services TIC et processus TIC sécurisés et devrait régulièrement évaluer le niveau d'utilisation des schémas de certification par les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC dans l'Union. Il convient d'évaluer l'efficacité des schémas européens de certification de cybersécurité et la question de savoir si certains schémas devraient être rendus obligatoires à la lumière de la législation de l'Union relative à la cybersécurité, en particulier la directive (UE) 2016/1148, en tenant compte de la sécurité du réseau et des systèmes d'information utilisés par les opérateurs de services essentiels.

(93)  Les certificats de cybersécurité européens et les déclarations de conformité de l'UE devraient aider les utilisateurs finaux à faire des choix éclairés. Dès lors, les produits TIC, services TIC et processus TIC qui ont été certifiés ou pour lesquels une déclaration de conformité de l'UE a été émise, devraient être accompagnés d'informations structurées, adaptées au niveau technique attendu de l'utilisateur final auquel ils sont destinés. Toutes ces informations devraient être disponibles en ligne et, le cas échéant, sous une forme physique. L'utilisateur final devrait avoir accès à des informations concernant le numéro de référence du schéma de certification, le niveau d'assurance, la description des risques liés à la cybersécurité qui sont associés au produit TIC, service TIC ou processus TIC, et l'autorité ou l'organisme de délivrance, ou devrait être en mesure d'obtenir une copie du certificat de cybersécurité européen. En outre, l'utilisateur final devrait recevoir des informations sur la politique d'assistance en matière de cybersécurité du fabricant ou du fournisseur de produits TIC, services TIC ou processus TIC (à savoir combien de temps l'utilisateur final peut escompter recevoir des mises à jour ou des correctifs en matière de cybersécurité). Le cas échéant, des orientations en ce qui concerne les mesures que l'utilisateur final peut prendre ou les paramétrages qu'il peut effectuer pour maintenir ou accroître la cybersécurité du produit TIC ou service TIC et des informations de contact d'un point de contact unique auquel s'adresser ou auprès duquel recevoir une aide en cas de cyberattaque (outre le signalement automatique) devraient être fournis. Ces informations devraient être actualisées régulièrement et être mises à disposition sur un site internet fournissant des informations sur les schémas européens de certification de cybersécurité.

(94)  En vue d'atteindre les objectifs du présent règlement et d'éviter la fragmentation du marché intérieur, les procédures ou schémas nationaux de certification de cybersécurité applicables aux produits TIC, services TIC ou processus TIC couverts par un schéma européen de certification de cybersécurité devraient cesser de produire leurs effets à compter d’une date fixée par la Commission par voie d'actes d'exécution. De plus, les États membres devraient s'abstenir d'instaurer de nouveaux schémas nationaux de certification de cybersécurité applicables aux produits TIC, services TIC ou processus TIC déjà couverts par un schéma européen de certification de cybersécurité existant. Toutefois, il convient de ne pas empêcher les États membres d'adopter ou de maintenir des schémas nationaux de certification de cybersécurité à des fins de sécurité nationale. Les États membres devraient informer la Commission et le GECC de leur intention éventuelle d'élaborer de nouveaux schémas nationaux de certification de cybersécurité. La Commission et le GECC devraient évaluer l'incidence des nouveaux schémas nationaux de certification de cybersécurité sur le bon fonctionnement du marché intérieur, à la lumière de tout intérêt stratégique qu'il y aurait à demander, en leur lieu et place, un schéma européen de certification de cybersécurité.

(95)  Les schémas européens de certification de cybersécurité ont vocation à contribuer à harmoniser les pratiques de cybersécurité au sein de l'Union. Ils doivent contribuer à augmenter le niveau de cybersécurité dans l'Union. La conception des schémas européens de certification de cybersécurité devrait également prendre en compte et permettre la mise au point d'innovations dans le domaine de la cybersécurité.

(96)  Les schémas européens de certification de cybersécurité devraient tenir compte des méthodes actuelles de développement des logiciels et du matériel et, en particulier, de l'incidence sur des certificats de cybersécurité européens individuels de mises à jour fréquentes des logiciels ou des micrologiciels. Les schémas européens de certification de cybersécurité devraient préciser les conditions dans lesquelles une mise à jour peut nécessiter qu'un produit TIC, service TIC ou processus TIC doive être de nouveau certifié ou que le champ d'application d'un certificat de cybersécurité européen particulier doive être réduit, compte tenu des éventuels effets négatifs de la mise à jour sur le respect des exigences de ce certificat en matière de sécurité.

(97)  Une fois qu'un schéma européen de certification de cybersécurité a été adopté, les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC devraient être en mesure de soumettre des demandes de certification de leurs produits TIC ou services TIC à l'organisme d'évaluation de la conformité de leur choix établi où que ce soit dans l'Union. Les organismes d'évaluation de la conformité devraient être accrédités par un organisme d'accréditation national s'ils satisfont à certaines exigences définies telles qu'elles sont énoncées dans le présent règlement. L'accréditation devrait être accordée pour une durée maximale de cinq ans et devrait pouvoir être renouvelée dans les mêmes conditions, pourvu que l'organisme d'évaluation de la conformité satisfasse encore aux exigences. L'accréditation devrait être limitée, suspendue ou révoquée par des organismes d'accréditation nationaux lorsque les conditions de l'accréditation ne sont pas ou ne sont plus remplies ou lorsque l'organisme d'évaluation de la conformité viole le présent règlement.

(98)  Les références faites dans la législation nationale à des normes nationales qui ont cessé de produire leurs effets en raison de l'entrée en vigueur d'un schéma européen de certification de cybersécurité peuvent être une source de confusion. Dès lors, les États membres devraient tenir compte, dans leur législation nationale, de l'adoption d'un schéma européen de certification de cybersécurité.

(99)  Pour parvenir à l'équivalence des normes dans toute l'Union, faciliter la reconnaissance mutuelle et favoriser l'acceptation globale des certificats de cybersécurité européens et des déclarations de conformité de l'UE, il est nécessaire de mettre en place un système d'examen par les pairs entre les autorités nationales de certification de cybersécurité. L'examen par les pairs devrait couvrir les procédures de contrôle de la conformité des produits TIC, services TIC et processus TIC avec les certificats de cybersécurité européens, de surveillance du respect des obligations des fabricants ou des fournisseurs de produits TIC, services TIC ou processus TIC qui procèdent à une autoévaluation de la conformité, et de surveillance des organismes d'évaluation de la conformité ainsi que de l'adéquation des compétences du personnel des organismes qui délivrent les certificats pour les niveaux d'assurance dits "élevés". La Commission devrait pouvoir, par voie d'actes d'exécution, établir au moins un plan quinquennal pour les examens par les pairs, et fixer les critères et les méthodes de fonctionnement du système d'examen par les pairs.

(100)  Sans préjudice du système général d'examen par les pairs à mettre en place entre toutes les autorités nationales de certification de cybersécurité au sein du cadre européen de certification de cybersécurité, certains schémas européens de certification de cybersécurité peuvent comporter un mécanisme d'évaluation par les pairs pour les organismes délivrant des certificats de cybersécurité européens pour des produits TIC, services TIC et processus TIC avec un niveau d'assurance dit "élevé" en application de ces schémas. Le GECC devrait soutenir la mise en œuvre de ces mécanismes d'évaluation par les pairs. Les évaluations par les pairs devraient en particulier évaluer si les organismes concernés s'acquittent de leurs tâches de façon harmonisée, et peuvent comporter des mécanismes de recours. Les résultats des évaluations par les pairs devraient être rendus publics. Les organismes concernés peuvent adopter des mesures appropriées pour adapter leurs pratiques et leurs compétences en conséquence.

(101)  ▌ Les États membres devraient désigner une ou plusieurs autorités nationales de certification de cybersécurité afin de contrôler le respect des obligations découlant du présent règlement. Une autorité nationale de certification de cybersécurité peut être une autorité existante ou une nouvelle autorité. Un État membre devrait également pouvoir désigner, après en être convenu avec un autre État membre, une ou plusieurs autorités nationales de certification de cybersécurité sur le territoire de cet autre État membre.

(102)  Les autorités nationales de certification de cybersécurité devraient en particulier contrôler et faire respecter les obligations qui incombent aux fabricants ou fournisseurs de produits TIC, services TIC ou processus TIC établis sur leur territoire respectif en ce qui concerne la déclaration de conformité de l'UE, assister les organismes nationaux d'accréditation dans le contrôle et la supervision des activités des organismes d'évaluation de la conformité en leur offrant leurs compétences et en leur fournissant des informations utiles, autoriser les organismes d'évaluation de la conformité à exécuter leurs tâches lorsque ces organismes satisfont aux exigences supplémentaires fixées dans un schéma européen de certification de cybersécurité, et suivre les évolutions pertinentes dans le domaine de la certification de cybersécurité ▌. Les autorités nationales de ▌ certification de cybersécurité devraient également traiter les réclamations introduites par des personnes physiques ou morales en rapport avec les certificats de cybersécurité européens que ces autorités ont délivrés ou en rapport avec des certificats de cybersécurité européens délivrés par des organismes d'évaluation de la conformité, lorsque de tels certificats indiquent un niveau d'assurance "élevé", devraient examiner l'objet de la réclamation dans la mesure nécessaire et devraient informer l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable. De plus, les autorités nationales de ▌ certification de cybersécurité devraient coopérer avec d'autres autorités nationales ▌ de certification de cybersécurité ou d'autres autorités publiques, notamment en partageant des informations sur l'éventuel non-respect par des produits TIC, services TIC et processus TIC des exigences du présent règlement ou de certains schémas européens de certification de cybersécurité spécifiques. La Commission devrait faciliter ce partage d'informations grâce à la mise à disposition d'un système général de soutien à l'information électronique, par exemple, le système d'information et de communication pour la surveillance des marchés (ICSMS) et le système européen d'échange rapide sur les produits dangereux (RAPEX) déjà utilisés par les autorités de surveillance du marché en vertu du règlement (CE) nº 765/2008.

(103)  Afin d'assurer une application cohérente du cadre européen de certification de cybersécurité, un GECC qui est composé de représentants des autorités nationales de certification de cybersécurité ou d'autres autorités nationales compétentes devrait être mis en place. Les tâches principales du GECC devraient consister à conseiller et assister la Commission dans ses efforts pour assurer une mise en œuvre et une application cohérentes du cadre européen de certification de cybersécurité, à assister l'ENISA et à coopérer étroitement avec elle dans la préparation des schémas de certification de cybersécurité candidats, à demander à l'ENISA, dans des cas dûment justifiés, de préparer un schéma candidat, à adopter des avis adressés à l'ENISA sur les schémas candidats et à adopter des avis à l’intention de la Commission concernant la maintenance et le réexamen de schémas européens de certification de cybersécurité existants. Le GECC devrait faciliter l'échange de bonnes pratiques et de compétences entre les diverses autorités nationales de certification de cybersécurité qui sont responsables de l'accréditation des organismes d'évaluation de la conformité et de la délivrance des certificats de cybersécurité européens.

(104)  Dans une optique de sensibilisation et pour faciliter l'acceptation de futurs schémas européens de certification de cybersécurité, la Commission peut publier des lignes directrices générales ou sectorielles dans le domaine de la cybersécurité, par exemple sur les bonnes pratiques ou les comportements responsables en matière de cybersécurité, en soulignant les effets positifs de l'utilisation de produits TIC ▌, services TIC et processus TIC certifiés.

(105)  Pour faciliter encore davantage les échanges, et compte tenu du fait que les chaînes d'approvisionnement TIC sont mondiales, des accords de reconnaissance mutuelle concernant les certificats de cybersécurité européens peuvent être conclus par l'Union conformément à l'article 218 du traité sur le fonctionnement de l'Union européenne. La Commission, tenant compte de l'avis de l'ENISA et du GECC, peut recommander l'ouverture de négociations à cette fin. Chaque schéma européen de certification de cybersécurité devrait prévoir des conditions spécifiques pour de tels accords de reconnaissance mutuelle avec des pays tiers.

(106)  Afin d'assurer des conditions uniformes d'exécution du présent règlement, il convient de conférer des compétences d'exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) n° 182/2011 du Parlement européen et du Conseil(24).

(107)  Il convient d’avoir recours à la procédure d'examen pour l'adoption d'actes d'exécution concernant les schémas européens de certification de cybersécurité applicables à des produits TIC, services TIC ou processus TIC, pour l'adoption d'actes d'exécution concernant les modalités d'exécution des enquêtes menées par l'ENISA, pour l'adoption d'actes d'exécution concernant un plan pour l'examen par les pairs des autorités nationales de certification de cybersécurité et pour l'adoption d'actes d'exécution concernant les circonstances, les formats et les procédures de notification à la Commission des organismes d'évaluation de la conformité accrédités par les autorités nationales de ▌ certification de cybersécurité.

(108)  Les activités de l'ENISA devraient faire l'objet d'évaluations régulières et indépendantes. Ces évaluations devraient porter sur les objectifs, les méthodes de travail et la pertinence des tâches de l'ENISA, en particulier les tâches qui ont trait à la coopération opérationnelle au niveau de l'Union. Ces évaluations devraient également porter sur l'impact, l'efficacité et l'efficience du cadre européen de certification de cybersécurité. En cas de réexamen, la Commission devrait évaluer comment le rôle de l'ENISA en tant que point de référence pour les conseils et les compétences peut être renforcé, et devrait également évaluer le rôle que l'ENISA pourrait jouer pour soutenir l'évaluation des produits TIC, services TIC et processus TIC de pays tiers qui ne respectent pas les règles de l’Union, lorsque ces produits, services et processus entrent dans l'Union.

(109)  Étant donné que les objectifs du présent règlement ne peuvent pas être atteints de manière suffisante par les États membres, mais peuvent l'être mieux au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre ces objectifs.

(110)  Il y a lieu d'abroger le règlement (UE) n° 526/2013,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

TITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet et champ d'application

1.  En vue d'assurer le bon fonctionnement du marché intérieur tout en cherchant à atteindre un niveau élevé de cybersécurité, de cyber-résilience et de confiance au sein de l'Union, le présent règlement fixe:

a)  les objectifs, les tâches et les questions organisationnelles concernant l'ENISA (l'Agence de l'Union européenne pour la cybersécurité); et

b)  un cadre pour la mise en place de schémas européens de certification de cybersécurité dans le but de garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l'Union, ainsi que dans le but d'éviter la fragmentation du marché intérieur pour ce qui est des schémas de certification dans l'Union.

Le cadre visé au premier alinéa, point b), s'applique sans préjudice des dispositions spécifiques d'autres actes juridiques de l'Union en matière de certification volontaire ou obligatoire.

2.  Le présent règlement est sans préjudice des compétences des États membres en ce qui concerne les activités relatives à la sécurité publique, à la défense et à la sécurité nationale, et les activités de l'État dans des domaines du droit pénal.

Article 2

Définitions

Aux fins du présent règlement, on entend par:

1)  "cybersécurité", les actions nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces;

2)  "réseau et système d'information", un réseau et système d'information au sens de l'article 4, point 1), de la directive (UE) 2016/1148;

3)  "stratégie nationale en matière de sécurité des réseaux et des systèmes d'information", une stratégie nationale en matière de sécurité des réseaux et des systèmes d'information au sens de l'article 4, point 3), de la directive (UE) 2016/1148;

4)  "opérateur de services essentiels", un opérateur de services essentiels au sens de l'article 4, point 4), de la directive (UE) 2016/1148;

5)  "fournisseur de service numérique", un ▌ fournisseur de service numérique au sens de l'article 4, point 6), de la directive (UE) 2016/1148;

6)  "incident", un incident au sens de l'article 4, point 7), de la directive (UE) 2016/1148;

7)  "gestion d'incident", la gestion d'incident au sens de l'article 4, point 8), de la directive (UE) 2016/1148;

8)  "cybermenace", toute circonstance ▌, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d'information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes;

9)  "schéma européen de certification de cybersécurité", un ensemble complet de règles, d'exigences techniques, de normes et de procédures ▌ qui sont établies à l'échelon de l'Union et qui s'appliquent à la certification ou à l'évaluation de la conformité de produits TIC, services TIC ou processus TIC spécifiques;

10)  "schéma national de certification de cybersécurité", un ensemble complet de règles, d'exigences techniques, de normes et de procédures élaborées et adoptées par une autorité publique nationale et qui s'appliquent à la certification ou à l'évaluation de la conformité des produits TIC, services TIC et processus TIC relevant de ce schéma spécifique;

11)  "certificat de cybersécurité européen", un document délivré par un organisme compétent attestant qu'un produit TIC, ▌ service TIC ou processus TIC donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité;

12)  "produit ▌ TIC", un élément ou un groupe d'éléments appartenant à un réseau ou à un schéma d'information;

13)  "service TIC", un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d'information;

14)  "processus TIC", un ensemble d'activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance;

15)  "accréditation", l'accréditation au sens de l'article 2, point 10), du règlement (CE) n° 765/2008;

16)  "organisme national d'accréditation", un organisme national d'accréditation au sens de l'article 2, point 11), du règlement (CE) n° 765/2008;

17)  "évaluation de la conformité", une évaluation de la conformité au sens de l'article 2, point 12), du règlement (CE) n° 765/2008;

18)  "organisme d'évaluation de la conformité", un organisme d'évaluation de la conformité au sens de l'article 2, point 13), du règlement (CE) n° 765/2008;

19)  "norme", une norme au sens de l'article 2, point 1), du règlement (UE) n° 1025/2012;

20)  "spécification technique", un document qui établit les exigences techniques auxquelles un produit TIC, service TIC ou processus TIC doit répondre ou des procédures d'évaluation de la conformité afférentes à un produit TIC, service TIC ou processus TIC;

21)  "niveau d'assurance", le fondement permettant de garantir qu'un produit TIC, service TIC ou processus TIC satisfait aux exigences de sécurité d'un schéma européen de certification de cybersécurité spécifique, indique le niveau auquel un produit TIC, service TIC ou processus TIC a été évalué mais, en tant que tel, ne mesure pas la sécurité du produit TIC, service TIC ou processus TIC concerné;

22)  "autoévaluation de la conformité", une action effectuée par un fabricant ou un fournisseur de produits TIC, services TIC ou processus TIC, qui évalue si ces produits TIC, services TIC ou processus TIC satisfont aux exigences fixées dans un schéma européen de certification de cybersécurité spécifique.

TITRE II

ENISA (l'Agence de ▌l'Union européenne pour la cybersécurité)

CHAPITRE I

MANDAT ET OBJECTIFS

Article 3

Mandat

1.  L'ENISA exécute les tâches qui lui sont assignées par le présent règlement dans le but de parvenir à un niveau commun élevé de cybersécurité dans l'ensemble de l'Union, y compris en aidant activement les États membres et les institutions, organes et organismes de l'Union à améliorer la cybersécurité. L'ENISA sert de point de référence pour les conseils et compétences en matière de cybersécurité pour les institutions, organes et organismes de l'Union ainsi que pour les autres parties prenantes concernées de l'Union.

L'ENISA contribue à réduire la fragmentation du marché intérieur en s'acquittant des tâches qui lui sont assignées en vertu du présent règlement.

2.  L'ENISA exécute les tâches qui lui sont assignées par des actes juridiques de l'Union établissant des mesures destinées à rapprocher les dispositions législatives, réglementaires et administratives des États membres relatives à la cybersécurité.

3.  Dans l'accomplissement de ses tâches, l'ENISA agit de façon indépendante tout en évitant la duplication des activités des États membres et en tenant compte des compétences existantes des États membres.

4.  L'ENISA développe ses ressources propres, y compris les capacités et les aptitudes techniques et humaines, nécessaires pour exécuter les tâches qui lui sont assignées en vertu du présent règlement.

Article 4

Objectifs

1.  L'ENISA est un centre de compétences en matière de cybersécurité du fait de son indépendance, de la qualité scientifique et technique des conseils et de l'assistance qu'elle dispense, des informations qu'elle fournit, de la transparence de ses procédures de fonctionnement, des modes de fonctionnement et de sa diligence à exécuter ses tâches.

2.  L'ENISA assiste les institutions, organes et organismes de l'Union, ainsi que les États membres, dans l'élaboration et la mise en œuvre des politiques de l'Union liées à la cybersécurité, y compris les politiques sectorielles concernant la cybersécurité.

3.  L'ENISA soutient le renforcement des capacités et contribue à l'état de préparation au sein de l'Union en aidant les institutions, organes et organismes de l'Union, ainsi que les États membres et les parties prenantes des secteurs public et privé, à accroître la protection de leurs réseaux et systèmes d'information, à développer et à améliorer les capacités de cyber-résilience et de cyber-réaction, et à développer des aptitudes et des compétences dans le domaine de la cybersécurité ▌.

4.  L'ENISA favorise la coopération, notamment le partage d'informations et la coordination au niveau de l'Union, entre les États membres, les institutions, organes et organismes de l'Union et les parties prenantes concernées des secteurs public et privé ▌ en ce qui concerne les questions liées à la cybersécurité.

5.  L'ENISA contribue à renforcer les capacités dans le domaine de la cybersécurité au niveau de l'Union afin de soutenir les actions des États membres pour prévenir les cybermenaces et réagir à celles-ci, notamment en cas d'incidents transfrontières.

6.  L'ENISA favorise le recours à la certification européenne de cybersécurité en vue d'éviter la fragmentation du marché intérieur. L'ENISA contribue à l'établissement et au maintien d'un cadre européen de certification de cybersécurité, conformément au titre III du présent règlement, en vue de rendre plus transparente la cybersécurité des produits TIC, services TIC et processus TIC et, partant, de rehausser la confiance dans le marché intérieur numérique et la compétitivité de ce dernier.

7.  L'ENISA promeut un niveau élevé de sensibilisation des citoyens, des organisations et des entreprises aux questions liées à la cybersécurité, y compris en matière d'hygiène informatique et d'habileté numérique.

CHAPITRE II

TÂCHES

Article 5

Élaboration et mise en œuvre de la politique et du droit de l'Union

L'ENISA contribue à l'élaboration et à la mise en œuvre de la politique et du droit de l'Union:

1)  en apportant son concours et en fournissant des conseils concernant l'élaboration et la révision de la politique et du droit de l'Union dans le domaine de la cybersécurité, et concernant les initiatives politiques et législatives sectorielles mettant en jeu des questions liées à la cybersécurité, notamment en fournissant des avis et des analyses indépendants, ainsi qu'en effectuant des travaux préparatoires;

2)  en aidant les États membres à mettre en œuvre la politique et le droit de l'Union en matière de cybersécurité de manière cohérente, notamment en ce qui concerne la directive (UE) 2016/1148, y compris en délivrant des avis et des lignes directrices, et en fournissant des conseils et des meilleures pratiques sur des thèmes tels que la gestion des risques, le signalement des incidents et le partage d'informations, ainsi qu'en facilitant l'échange de meilleures pratiques entre les autorités compétentes à cet égard;

3)  en aidant les États membres et les institutions, organes et organismes de l'Union à élaborer et à promouvoir des politiques en matière de cybersécurité visant à soutenir la disponibilité ou l'intégrité générales du noyau public de l'internet ouvert;

4)  en contribuant, par ses compétences et son concours, aux travaux du groupe de coopération institué en application de l'article 11 de la directive (UE) 2016/1148;

5)  en soutenant:

a)  l'élaboration et la mise en œuvre de la politique de l'Union dans le domaine de l'identification électronique et des services de confiance, en particulier en fournissant des conseils et en délivrant des lignes directrices techniques, ainsi qu'en facilitant l'échange de meilleures pratiques entre les autorités compétentes;

b)  la promotion d'une amélioration du niveau de sécurité des communications électroniques, y compris en fournissant des conseils et des compétences, ainsi qu'en facilitant l'échange de meilleures pratiques entre les autorités compétentes;

c)  les États membres dans la mise en œuvre d'aspects spécifiques en matière de cybersécurité des politiques et du droit de l'Union concernant la protection des données et la vie privée, y compris en fournissant des avis au comité européen de la protection des données à sa demande;

6)  en soutenant le réexamen périodique des activités liées aux politiques de l'Union, par la préparation d'un rapport annuel sur l'état d'avancement de la mise en œuvre du cadre juridique applicable en ce qui concerne:

a)  les informations sur les notifications d'incidents des États membres transmises par les points de contact uniques au groupe de coopération conformément à l'article 10, paragraphe 3, de la directive (UE) 2016/1148;

b)  les résumés des notifications d'atteinte à la sécurité ou de perte d'intégrité reçues des prestataires de services de confiance et transmises à l'ENISA par les organes de contrôle, conformément à l'article 19, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil(25);

c)  les notifications ▌ d'incidents de sécurité transmises par les fournisseurs de réseaux de communications publics ou de services de communications électroniques accessibles au public, fournies à l'ENISA par les autorités compétentes, conformément à l'article 40 de la directive (UE) 2018/1972.

Article 6

▌Renforcement des capacités

1.  L'ENISA assiste:

a)  les États membres dans leurs efforts pour améliorer la prévention, la détection et l'analyse des cybermenaces et incidents, ainsi que la capacité d'y réagir, en leur fournissant des connaissances et des compétences;

b)  les États membres et les institutions, organes et organismes de l'Union pour établir et mettre en œuvre, sur une base volontaire, des politiques en matière de divulgation des vulnérabilités;

c)  les institutions, organes et organismes de l'Union dans leurs efforts pour améliorer la prévention, la détection et l'analyse des cybermenaces et incidents, et pour améliorer leur capacité à y réagir, notamment en apportant un soutien adapté à la CERT-UE;

d)  les États membres dans la mise en place de CSIRT nationaux, lorsqu’ils le demandent conformément à l'article 9, paragraphe 5, de la directive (UE) 2016/1148;

e)  les États membres dans l'élaboration de stratégies nationales en matière de sécurité des réseaux et des systèmes d'information, lorsqu’ils le demandent conformément à l'article 7, paragraphe 2, de la directive (UE) 2016/1148, et favorise la diffusion de ces stratégies et prend note de l'avancement de leur mise en œuvre dans toute l'Union afin de promouvoir les meilleures pratiques;

f)  les institutions de l'Union dans l'élaboration et la révision des stratégies de l'Union en matière de cybersécurité, la promotion de leur diffusion et le suivi de l'avancement de leur mise en œuvre;

g)  les CSIRT nationaux et de l'Union dans le relèvement du niveau de leurs capacités, y compris en favorisant le dialogue et les échanges d'informations, pour faire en sorte que chaque CSIRT, eu égard à l'état de l'art, possède un socle commun de capacités minimales et fonctionne selon les meilleures pratiques;

h)  les États membres en organisant régulièrement les exercices de cybersécurité au niveau de l'Union visés à l'article 7, paragraphe 5, au moins tous les deux ans, et en formulant des recommandations en vue d'actions sur la base de l'évaluation de ces exercices et des enseignements qui en ont été tirés;

i)  les organismes publics concernés en proposant des formations sur la cybersécurité, le cas échéant en coopération avec des parties prenantes;

j)  le groupe de coopération pour ce qui est de l'échange de ▌meilleures pratiques, notamment en ce qui concerne l'identification, par les États membres, des opérateurs de services essentiels, conformément à l'article 11, paragraphe 3, point l), de la directive (UE) 2016/1148, y compris au regard des dépendances transfrontières, en matière de risques et d'incidents.

2.  L'ENISA soutient le partage d'informations au sein des secteurs et entre ceux-ci, en particulier dans les secteurs énumérés à l'annexe II de la directive (UE) 2016/1148, en fournissant des meilleures pratiques et des orientations sur les outils disponibles, les procédures, ainsi que la manière de traiter les questions de réglementation liées au partage d'informations.

Article 7

Coopération opérationnelle au niveau de l'Union

1.  L'ENISA apporte son soutien à la coopération opérationnelle entre les États membres, les institutions, organes et organismes de l'Union, et entre les parties prenantes.

2.  L'ENISA coopère sur le plan opérationnel et crée des synergies avec les institutions, organes et organismes de l'Union, y compris la CERT-UE, avec les services traitant de la cybercriminalité et avec les autorités de contrôle responsables de la protection de la vie privée et des données à caractère personnel, en vue de traiter des questions d'intérêt commun, y compris:

a)  en échangeant savoir-faire et meilleures pratiques;

b)  en fournissant des conseils et des lignes directrices sur des questions pertinentes liées à la cybersécurité;

c)  en établissant les modalités pratiques de l'exécution de tâches spécifiques, après consultation de la Commission.

3.  L'ENISA assure le secrétariat du réseau des CSIRT, conformément à l'article 12, paragraphe 2, de la directive (UE) 2016/1148 et, à ce titre, elle soutient activement le partage d'informations et la coopération entre les membres de ce réseau.

4.  L'ENISA soutient les États membres en ce qui concerne la coopération opérationnelle au sein du réseau des CSIRT:

a)  en prodiguant des conseils sur la façon d'améliorer leur capacité à prévenir et à détecter les incidents ainsi qu'à y réagir et, à la demande d'un ou de plusieurs États membres, en prodiguant des conseils concernant une cybermenace spécifique;

b)  en prêtant son assistance, à la demande d'un ou de plusieurs États membres, dans l'évaluation des incidents ayant un impact significatif ou substantiel, en les faisant bénéficier de compétences et en facilitant la gestion technique de tels incidents, en particulier en soutenant le partage volontaire d'informations et de solutions techniques pertinentes entre États membres;

c)  en analysant les vulnérabilités ▌ et les incidents à l'aide des informations publiquement disponibles ou des informations fournies volontairement par les États membres à cet effet; et

d)  à la demande d'un ou de plusieurs États membres, en apportant un soutien en rapport avec les enquêtes techniques ex post sur les incidents ayant un impact significatif ou substantiel au sens de la directive (UE) 2016/1148.

Dans l'accomplissement de ces tâches, l'ENISA mène avec la CERT-UE une coopération structurée afin de tirer avantage des synergies et d'éviter une duplication des activités.

5.  L'ENISA organise régulièrement des exercices de cybersécurité à l'échelle de l'Union, et aide, à leur demande, les États membres et les institutions, organes et organismes de l'Union à organiser des exercices de cybersécurité. De tels exercices de cybersécurité à l'échelle de l'Union peuvent comporter des aspects techniques, opérationnels ou stratégiques. Tous les deux ans, l'ENISA organise un exercice global à grande échelle.

Le cas échéant, l'ENISA contribue également à des exercices de cybersécurité sectoriels, qu'elle aide à organiser, en collaboration avec des organisations compétentes qui peuvent participer également à des exercices de cybersécurité à l'échelle de l'Union.

6.  L'ENISA prépare à intervalles réguliers, en coopération étroite avec les États membres, un rapport approfondi de situation technique en matière de cybersécurité de l’UE sur les incidents et cybermenaces dans l'Union, sur la base d'informations publiquement disponibles, de ses propres analyses et des rapports que lui communiquent notamment les CSIRT des États membres ▌ ou les points de contact uniques institués par la directive 2016/1148, sur une base volontaire dans les deux cas, l'EC3 et la CERT-UE.

7.  L'ENISA contribue à l'élaboration d'une réaction concertée au niveau de l'Union et des États membres en cas d'incidents ou de crises transfrontières de cybersécurité majeurs, principalement:

a)  en agrégeant et en analysant des rapports provenant de sources nationales qui sont dans le domaine public ou qui sont partagés sur une base volontaire en vue de contribuer à former une appréciation commune de la situation;

b)  en assurant une circulation efficace de l'information et en proposant des mécanismes de remontée des décisions entre le réseau des CSIRT et les décideurs techniques et politiques au niveau de l'Union;

c)  à la demande, en facilitant la gestion technique de tels incidents ou crises, en particulier en favorisant le partage volontaire de solutions techniques entre les États membres;

d)  en soutenant les institutions, organes et organismes de l'Union et, à leur demande, les États membres dans la communication publique relative à tels incidents ou crises;

e)  en mettant à l'épreuve les plans de coopération destinés à réagir à de tels incidents ou crises au niveau de l'Union et en aidant les États membres, à leur demande, à mettre de tels plans à l'épreuve au niveau national.

Article 8

Marché, certification de cybersécurité et normalisation

1.  L'ENISA soutient et favorise l'élaboration et la mise en œuvre de la politique de l'Union en matière de certification de cybersécurité des produits TIC, services TIC et processus TIC, telle qu'elle est établie au titre III du présent règlement:

▌a) en surveillant, en permanence, les évolutions dans les domaines connexes de la normalisation et en recommandant des spécifications techniques d’utilisation appropriées dans le développement des schémas européens de certification de cybersécurité en application de l'article 54, paragraphe 1, point c), dans les cas où il n'existe aucune norme;

b)  en préparant des schémas européens de certification de cybersécurité candidats (ci-après dénommés "schémas candidats") pour des produits TIC, services TIC et processus TIC, conformément à l'article 49;

c)  en évaluant les schémas européens de certification de cybersécurité, conformément à l'article 49, paragraphe 8;

d)  en participant aux examens par les pairs, conformément à l'article 59, paragraphe 4;

e)  en aidant la Commission à assurer le secrétariat du GECC, conformément à l'article 62, paragraphe 5.

2.  L'ENISA assure le secrétariat du groupe des parties prenantes pour la certification de cybersécurité, conformément à l'article 22, paragraphe 4.

3.  L'ENISA compile et publie des lignes directrices et met au point des bonnes pratiques en ce qui concerne les exigences de cybersécurité de produits TIC, services TIC et processus TIC, en coopération avec les autorités nationales de certification de cybersécurité et les entreprises du secteur d'une façon formelle, structurée et transparente.

4.  L'ENISA contribue à un renforcement des capacités en matière de processus d'évaluation et de certification, en compilant et en délivrant des lignes directrices ainsi qu'en fournissant un soutien aux États membres, à leur demande.

5.  L'ENISA facilite l'établissement et l'adoption de normes européennes et internationales en matière de gestion des risques et de sécurité des produits TIC, services TIC et processus TIC .

6.  L'ENISA formule, en collaboration avec les États membres et les entreprises du secteur, des avis et des lignes directrices concernant les domaines techniques liés aux exigences de sécurité qui s'imposent aux opérateurs de services essentiels et aux fournisseurs de services numériques, et concernant les normes existantes, y compris les normes nationales des États membres, en application de l'article 19, paragraphe 2, de la directive (UE) 2016/1148.

7.  L'ENISA effectue et diffuse, à intervalles réguliers, des analyses des principales tendances du marché de la cybersécurité, tant du côté de la demande que du côté de l'offre, en vue de stimuler le marché de la cybersécurité dans l'Union.

Article 9

Connaissance et information ▌

L'ENISA:

a)  analyse les technologies émergentes et fournit des évaluations thématiques sur les incidences escomptées des innovations technologiques en matière de cybersécurité, du point de vue sociétal, juridique, économique et réglementaire;

b)  produit des analyses stratégiques à long terme des cybermenaces et des incidents afin d'identifier les tendances émergentes et de contribuer à prévenir ▌ les incidents;

c)  en coopération avec des experts des autorités des États membres et les parties prenantes concernées, fournit des avis, des orientations et des meilleures pratiques en matière de sécurité des réseaux et des systèmes d'information, en particulier pour la sécurité ▌ des infrastructures sur lesquelles s'appuient les secteurs énumérés à l'annexe II de la directive (UE) 2016/1148 et de celles utilisées par les fournisseurs des services numériques énumérés à l'annexe III de ladite directive;

d)  par l'intermédiaire d'un portail spécialisé, regroupe, organise et met à la disposition du public des informations sur la cybersécurité, fournies par les institutions, organes et organismes de l'Union et des informations sur la cybersécurité fournies, sur une base volontaire, par les États membres et les parties prenantes des secteurs public et privé;

e)  collecte et analyse des informations du domaine public sur les incidents importants, et rédige des rapports en vue de fournir des orientations aux citoyens, organisations et entreprises dans toute l'Union.

Article 10

Sensibilisation et éducation

L'ENISA:

a)  sensibilise le public aux risques liés à la cybersécurité et fournit, à l'intention des citoyens, des organisations et des entreprises, des orientations sur les bonnes pratiques à adopter par les utilisateurs individuels, y compris en matière d'hygiène informatique et d'habileté numérique;

b)   en coopération avec les États membres ▌, ainsi que les institutions, organes et organismes de l'Union et les entreprises du secteur, organise à intervalles réguliers des campagnes d'information afin de renforcer la cybersécurité et d'en accroître la visibilité dans l'Union, et encourage un large débat public;

c)  aide les États membres dans leurs efforts visant à mieux faire connaître la cybersécurité et à promouvoir l'éducation à la cybersécurité;

d)  encourage une coordination plus étroite et l'échange de meilleures pratiques entre les États membres en matière de sensibilisation et d'éducation à la cybersécurité.

Article 11

Recherche et innovation

En ce qui concerne la recherche et l'innovation, l'ENISA:

a)  conseille les institutions, organes et organismes de l'Union et les États membres sur les besoins et les priorités en matière de recherche dans le domaine de la cybersécurité, afin que des réponses efficaces puissent être apportées aux risques et aux cybermenaces actuels et émergents, y compris en ce qui concerne les technologies de l'information et de la communication nouvelles et émergentes, et afin que les technologies de prévention des risques soient utilisées de manière efficace;

b)  participe, lorsque la Commission lui a conféré les pouvoirs correspondants, à la phase de mise en œuvre des programmes de financement de la recherche et de l'innovation, ou est bénéficiaire de ces programmes;

c)  contribue au programme stratégique de recherche et d'innovation au niveau de l'Union dans le domaine de la cybersécurité.

Article 12

▌Coopération internationale

L'ENISA contribue aux efforts de l'Union pour coopérer avec les pays tiers et les organisations internationales, ainsi qu'au sein des cadres internationaux de coopération pertinents, afin de promouvoir une coopération internationale sur les problèmes de cybersécurité:

a)  le cas échéant, en s'impliquant en tant qu'observateur dans l'organisation d'exercices internationaux, ainsi qu'en analysant les résultats de ces exercices et en en rendant compte au conseil d'administration;

b)  à la demande de la Commission, en facilitant l'échange de meilleures pratiques ▌;

c)  à la demande de la Commission, en lui faisant bénéficier de ses compétences;

d)  en fournissant des conseils et un soutien à la Commission sur les questions relatives aux accords de reconnaissance mutuelle des certificats de cybersécurité avec des pays tiers, en collaboration avec le GECC institué en vertu de l'article 62.

CHAPITRE III

ORGANISATION DE L'ENISA

Article 13

Structure de l’ENISA

La structure administrative et de gestion de l'ENISA comprend:

a)  un conseil d'administration;

b)  un conseil exécutif;

c)  un directeur exécutif; ▌

d)  un groupe consultatif de l'ENISA;

e)  un réseau des agents de liaison nationaux.

SECTION 1

CONSEIL D'ADMINISTRATION

Article 14

Composition du conseil d'administration

1.  Le conseil d'administration est composé d'un membre nommé par chaque État membre, et de deux membres nommés par la Commission. Tous les membres disposent du droit de vote.

2.  Chaque membre du conseil d'administration dispose d'un suppléant. Ce suppléant représente le membre en son absence.

3.  Les membres du conseil d'administration et leurs suppléants sont nommés sur la base de leurs connaissances dans le domaine de la cybersécurité, compte tenu de leurs aptitudes managériales, administratives et budgétaires pertinentes. La Commission et les États membres s'efforcent de limiter le roulement de leurs représentants au sein du conseil d'administration, afin de garantir la continuité des travaux du conseil d'administration. La Commission et les États membres visent à atteindre une représentation hommes-femmes équilibrée au sein du conseil d'administration.

4.  La durée du mandat des membres du conseil d'administration et de leurs suppléants est de quatre ans. Ce mandat est renouvelable.

Article 15

Fonctions du conseil d'administration

1.  Le conseil d'administration:

a)  fixe l'orientation générale du fonctionnement de l'ENISA et veille à ce que l’ENISA fonctionne conformément aux règles et principes fixés dans le présent règlement; il assure aussi la cohérence des travaux de l'ENISA avec les activités menées par les États membres ainsi qu'au niveau de l'Union;

b)  adopte le projet de document unique de programmation de l'ENISA visé à l'article 24, avant de le soumettre pour avis à la Commission;

c)  adopte le document unique de programmation de l'ENISA, en tenant compte de l'avis de la Commission;

d)  supervise la mise en œuvre de la programmation annuelle et pluriannuelle contenue dans le document unique de programmation;

e)  adopte le budget annuel de l'ENISA et exerce d'autres fonctions en ce qui concerne le budget de l'ENISA conformément au chapitre IV;

f)  évalue et adopte le rapport annuel consolidé sur les activités de l'ENISA, y compris les comptes et une description de la manière dont l'ENISA a atteint ses indicateurs de performance, et transmet, au plus tard le 1er juillet de l'année suivante, le rapport annuel et l’évaluation de ce rapport au Parlement européen, au Conseil, à la Commission et à la Cour des comptes; elle publie le rapport annuel;

g)  adopte les règles financières applicables à l'ENISA, conformément à l'article 32;

h)  adopte une stratégie antifraude qui est proportionnée aux risques de fraude compte tenu de l'analyse coûts-bénéfices des mesures à mettre en œuvre;

i)  adopte des règles en matière de prévention et de gestion des conflits d'intérêts concernant ses membres;

j)  assure le suivi approprié des conclusions et des recommandations découlant des enquêtes de l'Office européen de lutte antifraude (OLAF) et des divers rapports d'audit et évaluations internes et externes;

k)  adopte son règlement intérieur, y compris les règles relatives aux décisions provisoires sur la délégation de tâches spécifiques, en vertu de l'article 19, paragraphe 7;

l)  exerce, à l'égard du personnel de l'ENISA, les compétences qui sont dévolues par le statut des fonctionnaires de l'Union européenne (ci-après dénommé "statut des fonctionnaires") et le régime applicable aux autres agents de l'Union européenne (ci-après dénommé "régime applicable aux autres agents"), fixés par le règlement (CEE, Euratom, CECA) n° 259/68 du Conseil(26), à l'autorité investie du pouvoir de nomination et à l'autorité habilitée à conclure les contrats d'engagement (ci-après dénommées "compétences de l'autorité investie du pouvoir de nomination") conformément au paragraphe 2;

m)  arrête les règles d'exécution du statut des fonctionnaires et du régime applicable aux autres agents conformément à la procédure prévue à l'article 110 du statut des fonctionnaires;

n)  nomme le directeur exécutif et, le cas échéant, proroge son mandat ou le démet de ses fonctions conformément à l'article 36;

o)  nomme un comptable, qui peut être le comptable de la Commission et qui est totalement indépendant dans l'exercice de ses fonctions;

p)  prend toutes les décisions relatives à la mise en place des structures internes de l'ENISA et, le cas échéant, à leur modification, en tenant compte des besoins liés à l'activité de l'ENISA et en respectant le principe d'une gestion budgétaire saine;

q)  autorise la conclusion d'arrangements de travail conformément à l'article 7;

r)  autorise l'élaboration ou la conclusion d'arrangements de travail conformément à l'article 42.

2.  Conformément à l'article 110 du statut des fonctionnaires, le conseil d'administration adopte une décision fondée sur l'article 2, paragraphe 1, du statut des fonctionnaires et sur l'article 6 du régime applicable aux autres agents, déléguant au directeur exécutif les compétences correspondantes dévolues à l'autorité investie du pouvoir de nomination et définissant les conditions dans lesquelles cette délégation de compétences peut être suspendue. Le directeur exécutif peut sous-déléguer ces compétences.

3.  Lorsque des circonstances exceptionnelles l'exigent, le conseil d'administration peut adopter une décision en vue de suspendre temporairement la délégation au directeur exécutif des compétences dévolues à l'autorité investie du pouvoir de nomination ainsi que les compétences dévolues à l'autorité investie du pouvoir de nomination sous-déléguées par le directeur exécutif, pour les exercer lui-même ou les déléguer à l'un de ses membres ou à un membre du personnel autre que le directeur exécutif.

Article 16

Présidence du conseil d'administration

Le conseil d'administration élit un président et un vice‑président parmi ses membres, à la majorité des deux tiers des membres. La durée de leur mandat est de quatre ans; ce mandat est renouvelable une fois. Cependant, si le président ou le vice-président perd sa qualité de membre du conseil d'administration à un moment quelconque de son mandat, ledit mandat expire automatiquement à la même date. Le vice‑président remplace le président d'office lorsque celui-ci n'est pas en mesure d'assumer ses fonctions.

Article 17

Réunions du conseil d'administration

1.  Les réunions du conseil d'administration sont convoquées par son président.

2.  Le conseil d'administration tient une réunion ordinaire au moins deux fois par an. Il tient aussi des réunions extraordinaires à l'initiative de son président, à la demande de la Commission ou à la demande d'au moins un tiers de ses membres.

3.  Le directeur exécutif participe aux réunions du conseil d'administration mais ne dispose pas du droit de vote.

4.  Sur invitation du président, des membres du groupe consultatif de l'ENISA peuvent participer aux réunions du conseil d'administration, mais ne disposent pas du droit de vote.

5.  Les membres du conseil d'administration et leurs suppléants peuvent, dans le respect du règlement intérieur du conseil d'administration, être assistés au cours des réunions du conseil d’administration par des conseillers ou des experts.

6.  L'ENISA assure le secrétariat du conseil d'administration.

Article 18

Règles de vote du conseil d'administration

1.  Les décisions du conseil d'administration sont prises à la majorité de ses membres.

2.  Une majorité des deux tiers des membres du conseil d'administration est nécessaire pour adopter le document unique de programmation et le budget annuel, et pour nommer le directeur exécutif, proroger son mandat ou le révoquer.

3.  Chaque membre dispose d'une voix. En l'absence d'un membre, son suppléant peut exercer le droit de vote du membre.

4.  Le président du conseil d'administration prend part au vote.

5.  Le directeur exécutif ne prend pas part au vote.

6.  Le règlement intérieur du conseil d'administration fixe les modalités détaillées du vote, notamment les conditions dans lesquelles un membre peut agir au nom d'un autre membre.

SECTION 2

CONSEIL EXÉCUTIF

Article 19

Conseil exécutif

1.  Le conseil d'administration est assisté d'un conseil exécutif.

2.  Le conseil exécutif:

a)  prépare les décisions qui doivent être adoptées par le conseil d'administration;

b)  assure, avec le conseil d'administration, le suivi approprié des conclusions et des recommandations découlant des enquêtes de l'OLAF ainsi que des divers rapports d'audit et des évaluations internes ou externes;

c)  sans préjudice des tâches du directeur exécutif énoncées à l'article 20, assiste et conseille le directeur exécutif dans la mise en œuvre des décisions du conseil d'administration relatives à des questions administratives et budgétaires, conformément à l'article 20.

3.  Le conseil exécutif est composé de cinq membres. Les membres du conseil exécutif sont nommés parmi les membres du conseil d'administration. Un des membres est le président du conseil d'administration, qui peut également présider le conseil exécutif, et un autre membre est un des représentants de la Commission. Les nominations des membres du conseil exécutif visent à assurer une représentation hommes-femmes équilibrée au sein du conseil exécutif. Le directeur exécutif participe aux réunions du conseil exécutif, mais ne dispose pas du droit de vote.

4.  La durée du mandat des membres du conseil exécutif est de quatre ans. Ce mandat est renouvelable.

5.  Le conseil exécutif se réunit au moins une fois par trimestre. Le président du conseil exécutif convoque des réunions supplémentaires à la demande de ses membres.

6.  Le conseil d'administration établit le règlement intérieur du conseil exécutif.

7.  Lorsque l'urgence le requiert, le conseil exécutif peut prendre certaines décisions provisoires au nom du conseil d'administration, en particulier sur des questions de gestion administrative, comme la suspension de la délégation des compétences dévolues à l'autorité investie du pouvoir de nomination, et sur des questions budgétaires. De telles décisions provisoires sont notifiées sans retard indu. Le conseil d'administration décide ensuite s'il approuve ou s'il rejette la décision provisoire trois mois au plus tard après la prise de décision. Le conseil exécutif ne prend pas de décisions au nom du conseil d'administration qui doivent être approuvées par une majorité des deux tiers des membres du conseil d'administration.

SECTION 3

DIRECTEUR EXÉCUTIF

Article 20

Tâches du directeur exécutif

1.  L'ENISA est gérée par son directeur exécutif, qui est indépendant dans l'exécution de ses tâches. Le directeur exécutif rend compte de ses activités au conseil d'administration.

2.  Le directeur exécutif fait rapport au Parlement européen sur l'exécution de ses tâches, lorsqu'il y est invité. Le Conseil peut inviter le directeur exécutif à lui faire rapport sur l'exécution de ses tâches.

3.  Le directeur exécutif est chargé:

a)  d'assurer l'administration courante de l'ENISA;

b)  de mettre en œuvre les décisions adoptées par le conseil d'administration;

c)  de préparer le projet de document unique de programmation et de le soumettre au conseil d'administration pour approbation, avant qu'il ne soit soumis à la Commission;

d)  de mettre en œuvre le document unique de programmation et d'en faire rapport au conseil d'administration;

e)  de préparer le rapport annuel consolidé sur les activités de l'ENISA, y compris la mise en œuvre du programme de travail annuel de l'ENISA, et de le présenter au conseil d'administration pour évaluation et adoption;

f)  de préparer un plan d'action faisant suite aux conclusions des évaluations rétrospectives et de faire rapport tous les deux ans à la Commission sur les progrès accomplis;

g)  de préparer un plan d'action donnant suite aux conclusions des rapports d'audit internes ou externes, ainsi qu'aux enquêtes de l'OLAF, et de présenter des rapports semestriels à la Commission et des rapports réguliers au conseil d'administration sur les progrès accomplis;

h)  de préparer le projet de règles financières applicables à l'ENISA visé à l'article 32;

i)  de préparer le projet d'état prévisionnel des recettes et dépenses de l'ENISA et d'exécuter son budget;

j)  de protéger les intérêts financiers de l'Union par l'application de mesures préventives contre la fraude, la corruption et d'autres activités illégales, par des contrôles efficaces et, si des irrégularités sont constatées, par le recouvrement des montants indûment payés et, le cas échéant, par des sanctions administratives et financières effectives, proportionnées et dissuasives;

k)  de préparer une stratégie antifraude pour l'ENISA et de la présenter au conseil d'administration pour approbation;

l)  d'établir et de maintenir le contact avec le secteur des entreprises et les organisations de consommateurs afin d'assurer un dialogue régulier avec les parties prenantes concernées;

m)  d'avoir un échange de vues et d'informations régulier avec les institutions, organes et organismes de l'Union sur leurs activités en matière de cybersécurité, pour assurer la cohérence dans l'élaboration et dans la mise en œuvre de la politique de l'Union;

n)  d'exécuter les autres tâches qui sont assignées au directeur exécutif par le présent règlement.

4.  En tant que de besoin et dans le cadre des objectifs et tâches de l'ENISA, le directeur exécutif peut créer des groupes de travail ad hoc composés d'experts, y compris des experts des autorités compétentes des États membres. Le directeur exécutif en informe le conseil d'administration au préalable. Les procédures concernant en particulier la composition des groupes de travail, la nomination par le directeur exécutif des experts qui composent les groupes de travail et le fonctionnement de ces groupes sont précisées dans les règles internes de fonctionnement de l'ENISA.

5.  Lorsque cela s'avère nécessaire, à l'effet d'exécuter les tâches de l'ENISA de manière efficiente et efficace et sur la base d'une analyse coûts‑bénéfices appropriée, le directeur exécutif peut décider d'établir un ou plusieurs bureaux locaux dans un ou plusieurs États membres. Avant de prendre une décision sur l'établissement d'un bureau local, le directeur exécutif demande l'avis des États membres concernés, notamment l'État membre dans lequel est situé le siège de l'ENISA, et obtient le consentement préalable de la Commission et du conseil d'administration. En cas de désaccord, au cours de la procédure de consultation, entre le directeur exécutif et les États membres concernés, la question est soumise au Conseil pour discussion. Les effectifs agrégés de l'ensemble des bureaux locaux sont maintenus au minimum et ne dépassent pas 40 % des effectifs totaux de l'ENISA en place dans l'État membre où se situe le siège de l'ENISA. Les effectifs de chaque bureau local ne dépassent pas 10 % des effectifs totaux de l'ENISA en place dans l'État membre où se situe le siège de l'ENISA.

La décision établissant un bureau local précise la portée des activités confiées à ce bureau local de manière à éviter des coûts inutiles et une duplication des fonctions administratives de l'ENISA. ▌

SECTION 4

GROUPE ▌ CONSULTATIF DE L'ENISA, GROUPE DES PARTIES PRENANTES POUR LA CERTIFICATION DE CYBERSÉCURITÉ ET RÉSEAU DES AGENTS DE LIAISON NATIONAUX

Article 21

Groupe ▌ consultatif de l'ENISA

1.  Le conseil d'administration crée de manière transparente, sur proposition du directeur exécutif, le groupe consultatif de l'ENISA composé d'experts reconnus représentant les parties prenantes concernées, telles que les entreprises du secteur des TIC, les fournisseurs de réseaux ou de services de communications électroniques accessibles au public, les PME, les opérateurs de services essentiels, les organisations de consommateurs, les experts universitaires en matière de cybersécurité, les représentants des autorités compétentes qui ont fait l’objet d’une notification conformément à la directive ▌(UE) 2018/1972, les organisations européennes de normalisation ainsi que les autorités chargées de l’application de la loi et les autorités de contrôle de la protection des données. Le conseil d'administration s'efforce d'assurer un équilibre approprié entre les hommes et les femmes et un équilibre géographique, ainsi qu'un équilibre entre les différents groupes de parties prenantes.

2.  Les procédures applicables au groupe consultatif de l'ENISA, notamment en ce qui concerne sa composition, la proposition du directeur exécutif visée au paragraphe 1, le nombre de membres et leur nomination, ainsi que le fonctionnement du groupe consultatif de l'ENISA sont précisées dans les règles internes de fonctionnement de l'ENISA et sont rendues publiques.

3.  Le groupe ▌ consultatif de l'ENISA est présidé par le directeur exécutif ou par toute personne qu'il désigne à cet effet au cas par cas.

4.  La durée du mandat des membres du groupe consultatif de l'ENISA est de deux ans et demi. Les membres du conseil d'administration ne peuvent pas être membres du groupe consultatif de l'ENISA. Des experts de la Commission et des États membres sont autorisés à assister aux réunions et à prendre part aux travaux du groupe consultatif de l'ENISA. Des représentants d'autres organismes jugés intéressants par le directeur exécutif, qui ne sont pas membres du groupe consultatif de l'ENISA, peuvent être invités à assister aux réunions du groupe consultatif de l'ENISA et à prendre part à ses travaux.

5.  Le groupe consultatif de l'ENISA conseille l'ENISA en ce qui concerne l'exécution des tâches de celle-ci, excepté l'application des dispositions du titre III du présent règlement. Il conseille en particulier le directeur exécutif pour ce qui est de l'élaboration d'une proposition de programme de travail annuel pour l'ENISA et de la communication à assurer avec les parties prenantes concernées sur ▌ les questions liées au programme de travail annuel.

6.  Le groupe consultatif de l'ENISA informe régulièrement le conseil d'administration de ses activités.

Article 22

Groupe des parties prenantes pour la certification de cybersécurité

1.  Il est établi un groupe des parties prenantes pour la certification de cybersécurité.

2.  Le groupe des parties prenantes pour la certification de cybersécurité se compose de membres sélectionnés parmi des experts reconnus représentant les parties prenantes concernées. La Commission, à la suite d'un appel transparent et ouvert, sélectionne, sur la base d’une proposition de l'ENISA, les membres du groupe des parties prenantes pour la certification de cybersécurité en assurant un équilibre entre les différents groupes de parties prenantes ainsi qu'un équilibre approprié entre les hommes et les femmes et un équilibre géographique.

3.  Le groupe des parties prenantes pour la certification de cybersécurité est chargé:

a)  de conseiller la Commission sur des questions stratégiques relatives au cadre européen de certification de cybersécurité;

b)  sur demande, de conseiller l'ENISA sur des questions générales et stratégiques concernant les tâches de l'ENISA relatives au marché, à la certification de cybersécurité et à la normalisation;

c)  d'aider la Commission à préparer le programme de travail glissant de l'Union visé à l'article 47;

d)  de rendre un avis sur le programme de travail glissant de l'Union conformément à l'article 47, paragraphe 4; et

e)  en cas d'urgence, de donner un avis à la Commission et au GECC sur la nécessité de disposer de schémas de certification supplémentaires qui ne sont pas compris dans le programme de travail glissant de l'Union, comme indiqué aux articles 47 et 48.

4.  Le groupe des parties prenantes pour la certification de cybersécurité est coprésidé par les représentants de la Commission et de l'ENISA, et son secrétariat est assuré par l'ENISA.

Article 23

Réseau des agents de liaison nationaux

1.  Le conseil d'administration crée, sur proposition du directeur exécutif, un réseau des agents de liaison nationaux composé de représentants de tous les États membres (les agents de liaison nationaux). Chaque État membre nomme un représentant au sein du réseau des agents de liaison nationaux. Les réunions du réseau des agents de liaison nationaux peuvent se tenir dans différentes configurations d'experts.

2.  Le réseau des agents de liaison nationaux facilite en particulier l'échange d'informations entre l'ENISA et les États membres et aide l'ENISA à faire connaître ses activités et à diffuser les résultats de ses travaux et ses recommandations auprès des parties prenantes concernées dans l'ensemble de l'Union.

3.  Les agents de liaison nationaux servent de point de contact au niveau national pour faciliter la coopération entre l'ENISA et les experts nationaux dans le cadre de la mise en œuvre du programme de travail annuel de l'ENISA.

4.  Si les agents de liaison nationaux coopèrent étroitement avec les représentants du conseil d'administration de leurs États membres respectifs, le réseau des agents de liaison nationaux en lui-même ne doit pas dupliquer le travail du conseil d'administration ou d'autres instances de l'Union.

5.  Les fonctions et les procédures du réseau des agents de liaison nationaux sont précisées dans les règles internes de fonctionnement de l'ENISA et sont rendues publiques.

SECTION 5

FONCTIONNEMENT

Article 24

Document unique de programmation

1.  L'ENISA opère conformément à un document unique de programmation qui décrit sa programmation annuelle et pluriannuelle, et qui contient l'ensemble de ses activités planifiées.

2.  Le directeur exécutif établit chaque année un projet de document unique de programmation contenant sa programmation annuelle et pluriannuelle, ainsi que la planification des ressources financières et humaines correspondantes, conformément à l'article 32 du règlement délégué (UE) n° 1271/2013 de la Commission(27), et tenant compte des lignes directrices fixées par la Commission.

3.  Le conseil d'administration adopte, au plus tard le 30 novembre de chaque année, le document unique de programmation visé au paragraphe 1 et le transmet au Parlement européen, au Conseil et à la Commission au plus tard le 31 janvier de l'année suivante, ainsi que toute version de ce document actualisée ultérieurement.

4.  Le document unique de programmation devient définitif après l'adoption définitive du budget général de l'Union et il est adapté en tant que de besoin.

5.  Le programme de travail annuel expose des objectifs détaillés et les résultats escomptés, notamment des indicateurs de performance. Il contient en outre une description des actions à financer et une indication des ressources financières et humaines allouées à chaque action, conformément aux principes d'établissement du budget par activités et de la gestion fondée sur les activités. Le programme de travail annuel s'inscrit dans la logique du programme de travail pluriannuel visé au paragraphe 7. Il indique clairement les tâches qui ont été ajoutées, modifiées ou supprimées par rapport à l'exercice précédent.

6.  Le conseil d'administration modifie le programme de travail annuel adopté lorsqu'une nouvelle tâche est assignée à l'ENISA. Toute modification substantielle du programme de travail annuel est soumise à une procédure d'adoption identique à celle applicable au programme de travail annuel initial. Le conseil d'administration peut déléguer au directeur exécutif le pouvoir d'apporter des modifications non substantielles au programme de travail annuel.

7.  Le programme de travail pluriannuel expose la programmation stratégique globale comprenant les objectifs, les résultats escomptés et les indicateurs de performance. Il définit également la programmation des ressources, notamment le budget pluriannuel et les effectifs.

8.  La programmation des ressources est actualisée chaque année. La programmation stratégique est actualisée en tant que de besoin, notamment pour tenir compte, si nécessaire, des résultats de l'évaluation visée à l'article 67.

Article 25

Déclaration d'intérêts

1.  Les membres du conseil d'administration, le directeur exécutif et les fonctionnaires détachés par les États membres à titre temporaire font chacun une déclaration d'engagements et une déclaration indiquant l'absence ou la présence de tout intérêt direct ou indirect qui pourrait être considéré comme préjudiciable à leur indépendance. Les déclarations sont exactes et complètes, faites par écrit sur une base annuelle et actualisées si nécessaire.

2.  Les membres du conseil d'administration, le directeur exécutif et les experts externes participant aux groupes de travail ad hoc déclarent chacun de manière exacte et complète, au plus tard au début de chaque réunion, les intérêts qui pourraient être considérés comme préjudiciables à leur indépendance eu égard aux points inscrits à l'ordre du jour, et s'abstiennent de prendre part aux discussions et de voter sur ces points.

3.  L'ENISA fixe, dans ses règles internes de fonctionnement, les modalités pratiques concernant les règles relatives aux déclarations d'intérêt visées aux paragraphes 1 et 2.

Article 26

Transparence

1.  L'ENISA exerce ses activités avec un niveau élevé de transparence et conformément à l'article 28.

2.  L'ENISA veille à ce que le public et toute partie intéressée reçoivent une information appropriée, objective, fiable et facilement accessible, notamment en ce qui concerne le résultat de ses travaux. Elle rend également publiques les déclarations d'intérêt faites conformément à l'article 25.

3.  Le conseil d'administration peut, sur proposition du directeur exécutif, autoriser des parties intéressées à participer en tant qu'observateurs à certaines activités de l'ENISA.

4.  L'ENISA fixe, dans ses règles internes de fonctionnement, les modalités pratiques d'application des règles de transparence visées aux paragraphes 1 et 2.

Article 27

Confidentialité

1.  Sans préjudice de l'article 28, l'ENISA ne divulgue pas à des tiers les informations qu'elle traite ou qu'elle reçoit et pour lesquelles une demande motivée de traitement confidentiel a été faite.

2.  Les membres du conseil d'administration, le directeur exécutif, les membres du groupe consultatif de l'ENISA, les experts externes participant aux groupes de travail ad hoc et les membres du personnel de l'ENISA, y compris les fonctionnaires détachés par les États membres à titre temporaire, respectent les obligations de confidentialité prévues à l'article 339 du traité sur le fonctionnement de l'Union européenne, même après la cessation de leurs fonctions.

3.  L'ENISA fixe, dans ses règles internes de fonctionnement, les modalités pratiques d'application des règles de confidentialité visées aux paragraphes 1 et 2.

4.  Si l'exécution des tâches de l'ENISA l'exige, le conseil d'administration décide d'autoriser l'ENISA à traiter des informations classifiées. Dans ce cas, l'ENISA, en accord avec les services de la Commission, adopte des règles de sécurité respectant les principes de sécurité énoncés dans les décisions (UE, Euratom) 2015/443(28) et 2015/444(29) de la Commission. Ces règles de sécurité comprennent des dispositions relatives à l'échange, au traitement et à l'archivage des informations classifiées.

Article 28

Accès aux documents

1.  Le règlement (CE) n° 1049/2001 s'applique aux documents détenus par l'ENISA.

2.  Le conseil d'administration adopte les modalités d'application du règlement (CE) n° 1049/2001 au plus tard le ... [six mois après la date de l'entrée en vigueur du présent règlement].

3.  Les décisions prises par l'ENISA en application de l'article 8 du règlement (CE) n° 1049/2001 peuvent faire l'objet d'une plainte auprès du Médiateur européen au titre de l'article 228 du traité sur le fonctionnement de l'Union européenne, ou d'un recours devant la Cour de justice de l'Union européenne au titre de l'article 263 du traité sur le fonctionnement de l'Union européenne.

CHAPITRE IV

ÉTABLISSEMENT ET STRUCTURE DU BUDGET DE L’ENISA

Article 29

Établissement du budget de l’ENISA

1.  Chaque année, le directeur exécutif établit un projet d'état prévisionnel des recettes et des dépenses de l'ENISA pour l'exercice budgétaire suivant et le transmet au conseil d'administration avec un projet de tableau des effectifs. Les recettes et les dépenses sont équilibrées.

2.  Le conseil d'administration établit chaque année, sur la base du projet d'état prévisionnel, un état prévisionnel des recettes et des dépenses de l'ENISA pour l'exercice budgétaire suivant.

3.  Le conseil d'administration transmet, au plus tard le 31 janvier de chaque année, l'état prévisionnel, qui fait partie du projet de document unique de programmation, à la Commission et aux pays tiers avec lesquels l'Union a conclu des accords tels qu'ils sont visés à l'article 42, paragraphe 2.

4.  Sur la base de l'état prévisionnel, la Commission inscrit dans le projet de budget général de l'Union les prévisions qu'elle estime nécessaires en ce qui concerne le tableau des effectifs et le montant de la contribution à la charge du budget général de l'Union, qu'elle soumet au Parlement européen et au Conseil conformément à l'article 314 du traité sur le fonctionnement de l'Union européenne.

5.  Le Parlement européen et le Conseil autorisent les crédits au titre de la contribution de l'Union destinée à l'ENISA.

6.  Le Parlement européen et le Conseil adoptent le tableau des effectifs de l'ENISA.

7.  Le conseil d'administration adopte le budget de l'ENISA en même temps que le document unique de programmation. Le budget de l'ENISA devient définitif après l'adoption définitive du budget général de l'Union. En tant que de besoin, le conseil d'administration ajuste le budget de l'ENISA et le document unique de programmation conformément au budget général de l'Union.

Article 30

Structure du budget de l’ENISA

1.  Sans préjudice d'autres ressources, les recettes de l'ENISA sont constituées:

a)  d'une contribution provenant du budget général de l'Union;

b)  de recettes allouées à des postes de dépense spécifiques conformément à ses règles financières visées à l'article 32;

c)  d'un financement de l'Union sous la forme de conventions de délégation ou de subventions ad hoc, conformément à ses règles financières visées à l'article 32 et aux dispositions des instruments pertinents appuyant les politiques de l'Union;

d)  de contributions de pays tiers participant aux travaux de l'ENISA conformément à l'article 42;

e)  de toute contribution volontaire des États membres en espèces ou en nature.

Les États membres qui apportent des contributions volontaires en vertu du premier alinéa, point e), ne peuvent prétendre à aucun droit ou service spécifique du fait de celles-ci.

2.  Les dépenses de l'ENISA comprennent la rémunération du personnel, l'assistance administrative et technique, les dépenses d'infrastructure et de fonctionnement et les dépenses résultant de contrats avec des tiers.

Article 31

Exécution du budget de l'ENISA

1.  Le directeur exécutif est responsable de l'exécution du budget de l'ENISA.

2.  L'auditeur interne de la Commission exerce à l'égard de l'ENISA les mêmes pouvoirs que ceux qui lui sont attribués à l'égard des services de la Commission.

3.  Le comptable de l'ENISA transmet les comptes provisoires pour l'exercice (exercice N) au comptable de la Commission et à la Cour des comptes au plus tard le 1er mars de l'exercice suivant (exercice N + 1).

4.  À la réception des observations formulées par la Cour des comptes sur les comptes provisoires de l'ENISA en vertu de l’article 246 du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil(30), le comptable de l'ENISA établit les comptes définitifs de l'ENISA sous sa propre responsabilité et les soumet au conseil d'administration pour avis.

5.  Le conseil d'administration rend un avis sur les comptes définitifs de l'ENISA.

6.  Au plus tard le 31 mars de l'année N + 1, le directeur exécutif transmet le rapport sur la gestion budgétaire et financière au Parlement européen, au Conseil, à la Commission et à la Cour des comptes.

7.  Au plus tard le 1er juillet de l'année N + 1, le comptable de l'ENISA transmet les comptes définitifs de l’ENISA, accompagnés de l'avis du conseil d'administration, au Parlement européen, au Conseil, au comptable de la Commission et à la Cour des comptes.

8.  À la même date que celle de la transmission des comptes définitifs de l'ENISA, le comptable de l’ENISA transmet également à la Cour des comptes une lettre de déclaration concernant ces comptes définitifs, avec copie au comptable de la Commission.

9.  Au plus tard le 15 novembre de l'année N + 1, le directeur exécutif publie les comptes définitifs de l'ENISA au Journal officiel de l'Union européenne.

10.  Au plus tard le 30 septembre de l'année N + 1, le directeur exécutif adresse à la Cour des comptes une réponse aux observations de celle‑ci, et adresse également une copie de cette réponse au conseil d'administration et à la Commission.

11.  Le directeur exécutif soumet au Parlement européen, à la demande de celui-ci, toute information nécessaire au bon déroulement de la procédure de décharge pour l'exercice budgétaire en question, conformément à l'article 261, paragraphe 3, du règlement (UE, Euratom) 2018/1046.

12.  Le Parlement européen, statuant sur recommandation du Conseil et avant le 15 mai de l'année N + 2, donne décharge au directeur exécutif sur l'exécution du budget de l'exercice N.

Article 32

Règles financières

Les règles financières applicables à l'ENISA sont arrêtées par le conseil d'administration, après consultation de la Commission. Elles ne peuvent s'écarter du règlement délégué (UE) n° 1271/2013 que si le fonctionnement de l'ENISA le nécessite spécifiquement et moyennant l'accord préalable de la Commission.

Article 33

Lutte contre la fraude

Afin de faciliter la lutte contre la fraude, la corruption et d'autres activités illégales au titre du règlement (UE, Euratom) n° 883/2013 du Parlement européen et du Conseil(31), l'ENISA adhère, au plus tard le ... [six mois après l'entrée en vigueur du présent règlement], à l'accord interinstitutionnel du 25 mai 1999 entre le Parlement européen, le Conseil de l'Union européenne et la Commission des Communautés européennes relatif aux enquêtes internes effectuées par l'Office européen de lutte antifraude (OLAF)(32). L'ENISA adopte les dispositions appropriées applicables à tout le personnel de l'ENISA, en utilisant le modèle figurant à l'annexe dudit accord.

2.  La Cour des comptes dispose d'un pouvoir d'audit, sur pièces et sur place, à l'égard de tous les bénéficiaires de subventions, contractants et sous-traitants qui ont reçu des fonds de l'Union en provenance de l'ENISA.

3.  L'OLAF peut effectuer des enquêtes, y compris des contrôles et vérifications sur place, conformément aux dispositions et procédures prévues par le règlement (UE, Euratom) n° 883/2013 et le règlement (Euratom, CE) n° 2185/96 du Conseil(33) , en vue d'établir l'existence éventuelle d'une fraude, d'un acte de corruption ou de toute autre activité illégale portant atteinte aux intérêts financiers de l'Union, en lien avec une subvention ou un contrat financés par l'ENISA.

4.  Sans préjudice des paragraphes 1, 2 et 3, les accords de coopération conclus avec des pays tiers ou des organisations internationales, les contrats, les conventions de subvention et les décisions de subvention de l'ENISA contiennent des dispositions habilitant expressément la Cour des comptes et l'OLAF à procéder à ces audits et à ces enquêtes, conformément à leurs compétences respectives.

CHAPITRE V

PERSONNEL

Article 34

Dispositions générales

Le statut des fonctionnaires et le régime applicable aux autres agents, ainsi que les règles arrêtées d'un commun accord entre les institutions de l'Union visant à exécuter le statut des fonctionnaires et le régime applicable aux autres agents, s'appliquent au personnel de l'ENISA.

Article 35

Privilèges et immunités

Le protocole n° 7 sur les privilèges et immunités de l'Union européenne, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, s'applique à l'ENISA ainsi qu'à son personnel.

Article 36

Directeur exécutif

1.  Le directeur exécutif est engagé en tant qu'agent temporaire de l'ENISA conformément à l'article 2, point a), du régime applicable aux autres agents.

2.  Le directeur exécutif est nommé par le conseil d'administration sur la base d'une liste de candidats proposés par la Commission, à la suite d'une procédure de sélection ouverte et transparente.

3.  Aux fins de la conclusion du contrat de travail du directeur exécutif, l'ENISA est représentée par le président du conseil d'administration.

4.  Avant d'être nommé, le candidat retenu par le conseil d'administration est invité à faire une déclaration devant la commission concernée du Parlement européen et à répondre aux questions des députés.

5.  Le mandat du directeur exécutif est de cinq ans. Au terme de cette période, la Commission procède à une évaluation du travail accompli par le directeur exécutif et des tâches et défis futurs de l'ENISA.

6.  Le conseil d'administration statue sur la nomination, la prorogation du mandat et la révocation du directeur exécutif conformément à l'article 18, paragraphe 2.

7.  Le conseil d'administration, sur proposition de la Commission tenant compte de l'évaluation visée au paragraphe 5, peut proroger une fois le mandat du directeur exécutif pour une durée ▌ de cinq ans.

8.  Le conseil d'administration informe le Parlement européen de son intention de proroger le mandat du directeur exécutif. Dans les trois mois précédant cette prorogation, le directeur exécutif fait, s'il y est invité, une déclaration devant la commission concernée du Parlement européen et répond aux questions des députés.

9.  Un directeur exécutif dont le mandat a été prorogé ne peut pas participer à une nouvelle procédure de sélection pour le même poste.

10.  Le directeur exécutif ne peut être démis de ses fonctions que sur décision du conseil d'administration ▌, statuant sur proposition de la Commission.

Article 37

Experts nationaux détachés et personnel autre

1.  L'ENISA peut avoir recours à des experts nationaux détachés ou à d'autres personnes qu'elle n'emploie pas. Le statut des fonctionnaires et le régime applicable aux autres agents ne s'appliquent pas à ces personnes.

2.  Le conseil d'administration adopte une décision établissant le régime applicable aux experts nationaux détachés auprès de l'ENISA.

CHAPITRE VI

DISPOSITIONS GÉNÉRALES CONCERNANT L'ENISA

Article 38

Statut juridique de l'ENISA

1.  L'ENISA est un organisme de l'Union et elle est dotée de la personnalité juridique.

2.  Dans chaque État membre, l'ENISA jouit de la capacité juridique la plus étendue accordée aux personnes morales en droit national. Elle peut notamment acquérir ou aliéner des biens mobiliers et immobiliers et ester en justice.

3.  L'ENISA est représentée par le directeur exécutif.

Article 39

Responsabilité de l'ENISA

1.  La responsabilité contractuelle de l'ENISA est régie par le droit applicable au contrat en question.

2.  La Cour de justice de l'Union européenne est compétente pour statuer en vertu de toute clause compromissoire contenue dans un contrat conclu par l'ENISA.

3.  En cas de responsabilité non contractuelle, l'ENISA répare tout dommage causé par ses services ou par son personnel dans l'exercice de leurs fonctions, conformément aux principes généraux communs aux législations des États membres.

4.  La Cour de justice de l'Union européenne est compétente pour traiter de tout litige relatif à la réparation d'un dommage visé au paragraphe 3.

5.  La responsabilité personnelle du personnel de l'ENISA envers l'ENISA est régie par les dispositions pertinentes applicables au personnel de l'ENISA.

Article 40

Régime linguistique

1.  Le règlement nº 1 du Conseil(34) s'applique à l'ENISA. Les États membres et les autres organismes désignés par les États membres peuvent s'adresser à l'ENISA et recevoir une réponse dans la langue officielle des institutions de l'Union qu'ils choisissent.

2.  Les services de traduction nécessaires au fonctionnement de l'ENISA sont assurés par le Centre de traduction des organes de l'Union européenne.

Article 41

Protection des données à caractère personnel

1.  Les opérations de traitement de données à caractère personnel effectuées par l'ENISA sont soumises au règlement (UE) 2018/1725 .

2.  Le conseil d'administration adopte les dispositions d'application visées à l'article 45, paragraphe 3, du règlement (UE) 2018/1725. Le conseil d'administration peut adopter des mesures supplémentaires nécessaires pour l'application du règlement (UE) 2018/1725 par l'ENISA.

Article 42

Coopération avec des pays tiers et des organisations internationales

1.  Dans la mesure nécessaire pour atteindre les objectifs énoncés dans le présent règlement, l'ENISA peut coopérer avec les autorités compétentes de pays tiers ou avec des organisations internationales. À cet effet, l'ENISA peut établir des arrangements de travail avec les autorités de pays tiers et des organisations internationales, sous réserve de l'accord préalable de la Commission. Ces arrangements de travail ne créent pas d'obligations juridiques à l'égard de l'Union ou de ses États membres.

2.  L'ENISA est ouverte à la participation des pays tiers qui ont conclu des accords en ce sens avec l'Union. Conformément aux dispositions pertinentes de tels accords, des arrangements de travail sont élaborés pour préciser notamment la nature, l'étendue et les modalités de la participation de ces pays tiers aux travaux de l'ENISA, et contiennent des dispositions relatives à la participation aux initiatives prises par l'ENISA, aux contributions financières et au personnel. En ce qui concerne les questions relatives au personnel, lesdits arrangements de travail respectent le statut des fonctionnaires et le régime applicable aux autres agents.

3.  Le conseil d'administration adopte une stratégie en ce qui concerne les relations avec les pays tiers et les organisations internationales sur les questions relevant de la compétence de l'ENISA. La Commission veille à ce que l'ENISA fonctionne dans les limites de son mandat et du cadre institutionnel existant en concluant des arrangements de travail appropriés avec le directeur exécutif.

Article 43

Règles de sécurité en matière de protection des informations sensibles non classifiées et des informations classifiées

Après consultation de la Commission, l'ENISA adopte des règles de sécurité en appliquant les principes de sécurité énoncés dans les règles de sécurité de la Commission visant à protéger les informations sensibles non classifiées et les ICUE, énoncées dans les décisions (UE, Euratom) 2015/443 et 2015/444. Les règles de sécurité de l'ENISA couvrent les dispositions relatives à l'échange, au traitement et au stockage de ces informations.

Article 44

Accord de siège et conditions de fonctionnement

1.  Les dispositions requises pour l'implantation de l'ENISA dans l'État membre du siège et les prestations à fournir par cet État membre, ainsi que les règles particulières qui sont applicables dans ledit État membre au directeur exécutif, aux membres du conseil d'administration, au personnel de l'ENISA et aux membres de leurs familles sont arrêtées dans un accord de siège conclu entre l'ENISA et l'État membre du siège, après approbation par le conseil d'administration ▌.

2.  L'État membre du siège de l'ENISA offre les meilleures conditions possibles pour assurer le bon fonctionnement de l'ENISA, en tenant compte de l'accessibilité de l'emplacement, de l'existence de services d'éducation appropriés pour les enfants des membres du personnel et d'un accès adéquat au marché du travail, à la sécurité sociale et aux soins médicaux pour les enfants et les conjoints des membres du personnel.

Article 45

Contrôle administratif

Les activités de l'ENISA sont soumises au contrôle du Médiateur européen, conformément à l'article 228 du traité sur le fonctionnement de l'Union européenne.

TITRE III

CADRE DE CERTIFICATION DE CYBERSÉCURITÉ

Article 46

Cadre européen de certification de cybersécurité

1.  Le cadre européen de certification de cybersécurité est établi afin d'améliorer les conditions de fonctionnement du marché intérieur en renforçant le niveau de cybersécurité au sein de l'Union et en permettant de disposer, au niveau de l'Union, d'une approche harmonisée en ce qui concerne les schémas européens de certification de cybersécurité, en vue de créer un marché unique numérique pour les produits TIC, services TIC et processus TIC.

2.  Le cadre européen de certification de cybersécurité prévoit un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC et processus TIC qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie.

Article 47

Le programme de travail glissant de l'Union pour la certification européenne de cybersécurité

1.  La Commission publie un programme de travail glissant de l'Union pour la certification européenne de cybersécurité (ci-après dénommé "programme de travail glissant de l'Union") qui recense les priorités stratégiques pour les futurs schémas européens de certification de cybersécurité.

2.  Le programme de travail glissant de l'Union inclut notamment une liste de produits TIC, services TIC et processus TIC ou de catégories de ceux-ci qui sont susceptibles de bénéficier d’une inclusion dans le champ d'application d'un schéma européen de certification de cybersécurité.

3.  L'inclusion de produits TIC, services TIC et processus TIC spécifiques ou de catégories spécifiques de ceux-ci dans le programme de travail glissant de l'Union doit se justifier sur la base de l'un ou de plusieurs des motifs suivants:

a)  la disponibilité et le développement de schémas nationaux de certification de cybersécurité couvrant toute catégorie spécifique de produits TIC, services TIC ou processus TIC et, en particulier, en ce qui concerne le risque de fragmentation;

b)  le droit ou la politique applicable de l'Union ou d'un État membre;

c)  la demande du marché;

d)  l'évolution de la situation en ce qui concerne les cybermenaces;

e)  une demande de préparation d'un schéma candidat spécifique par le GECC.

4.  La Commission tient dûment compte des avis du GECC et du groupe des parties prenantes pour la certification de cybersécurité sur le projet de programme de travail glissant de l'Union.

5.  Le premier programme de travail glissant de l'Union est publié au plus tard le ... [douze mois après l'entrée en vigueur du présent règlement]. Le programme de travail glissant de l'Union est mis à jour au moins tous les trois ans, et plus souvent si nécessaire.

Article 48

Demande de schéma européen de certification de cybersécurité

1.  La Commission peut demander à l'ENISA de préparer un schéma candidat ou de réexaminer un schéma européen de certification de cybersécurité existant sur la base du programme de travail glissant de l'Union.

2.  Dans des cas dûment justifiés, la Commission ou le GECC peut demander à l'ENISA de préparer un schéma candidat ou de réexaminer un schéma européen de certification de cybersécurité existant qui n'est pas inclus dans le programme de travail glissant de l'Union. Le programme de travail glissant de l'Union est mis à jour en conséquence.

Article 49

Préparation ▌, adoption et réexamen d'un schéma européen de certification de cybersécurité

1.  À la suite d'une demande formulée par la Commission en vertu de l'article 48, l'ENISA prépare un schéma candidat qui satisfait aux exigences énoncées aux articles 51, 52 et 54.

2.  À la suite d'une demande formulée par le GECC en vertu de l'article 48, paragraphe 2, l'ENISA peut préparer un schéma candidat qui satisfait aux exigences énoncées aux articles 51, 52 et 54. ▌ Si l'ENISA rejette une telle demande, elle doit motiver son refus. Toute décision de rejeter une telle demande est prise par le conseil d'administration.

3.  Lors de la préparation d'un schéma candidat, l'ENISA consulte toutes les parties prenantes concernées au moyen d’un processus de consultation formel, ouvert, transparent et inclusif.

4.  Pour chaque schéma candidat, l'ENISA crée un groupe de travail ad hoc, conformément à l'article 20, paragraphe 4, afin qu'il lui fournisse des conseils et des compétences spécifiques.

5.  L'ENISA coopère étroitement avec le GECC. Celui-ci fournit ▌ aide et expertise ▌ à l'ENISA dans le cadre de la préparation du schéma candidat et adopte un avis sur le schéma candidat.

6.  L'ENISA tient le plus grand compte de l'avis du GECC avant de transmettre à la Commission le schéma candidat ▌ préparé conformément aux paragraphes 3, 4 et 5. L'avis du GECC n'est pas contraignant pour l'ENISA, et l'absence d'un tel avis n'empêche pas l'ENISA de transmettre le schéma candidat à la Commission.

7.  La Commission, se fondant sur le schéma candidat préparé par l'ENISA, peut adopter des actes d'exécution prévoyant un schéma européen de certification de cybersécurité pour les produits TIC, services TIC et processus TIC qui satisfont aux exigences des articles 51, 52 et 54. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l'article 66, paragraphe 2.

8.  L'ENISA procède au moins tous les cinq ans à une évaluation de chacun des schémas européens de certification de cybersécurité adoptés, en tenant compte des informations reçues en retour des parties intéressées. Si nécessaire, la Commission ou le GECC peut demander à l'ENISA de lancer le processus d'élaboration d'un schéma candidat révisé, conformément à l'article 48 et au présent article.

Article 50

Site internet sur les schémas européens de certification de cybersécurité

1.  L'ENISA tient à jour un site internet dédié qui fournit des informations sur les schémas européens de certification de cybersécurité, les certificats de cybersécurité européens et les déclarations de conformité de l'UE, et leur assure une publicité, y compris des informations relatives aux schémas européens de certification de cybersécurité qui ne sont plus valables, aux certificats de cybersécurité européens qui ont été retirés ou ont expiré et aux déclarations de conformité de l'UE, ainsi qu'au répertoire de liens vers des informations relatives à la cybersécurité fournies conformément à l'article 55.

2.  Le cas échéant, le site internet visé au paragraphe 1 indique également les schémas nationaux de certification de cybersécurité qui ont été remplacés par un schéma européen de certification de cybersécurité.

Article 51

Objectifs de sécurité des schémas européens de certification de cybersécurité

Un schéma européen de certification de cybersécurité est conçu de façon à réaliser, selon le cas, au moins les objectifs de sécurité suivants:

a)  protéger les données stockées, transmises ou traitées de toute autre façon contre le stockage, le traitement, l'accès ou la diffusion accidentels ou non autorisés au cours de l'ensemble du cycle de vie du produit TIC, service TIC ou processus TIC;

b)  protéger les données stockées, transmises ou traitées de toute autre façon contre la destruction accidentelle ou non autorisée, la perte ou l'altération, ou l'absence de disponibilité, au cours de l'ensemble du cycle de vie du produit TIC, service TIC ou processus TIC;

c)  faire en sorte que les personnes autorisées, les programmes ou les machines ne puissent accéder qu'aux données, services ou fonctions concernés par leurs droits d'accès;

d)  identifier et documenter les dépendances et vulnérabilités connues;

e)  garder une trace des données, fonctions ou services qui ont été consultés, utilisés ou traités de toute autre façon, du moment où ils l'ont été et par qui;

f)  faire en sorte qu'il soit possible de vérifier quel(le)s données, services ou fonctions ont été consultés, utilisés ou traités de toute autre façon, à quel moment et par qui;

g)  vérifier que les produits TIC, services TIC et processus TIC ne contiennent pas de vulnérabilités connues;

h)  rétablir la disponibilité des données, services et fonctions ainsi que l'accès à ceux-ci dans les plus brefs délais en cas d'incident physique ou technique;

i)  faire en sorte que les produits TIC, services TIC et processus TIC soient sécurisés par défaut et dès la conception;

j)  ▌ faire en sorte que les produits TIC, services TIC et processus TIC soient dotés de logiciels et de matériel à jour et sans vulnérabilités connues du public, et de mécanismes permettant d'assurer les mises à jour ▌ en toute sécurité.

Article 52

Niveaux d'assurance des schémas européens de certification de cybersécurité

1.  Un schéma européen de certification de cybersécurité peut préciser un ou plusieurs des niveaux d'assurance suivants pour les produits TIC, services TIC et processus TIC: "élémentaire", "substantiel" ou "élevé". Le niveau d'assurance correspond au niveau de risque associé à l'utilisation prévue du produit TIC, service TIC ou processus TIC, en termes de probabilité et de répercussions d'un incident.

2.  Les certificats de cybersécurité européens et les déclarations de conformité de l'UE mentionnent tout niveau d'assurance précisé dans le schéma européen de certification de cybersécurité dans le cadre duquel le certificat de cybersécurité européen ou la déclaration de conformité de l'UE a été délivré(e).

3.  Les exigences de sécurité correspondant à chaque niveau d'assurance sont fournies dans le schéma européen de certification de cybersécurité concerné, y compris les fonctionnalités de sécurité correspondantes ainsi que la rigueur et l'ampleur correspondantes de l'évaluation à laquelle le produit TIC, service TIC ou processus TIC doit être soumis .

▌4. Le certificat ou la déclaration de conformité de l'UE fait référence aux spécifications techniques, aux normes et aux procédures connexes, y compris les contrôles techniques, l'objectif étant de réduire le risque d'incidents de cybersécurité ou de les prévenir.

5.  Un certificat de cybersécurité européen ou une déclaration de conformité de l'UE qui se réfère au niveau d'assurance dit "élémentaire" offre l'assurance que les produits TIC, services TIC et processus TIC pour lesquels ce certificatif ou cette déclaration de conformité de l'UE est délivré(e) satisfont aux exigences de sécurité correspondantes, y compris les fonctionnalités de sécurité, et qu'ils ont été évalués à un niveau qui vise à minimiser les risques élémentaires connus d'incidents et de cyberattaques. Les activités d'évaluation à entreprendre comprennent au moins un examen de la documentation technique. Lorsqu'un tel examen n'est pas approprié, des activités d'évaluation de substitution ayant un effet équivalent sont entreprises.

6.  Un certificat de cybersécurité européen qui se réfère au niveau d'assurance dit "substantiel" offre l'assurance que les produits TIC, services TIC et processus TIC pour lesquels ce certificat est délivré satisfont aux exigences de sécurité correspondantes, y compris des fonctionnalités de sécurité, et qu'ils ont été évalués à un niveau qui vise à minimiser les risques liés à la cybersécurité connus, et le risque d'incidents et de cyberattaques émanant d'acteurs aux aptitudes et aux ressources limitées. Les activités d'évaluation à entreprendre comprennent au moins: un examen visant à démontrer l'absence de vulnérabilités connues du public et des vérifications tendant à démontrer que les produits TIC, services TIC ou processus TIC mettent correctement en œuvre les fonctionnalités de sécurité nécessaires. Lorsque de telles activités d'évaluation ne sont pas appropriées, des activités d'évaluation de substitution ayant un effet équivalent sont entreprises.

7.  ▌Un certificat de cybersécurité européen qui se réfère au niveau d'assurance dit "élevé" offre l'assurance que les produits TIC, services TIC et processus TIC pour lesquels ce certificat est délivré satisfont aux exigences de sécurité correspondantes, y compris des fonctionnalités de sécurité, et qu'ils ont été évalués à un niveau qui vise à minimiser le risque que des cyberattaques de pointe soient menées par des acteurs aux aptitudes solides et aux ressources importantes. Les activités d'évaluation à entreprendre comprennent au moins: un examen démontrant l'absence de vulnérabilités connues du public, des vérifications tendant à démontrer que les produits TIC, services TIC ou processus TIC mettent correctement en œuvre les fonctionnalités de sécurité nécessaires, au niveau de l'état de l'art; et une évaluation de leur résistance à des attaques menées par des acteurs compétents, au moyen de tests de pénétration. Lorsque de telles activités d'évaluation ne sont pas appropriées, des activités d'évaluation de substitution ayant un effet équivalent sont entreprises.

8.  Un schéma européen de certification de cybersécurité peut préciser plusieurs niveaux d'évaluation en fonction de la rigueur et de l'ampleur de la méthode d'évaluation utilisée. Chaque niveau d'évaluation correspond à l'un des niveaux d'assurance et il est défini par une combinaison appropriée de composantes d'assurance.

Article 53

Autoévaluation de la conformité

1.  Un schéma européen de certification de cybersécurité peut permettre la réalisation d'une autoévaluation de la conformité sous la seule responsabilité du fabricant ou du fournisseur de produits TIC, services TIC ou processus TIC. L'autoévaluation de la conformité n'est autorisée que pour les produits TIC, services TIC et processus TIC qui présentent un risque faible schéma correspondant au niveau d'assurance dit "élémentaire".

2.  Le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC peut délivrer une déclaration de conformité de l'UE indiquant que le respect des exigences énoncées dans le schéma a été démontré. En délivrant une telle déclaration, le fabricant ou fournisseur de produits TIC, services TIC ou processus TIC assume la responsabilité du respect par le produit TIC, service TIC ou processus TIC des exigences fixées dans ce schéma.

3.  Le fabricant ou fournisseur de produits TIC, services TIC ou processus TIC garde à la disposition de l'autorité nationale de certification de cybersécurité visée à l'article 58 la déclaration de conformité de l'UE, la documentation technique et toutes les autres informations pertinentes relatives à la conformité des produits TIC ou services TIC avec le schéma pendant la durée prévue dans le schéma européen de certification de cybersécurité correspondant. Une copie de la déclaration de conformité de l'UE est transmise à l'autorité nationale de certification de cybersécurité et à l'ENISA.

4.  La délivrance d'une déclaration de conformité de l'UE est volontaire, sauf disposition contraire du droit de l'Union ou du droit d’un État membre.

5.  Les déclarations de conformité de l'UE sont reconnues dans tous les États membres.

Article 54

Éléments des schémas européens de certification de cybersécurité

1.  Un schéma européen de certification de cybersécurité comprend au moins les éléments suivants:

a)  l'objet et le champ d'application du schéma de certification, notamment le type ou les catégories de produits TIC, services TIC et processus TIC couverts;

b)  une description claire de la finalité du schéma et de la façon dont les normes, les méthodes d'évaluation et les niveaux d'assurance sélectionnés correspondent aux besoins des utilisateurs auxquels le schéma est destiné;

c)  des références aux normes internationales, européennes ou nationales appliquées dans le cadre de l'évaluation ou, lorsque de telles normes n'existent pas ou ne sont pas appropriées, à des spécifications techniques qui satisfont aux exigences énoncées à l'annexe II du règlement(UE) n° 1025/2012 ou, lorsque de telles spécifications ne sont pas disponibles, à des spécifications techniques ou d’autres exigences de cybersécurité définies dans le schéma européen de certification de cybersécurité;

d)  le cas échéant, un ou plusieurs niveaux d'assurance;

e)  une mention indiquant si l'autoévaluation de la conformité est autorisée dans le cadre du schéma;

f)  le cas échéant, des exigences spécifiques ou supplémentaires auxquelles sont soumis les organismes d'évaluation de la conformité aux fins de garantir qu'ils disposent des compétences techniques nécessaires pour évaluer les exigences de cybersécurité;

g)  les critères et méthodes d'évaluation spécifiques qui doivent être utilisés, notamment les types d'évaluation, afin de démontrer que les objectifs de sécurité visés à l'article 51 sont atteints;

h)  le cas échéant, les informations nécessaires à la certification qu'un demandeur doit fournir aux organismes d'évaluation de la conformité ou mettre à leur disposition d'une autre façon;

i)  lorsque le schéma prévoit des marques ou des labels, les conditions dans lesquelles ces marques ou labels peuvent être utilisés;

j)  ▌ les règles relatives au contrôle du respect par les produits TIC, services TIC et processus TIC des exigences liées aux certificats de cybersécurité européens ou aux déclarations de conformité de l'UE, notamment les mécanismes permettant de démontrer le respect constant des exigences de cybersécurité qui ont été définies;

k)  le cas échéant, les conditions permettant de délivrer, de maintenir, de prolonger ▌ et de renouveler les certificats européen de cybersécurité, ainsi que les conditions auxquelles il est possible d'étendre ▌ou de réduire leur champ d'application;

l)  les règles relatives aux conséquences pour les produits TIC, services TIC et processus TIC qui ont été certifiés ou pour lesquels une déclaration de conformité de l'UE a été délivrée, mais qui ne respectent pas les exigences du schéma;

m)  les règles relatives aux modalités de signalement et de traitement des vulnérabilités de cybersécurité non détectées précédemment dans des produits TIC, services TIC et processus TIC;

n)  le cas échéant, les règles relatives à la conservation des archives par les organismes d'évaluation de la conformité;

o)  l'identification des schémas nationaux ou internationaux de certification de cybersécurité couvrant le même type ou les mêmes catégories de produits TIC, services TIC et processus TIC, d'exigences de sécurité, de critères et méthodes d'évaluation et de niveaux d'assurance;

p)  le contenu et le format des certificats de cybersécurité européens et des déclarations de conformité de l'UE à délivrer;

q)  la période de disponibilité de la déclaration de conformité de l'UE, de la documentation technique et de toutes les autres informations pertinentes qui doivent être mises à disposition par le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC;

r)  la durée maximale de validité des certificats de cybersécurité européens délivrés dans le cadre du schéma;

s)  la politique de divulgation concernant les certificats de cybersécurité européens délivrés, modifiés ou retirés dans le cadre du schéma;

t)  les conditions de reconnaissance mutuelle des schémas de certification avec les pays tiers;

u)  le cas échéant, les règles relatives à tout mécanisme d'évaluation par les pairs établi par le schéma pour les autorités ou organismes qui délivrent des certificats de cybersécurité européens pour le niveau d'assurance dit "élevé" en vertu de l'article 56, paragraphe 6. Un tel mécanisme est sans préjudice de l'examen par les pairs prévu à l'article 59;

v)  le format et les procédures que les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC doivent appliquer pour fournir et mettre à jour les informations supplémentaires en matière de cybersécurité conformément à l'article 55.

2.  Les exigences du schéma européen de certification de cybersécurité qui ont été définies sont cohérentes avec toute exigence légale applicable, notamment les exigences découlant de dispositions harmonisées du droit de l'Union.

3.  Lorsqu'un acte juridique spécifique de l'Union le prévoit, un certificat ou une déclaration de conformité de l'UE délivré(e) dans le cadre d'un schéma européen de certification de cybersécurité peut être utilisé(e) pour démontrer la présomption de conformité aux exigences de cet acte juridique.

4.  En l'absence de dispositions harmonisées du droit de l'Union, le droit d'un État membre peut aussi prévoir qu'un schéma européen de certification de cybersécurité peut être utilisé pour établir la présomption de conformité aux exigences légales.

Article 55

Informations supplémentaires en matière de cybersécurité pour les produits TIC, services TIC et processus TIC certifiés

1.  Le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC certifiés ou de produits TIC, services TIC et processus TIC pour lesquels une déclaration de conformité de l'UE a été délivrée met les informations supplémentaires en matière de cybersécurité qui suivent à la disposition du public:

a)  des orientations et des recommandations pour aider les utilisateurs finaux à assurer, de façon sécurisée, la configuration, l'installation, le déploiement, le fonctionnement et la maintenance des produits TIC ou services TIC;

b)  la période pendant laquelle une assistance en matière de sécurité sera offerte aux utilisateurs finaux, en particulier en ce qui concerne la disponibilité de mises à jour liées à la cybersécurité;

c)  les informations de contact du fabricant ou du fournisseur et les méthodes acceptées pour recevoir des informations concernant des vulnérabilités de la part d'utilisateurs finaux et de chercheurs dans le domaine de la sécurité;

d)  une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées au produit TIC, service TIC ou processus TIC ainsi que tout conseil pertinent en matière de cybersécurité.

2.  Les informations visées au paragraphe 1 sont disponibles sous forme électronique et restent disponibles et actualisées en tant que de besoin au moins jusqu'à l'expiration du certificat de cybersécurité européen ou de la déclaration de conformité de l'UE correspondant(e).

Article 56

Certification de cybersécurité

1.  Les produits TIC, services TIC et processus TIC qui ont été certifiés dans le cadre d'un schéma européen de certification de cybersécurité adopté en vertu de l'article 49 sont présumés respecter les exigences de ce schéma.

2.  La certification de cybersécurité est volontaire, sauf disposition contraire du droit de l'Union ou du droit d’un État membre.

3.  La Commission évalue régulièrement l'efficacité et l'utilisation des schémas européens de certification de cybersécurité adoptés ainsi que la question de savoir si un schéma européen de certification de cybersécurité spécifique doit être rendu obligatoire, au moyen de dispositions pertinentes du droit de l'Union, pour garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l'Union et améliorer le fonctionnement du marché intérieur. La première de ces évaluations est effectuée le 31 décembre 2023 au plus tard, et les évaluations suivantes sont effectuées au moins tous les deux ans par la suite. Sur la base des résultats de ces évaluations, la Commission recense les produits TIC, services TIC et processus TIC couverts par un schéma de certification existant qui doivent relever d'un schéma de certification obligatoire.

La Commission met l'accent en priorité sur les secteurs dont la liste figure à l'annexe II de la directive (UE) 2016/1148 qui sont évalués au plus tard deux ans après l'adoption du premier schéma européen de certification de cybersécurité.

Lorsqu'elle prépare l'évaluation, la Commission:

a)  tient compte de l'incidence des mesures, du point de vue des coûts, sur les fabricants ou fournisseurs de ces produits TIC, services TIC ou processus TIC et sur les utilisateurs, ainsi que des avantages sociétaux ou économiques résultant du renforcement escompté du niveau de sécurité des produits TIC, services TIC ou processus TIC ciblés;

b)  tient compte de l'existence et de la mise en œuvre du droit des États membres et des pays tiers concernés;

c)  engage un processus de consultation ouvert, transparent et inclusif avec toutes les parties prenantes concernées et les États membres;

d)  prend en considération les délais de mise en œuvre ainsi que les mesures et périodes transitoires, en ce qui concerne, en particulier, l'incidence éventuelle de la mesure sur les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC, y compris les PME;

e)  propose la façon la plus rapide et la plus efficace de mettre en œuvre la transition des schémas de certification volontaires vers les schémas de certification obligatoires.

4.  Les organismes d'évaluation de la conformité visés à l'article 60 délivrent des certificats de cybersécurité européens au titre du présent article attestant du niveau d'assurance dit "élémentaire" ou "substantiel" sur la base des critères figurant dans le schéma européen de certification de cybersécurité adopté par la Commission conformément à l'article 49.

5.  Par ▌dérogation au paragraphe 4, dans des cas dûment justifiés, un schéma européen de certification de cybersécurité peut prévoir que seul un organisme public peut délivrer des certificats de cybersécurité européens dans le cadre dudit schéma. Cet organisme ▌ est l'une des entités suivantes:

a)  une autorité nationale ▌ de certification de cybersécurité visée à l'article 58, paragraphe 1; ou

b)  un organisme public accrédité en tant qu'organisme d'évaluation de la conformité conformément à l'article 60, paragraphe 1 ▌.

6.  Lorsqu'un schéma européen de certification de cybersécurité adopté au titre de l'article 49 exige un niveau d'assurance dit "élevé", le certificat de cybersécurité européen dans le cadre de ce schéma ne doit être délivré que par une autorité nationale de certification de cybersécurité ou, dans les cas suivants, par un organisme d'évaluation de la conformité:

a)  moyennant l'approbation préalable de l'autorité nationale de certification de cybersécurité pour chaque certificat de cybersécurité européen délivré par un organisme d'évaluation de la conformité; ou

b)  sur la base d’une délégation préalable de la tâche consistant à délivrer de tels certificats de cybersécurité européens à un organisme d'évaluation de la conformité par l'autorité nationale de certification de cybersécurité.

7.  La personne physique ou morale qui soumet des produits TIC, services TIC ou processus TIC à la certification met à la disposition de l'autorité nationale de certification de cybersécurité visée à l'article 58, lorsque cette autorité est l'organisme délivrant le certificat de cybersécurité européen, ou de l'organisme d'évaluation de la conformité visé à l'article 60 toutes les informations nécessaires pour procéder à la certification.

8.  Le titulaire d'un certificat de cybersécurité européen informe l'autorité ou l'organisme visé au paragraphe 7 de toute vulnérabilité ou irrégularité détectée ultérieurement concernant la sécurité du produit TIC, service TIC ou processus TIC certifié susceptible d'avoir une incidence sur son respect des exigences liées à la certification. Cette autorité ou cet organisme transmet ces informations sans retard injustifié à l'autorité nationale de certification de cybersécurité concernée.

9.  Un certificat de cybersécurité européen est délivré pour la durée prévue par le schéma européen de certification de cybersécurité concerné et peut être renouvelé ▌, pourvu que les exigences applicables continuent d'être satisfaites.

10.  Un certificat de cybersécurité européen délivré au titre du présent article est reconnu dans tous les États membres.

Article 57

Schémas nationaux de certification de cybersécurité et certificats

1.  Sans préjudice du paragraphe 3 du présent article, les schémas nationaux de certification de cybersécurité et les procédures connexes pour les produits TIC, services TIC et processus TIC couverts par un schéma européen de certification de cybersécurité cessent de produire leurs effets à partir de la date fixée dans l'acte d'exécution adopté en application de l'article 49, paragraphe 7. Les schémas nationaux de certification de cybersécurité et les procédures connexes pour les produits TIC, services TIC et processus TIC qui ne sont pas couverts par un schéma européen de certification de cybersécurité continuent à exister.

2.  Les États membres s'abstiennent d'instaurer de nouveaux schémas nationaux de certification de cybersécurité pour les produits TIC, services TIC et processus TIC qui sont déjà couverts par un schéma européen de certification de cybersécurité en vigueur.

3.  Les certificats existants, qui ont été délivrés dans le cadre de schémas nationaux de certification de cybersécurité et qui sont couverts par un schéma européen de certification de cybersécurité, restent valables jusqu'à leur date d'expiration.

4.  En vue d'éviter la fragmentation du marché intérieur, les États membres informent la Commission et le GECC de leur intention éventuelle d'élaborer de nouveaux schémas nationaux de certification de cybersécurité.

Article 58

Autorités nationales de ▌ certification de cybersécurité

1.  Chaque État membre désigne une ou plusieurs autorités nationales de certification de cybersécurité sur son territoire ou, moyennant l'accord d'un autre État membre, désigne une ou plusieurs autorités nationales de certification de cybersécurité établies dans cet autre État membre comme responsables des tâches de supervision dans l'État membre qui procède à la désignation.

2.  Chaque État membre informe la Commission de l'identité des autorités nationales de certification de cybersécurité ▌ désignées. Lorsqu'un État membre désigne plus d'une autorité, il communique en outre à la Commission des informations sur les tâches confiées à chacune de ces autorités.

3.  Sans préjudice de l'article 56, paragraphe 5, point a), et de l'article 56, paragraphe 6, chaque autorité nationale de ▌certification de cybersécurité est indépendante des entités qu'elle surveille en ce qui concerne son organisation, ses décisions de financement, sa structure juridique et son processus décisionnel.

4.  Les États membres veillent à ce que les activités des autorités nationales de certification de cybersécurité liées à la délivrance de certificats de cybersécurité européens visées à l'article 56, paragraphe 5, point a), et à l'article 56, paragraphe 6, soient strictement distinctes de leurs activités de supervision visées au présent article, et à ce que ces activités soient exécutées indépendamment l'une de l'autre.

5.  Les États membres veillent à ce que les autorités nationales de certification de cybersécurité disposent de ressources adéquates pour exercer leurs pouvoirs et exécuter leurs tâches de manière efficace et efficiente.

6.  Afin d'assurer la mise en œuvre efficace du présent règlement, il convient que les autorités nationales de certification de cybersécurité participent de manière active, efficace, efficiente et sécurisée au GECC.

7.  Les autorités nationales de ▌ certification de cybersécurité:

a)  supervisent et font respecter les règles prévues dans les schémas européens de certification de cybersécurité, en application de l'article 54, paragraphe 1, point j), aux fins du contrôle du respect par les produits TIC, services TIC et processus TIC des exigences des certificats de cybersécurité européens délivrés sur leurs territoires respectifs, en coopération avec les autres autorités compétentes de surveillance du marché;

b)  contrôlent le respect des obligations qui incombent aux fabricants ou fournisseurs de produits TIC, services TIC ou processus TIC qui sont établis sur leurs territoires respectifs et qui procèdent à une autoévaluation de conformité et font respecter ces obligations, et contrôlent, en particulier, le respect des obligations de ces fabricants ou fournisseurs visées à l'article 53, paragraphes 2 et 3, et dans le schéma européen de certification de cybersécurité correspondant, et font respecter ces obligations;

c)  sans préjudice de l'article 60, paragraphe 3, assistent et soutiennent activement les organismes nationaux d'accréditation dans le contrôle et la supervision des activités des organismes d'évaluation de la conformité aux fins du présent règlement ▌;

d)  contrôlent et supervisent les activités des organismes publics visées à l'article 56, paragraphe 5;

e)  lorsqu'il y a lieu, autorisent les organismes d'évaluation de la conformité à effectuer leurs tâches conformément à l'article 60, paragraphe 3, et limitent, suspendent ou retirent les autorisations existantes lorsque les organismes d'évaluation de la conformité violent les exigences du présent règlement;

f)  traitent les réclamations introduites par des personnes physiques ou morales en rapport avec les certificats de cybersécurité européens délivrés par des autorités nationales de certification de cybersécurité ou en rapport avec les certificats de cybersécurité européens délivrés par des organismes d'évaluation de la conformité conformément à l'article 56, paragraphe 6, ou en rapport avec les déclarations de conformité de l'UE délivrées au titre de l'article 53, examinent l'objet de ces réclamations dans la mesure nécessaire et informent l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable;

g)  communiquent à l'ENISA et au GECC un résumé annuel des activités entreprises en application des points b), c) et d) du présent paragraphe ou du paragraphe 8;

h)  coopèrent avec les autres autorités nationales de ▌certification de cybersécurité ou d'autres autorités publiques, notamment en partageant des informations sur l'éventuel non-respect par des produits TIC, services TIC et processus TIC des exigences du présent règlement ou des exigences de schémas de certification de cybersécurité spécifiques; et

i)  suivent les évolutions pertinentes dans le domaine de la certification de cybersécurité.

8.  Chaque autorité nationale de ▌ certification de cybersécurité dispose au moins des pouvoirs suivants:

a)  de demander aux organismes d'évaluation de la conformité, ▌aux titulaires de certificats de cybersécurité européens et aux émetteurs de déclarations de conformité de l'UE de lui communiquer toute information dont elle a besoin pour l'exécution de ses tâches;

b)  d'effectuer des enquêtes, sous la forme d'audits, auprès des organismes d'évaluation de la conformité, ▌ des titulaires de certificats de cybersécurité européens et des émetteurs de déclarations de conformité de l'UE afin de vérifier qu’ils respectent le présent titre;

c)  de prendre les mesures appropriées, conformément au droit national, pour veiller à ce que les organismes d'évaluation de la conformité, ▌ les titulaires de certificats de cybersécurité européens et les émetteurs de déclarations de conformité de l'UE respectent le présent règlement ou un schéma européen de certification de cybersécurité;

d)  d'obtenir l'accès aux locaux des organismes d'évaluation de la conformité ou des titulaires de certificats de cybersécurité européens afin d'effectuer des enquêtes conformément au droit procédural de l'Union ou au droit procédural d'un État membre;

e)  de retirer, conformément au droit national, les certificats de cybersécurité européens délivrés par les autorités nationales de certification de cybersécurité ou les certificats de cybersécurité européens délivrés par les organismes d'évaluation de la conformité conformément à l'article 56, paragraphe 6, lorsque de tels certificats ne respectent pas le présent règlement ou un schéma européen de certification de cybersécurité;

f)  d'imposer des sanctions conformément au droit national, comme le prévoit l'article 65, et d'exiger la cessation immédiate des manquements aux obligations énoncées dans le présent règlement.

9.  Les autorités nationales de ▌ certification de cybersécurité coopèrent entre elles et avec la Commission et échangent notamment des informations, expériences et bonnes pratiques en ce qui concerne la certification de cybersécurité et les questions techniques relatives à la cybersécurité des produits TIC, services TIC et processus TIC.

Article 59

Examen par les pairs

1.  Dans un souci d'équivalence des normes, dans l'ensemble de l'Union, en ce qui concerne les certificats de cybersécurité européens et les déclarations de conformité de l'UE, les autorités nationales de certification de cybersécurité font l'objet d'un examen par les pairs.

2.  L'examen par les pairs est effectué selon des critères et des procédures d'évaluation cohérents et transparents, en particulier en ce qui concerne les exigences structurelles et celles relatives aux ressources humaines et aux processus, ainsi que la confidentialité et les plaintes.

3.  L'examen par les pairs évalue:

a)  lorsqu'il y a lieu, la question de savoir si les activités des autorités nationales de certification de cybersécurité liées à la délivrance de certificats de cybersécurité européens visées à l'article 56, paragraphe 5, point a), et à l'article 56, paragraphe 6, sont strictement distinctes des activités de supervision visées à l'article 58, et celle de savoir si ces activités sont exercées indépendamment l'une de l'autre;

b)  les procédures permettant de superviser et de faire respecter les règles relatives au contrôle du respect par les produits TIC, services TIC et processus TIC des certificats de cybersécurité européens, conformément à l'article 58, paragraphe 7, point a);

c)  les procédures permettant de contrôler et de faire respecter les obligations des fabricants et des fournisseurs de produits TIC, services TIC ou processus TIC, conformément à l'article 58, paragraphe 7, point b);

d)  les procédures permettant de contrôler, d'autoriser et de superviser les activités des organismes d'évaluation de la conformité;

e)  lorsqu'il y a lieu, la question de savoir si le personnel des autorités ou organismes qui délivrent des certificats pour un niveau d'assurance dit "élevé", conformément à l'article 56, paragraphe 6, dispose des compétences nécessaires.

4.  L'examen par les pairs est réalisé au moins une fois tous les cinq ans par au moins deux autorités nationales de certification de cybersécurité d'autres États membres et par la Commission. L'ENISA peut participer à l'examen par les pairs.

5.  La Commission peut adopter des actes d'exécution établissant un plan pour l'examen par les pairs couvrant une période d'au moins cinq ans et définissant les critères concernant la composition de l'équipe chargée de l'examen par les pairs, la méthode utilisée pour mener cet examen, ainsi que le programme, la fréquence et les autres tâches y afférentes. Lors de l'adoption de ces actes d'exécution, la Commission tient dûment compte des observations formulées par le GECC. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l'article 66, paragraphe 2.

6.  Les résultats des examens par les pairs sont examinés par le GECC, qui établit des résumés pouvant être rendu publics et qui émet, au besoin, des lignes directrices ou des recommandations sur les actions à entreprendre ou les mesures à prendre par les entités concernées.

Article 60

Organismes d'évaluation de la conformité

1.  Les organismes d'évaluation de la conformité sont accrédités par les organismes nationaux d'accréditation désignés conformément au règlement (CE) n° 765/2008. Cette accréditation n'est délivrée que lorsque l'organisme d'évaluation de la conformité satisfait aux exigences énoncées à l'annexe du présent règlement.

2.  Lorsqu’un certificat de cybersécurité européen est délivré par une autorité nationale de certification de cybersécurité en vertu de l'article 56, paragraphe 5, point a), et de l’article 56, paragraphe 6, l'organisme de certification de l'autorité nationale de certification de cybersécurité est accrédité en tant qu'organisme d'évaluation de la conformité conformément au paragraphe 1 du présent article.

3.  Lorsque les schémas européens de certification de cybersécurité fixent des exigences spécifiques ou supplémentaires en application de l'article 54, paragraphe 1, point f), seuls les organismes d'évaluation de la conformité qui satisfont à ces exigences sont autorisés par l'autorité nationale de certification de cybersécurité à effectuer les tâches prévues dans le cadre de ces schémas.

4.  L'accréditation visée au paragraphe 1 est délivrée par l'organisme d'évaluation de la conformité pour une durée maximale de cinq ans et peut être renouvelée dans les mêmes conditions, pourvu que l'organisme d'évaluation de la conformité satisfasse aux exigences énoncées au présent article. Les organismes nationaux d'accréditation prennent, dans un délai raisonnable, toutes les mesures appropriées pour limiter, suspendre ou révoquer l'accréditation d'un organisme d'évaluation de la conformité délivrée en vertu du paragraphe 1 lorsque les conditions de l'accréditation ne sont pas ou plus remplies ou lorsque l'organisme d'évaluation de la conformité viole le présent règlement.

Article 61

Notification

1.  Pour chaque schéma européen de certification de cybersécurité, les autorités nationales de ▌certification de cybersécurité notifient à la Commission le nom des ▌organismes d'évaluation de la conformité accrédités et, le cas échéant, autorisés en vertu de l'article 60, paragraphe 3, à délivrer des certificats de cybersécurité européens aux niveaux d'assurance déterminés tels qu'ils sont visés à l'article 52. Les autorités nationales de certification de cybersécurité informent la Commission, sans retard indu, de toute modification ultérieure qui y est apportée.

2.  Un an après la date d'entrée en vigueur d'un schéma européen de certification de cybersécurité, la Commission publie au Journal officiel de l'Union européenne une liste des organismes d'évaluation de la conformité qui ont fait l’objet d’une notification dans le cadre de ce schéma.

3.  Si la Commission reçoit une notification après l’expiration du délai visé au paragraphe 2, elle publie les modifications apportées à la liste des organismes d'évaluation de la conformité qui ont fait l’objet d’une notification au Journal officiel de l'Union européenne dans un délai de deux mois à compter de la date de réception de cette notification.

4.  Une autorité nationale de ▌ certification de cybersécurité peut présenter à la Commission une demande visant à retirer de la liste visée au paragraphe 2 un organisme d'évaluation de la conformité qui a fait l’objet d’une notification par cette autorité. La Commission publie au Journal officiel de l'Union européenne les modifications correspondantes apportées à la liste dans un délai d'un mois à compter de la date de réception de la demande présentée par l'autorité nationale de ▌certification de cybersécurité.

5.  La Commission peut adopter des actes d'exécution visant à établir les circonstances, formats et procédures pour les notifications visées au paragraphe 1 du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 66, paragraphe 2.

Article 62

Groupe européen de certification de cybersécurité

1.  Le groupe européen de certification de cybersécurité (GECC) est institué.

2.  Le GECC est composé de représentants d'autorités nationales de ▌ certification de cybersécurité ou de représentants d'autres autorités nationales compétentes. Un membre du GECC ne peut représenter plus de deux États membres.

3.  Les parties prenantes et les tiers concernés peuvent être invités à assister aux réunions du GECC et à participer à ses travaux.

4.  Le GECC a pour mission:

a)  de conseiller et d'assister la Commission dans ses efforts pour assurer une mise en œuvre et une application cohérentes du présent titre, notamment en ce qui concerne le programme de travail glissant de l'Union, les questions de politique de certification de cybersécurité, la coordination des approches politiques et la préparation de schémas européens de certification de cybersécurité;

b)  d'assister et de conseiller l'ENISA et de coopérer avec elle en ce qui concerne la préparation d'un schéma candidat en vertu de l'article 49;

c)  d'adopter un avis sur les schémas candidats préparés par l'ENISA en vertu de l'article 49;

d)  de demander à l'ENISA de préparer un schéma candidat en vertu de l'article 48, paragraphe 2;

e)  d'adopter des avis adressés à la Commission concernant la maintenance et le réexamen de schémas européens de certification de cybersécurité existants;

f)  d'examiner les évolutions pertinentes dans le domaine de la certification de cybersécurité et d’échanger des informations et de bonnes pratiques sur les schémas de certification de cybersécurité;

g)  de faciliter la coopération entre les autorités nationales de ▌ certification de cybersécurité en vertu du présent titre par le renforcement des capacités et l'échange d'informations, notamment en établissant des méthodes permettant un échange d'informations efficace sur toutes les questions relatives à la certification de cybersécurité;

h)  de fournir un soutien à la mise en œuvre des mécanismes d'évaluation par les pairs conformément aux règles fixées dans un schéma européen de certification de cybersécurité en vertu de l'article 54, paragraphe 1, point u);

i)  de faciliter l'alignement des schémas européens de certification de cybersécurité sur les normes internationalement reconnues, y compris en examinant les schémas européens de certification de cybersécurité existants et, s'il y a lieu, en recommandant à l'ENISA de nouer le dialogue avec les organisations internationales de normalisation compétentes dans le but de remédier à des insuffisances ou à des lacunes affectant les normes internationalement reconnues en vigueur.

5.  Avec l'aide de l'ENISA, la Commission préside le GECC et en assure le secrétariat, conformément à l'article 8, paragraphe 1, point e).

Article 63

Droit d'introduire une réclamation

1.  Les personnes physiques et morales ont le droit d'introduire une réclamation auprès de l'émetteur d'un certificat de cybersécurité européen ou, lorsque la réclamation est en rapport avec un certificat de cybersécurité européen délivré par un organisme d'évaluation de la conformité agissant conformément à l'article 56, paragraphe 6, auprès de l'autorité nationale de certification de cybersécurité concernée.

2.  L'autorité ou l'organisme auprès duquel la réclamation a été introduite informe l'auteur de la réclamation de l'état d'avancement de la procédure et de la décision prise, et l'informe de son droit à un recours juridictionnel effectif visé à l'article 64.

Article 64

Droit à un recours juridictionnel effectif

1.  Nonobstant tout recours administratif ou tout autre recours non juridictionnel, les personnes physiques ou morales disposent d'un droit de recours juridictionnel effectif en ce qui concerne:

a)  les décisions prises par l'autorité ou l'organisme visé à l'article 63, paragraphe 1, y compris, le cas échéant, en ce qui concerne la délivrance non justifiée, la non-délivrance ou la reconnaissance d'un certificat de cybersécurité européen détenu par ces personnes physiques ou morales;

b)  l'absence de réaction à une réclamation introduite auprès de l'autorité ou de l'organisme visé à l'article 63, paragraphe 1.

2.  Les recours formés en vertu du présent article sont portés devant les juridictions de l'État membre dans lequel se trouve l'autorité ou l'organisme à l'encontre duquel le recours juridictionnel a été formé.

Article 65

Sanctions

Les États membres déterminent le régime des sanctions applicables aux violations des dispositions du présent titre et aux violations des schémas européens de certification de cybersécurité et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Les États membres informent la Commission sans retard du régime ainsi déterminé et des mesures ainsi prises, de même que de toute modification apportée ultérieurement à ce régime ou à ces mesures.

TITRE IV

DISPOSITIONS FINALES

Article 66

Comité

1.  La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) n° 182/2011.

2.  Lorsqu'il est fait référence au présent paragraphe, l'article 5, paragraphe 4, point b), du règlement (UE) n° 182/2011 s'applique.

Article 67

Évaluation et révision

1.  Au plus tard le … [cinq ans après la date d'entrée en vigueur du présent règlement], et tous les cinq ans par la suite, la Commission évalue l'incidence, l'efficacité et l'efficience de l'ENISA et de ses méthodes de travail, ainsi que la nécessité éventuelle de modifier le mandat de l'ENISA et les conséquences financières d'une telle modification. L'évaluation tient compte de toute information communiquée en retour à l'ENISA en réaction à ses activités. Lorsque la Commission estime que le maintien du fonctionnement de l'ENISA n'est plus justifié au regard des objectifs, du mandat et des tâches qui lui ont été assignées, elle peut proposer que les dispositions du présent règlement relatives à l'ENISA soient modifiées.

2.  L'évaluation porte également sur les effets, l'efficacité et l'efficience des dispositions du titre III du présent règlement au regard des objectifs consistant à garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l'Union et à améliorer le fonctionnement du marché intérieur.

3.  L'évaluation examine s'il est nécessaire de fixer des exigences essentielles en matière de cybersécurité comme condition d'accès au marché intérieur pour empêcher que des produits TIC, services TIC et processus TIC qui ne satisfont pas aux exigences de base en matière de cybersécurité entrent sur le marché de l'Union.

4.  Au plus tard le ... [cinq ans après la date d’entrée en vigueur du présent règlement], et tous les cinq ans par la suite, la Commission transmet le rapport d'évaluation, accompagné de ses conclusions, au Parlement européen, au Conseil et au conseil d'administration. Les conclusions de ce rapport sont rendues publiques.

Article 68

Abrogation et succession

1.  Le règlement (UE) n° 526/2013 est abrogé avec effet au ... [date d'entrée en vigueur du présent règlement].

2.  Les références au règlement (UE) n° 526/2013 et à l'ENISA telle qu'instituée par le présent règlement s'entendent comme faites au présent règlement et à l'ENISA telle qu'instituée par le présent règlement.

3.  L'ENISA instituée par le présent règlement succède à l'ENISA instituée par le règlement (UE) n° 526/2013 en ce qui concerne tous les droits de propriété, accords, obligations légales, contrats de travail, engagements financiers et responsabilités. Toutes les décisions du conseil d'administration et du conseil exécutif adoptées conformément au règlement (UE) n° 526/2013 restent valables, pour autant qu'elles respectent le présent règlement.

4.  L'ENISA est instituée pour une durée indéterminée à compter du … [date d'entrée en vigueur du présent règlement].

5.  Le directeur exécutif nommé en vertu de l'article 24, paragraphe 4, du règlement (UE) n° 526/2013 reste en fonction et exerce les fonctions du directeur exécutif visées à l’article 20 du présent règlement pour la durée restante de son mandat. Les autres conditions de son contrat demeurent inchangées.

6.  Les membres du conseil d'administration et leurs suppléants nommés en application de l'article 6 du règlement (UE) n° 526/2013 restent en fonction et exercent les fonctions du conseil d’administration visées à l’article 15 du présent règlement pour la durée restante de leur mandat.

Article 69

Entrée en vigueur

1.  Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

2.  Les articles 58, 60, 61, 63, 64 et 65 s'appliquent à partir du … [24 mois après la date d'entrée en vigueur du présent règlement].

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à …, le

Par le Parlement européen Par le Conseil

Le président Le président

ANNEXE

EXIGENCES AUXQUELLES DOIVENT SATISFAIRE LES ORGANISMES D'ÉVALUATION DE LA CONFORMITÉ

Les organismes d'évaluation de la conformité qui souhaitent être accrédités satisfont aux exigences suivantes:

1.  Un organisme d'évaluation de la conformité est constitué en vertu du droit national et possède la personnalité juridique.

2.  Un organisme d'évaluation de la conformité est un organisme tiers qui est indépendant de l'organisation ou des produits TIC, services TIC ou processus TIC qu'il évalue.

3.  Un organisme appartenant à une association d'entreprises ou à une fédération professionnelle qui représente des entreprises participant à la conception, à la fabrication, à la fourniture, à l'assemblage, à l'utilisation ou à l'entretien des produits TIC, services TIC ou processus TIC qu'il évalue peut être considéré comme un organisme d'évaluation de la conformité à condition que son indépendance et que l'absence de tout conflit d'intérêts soient démontrées.

4.  Les organismes d'évaluation de la conformité, leurs cadres supérieurs et les personnes chargées d'exécuter les tâches d'évaluation de la conformité ne peuvent être ni le concepteur, le fabricant, le fournisseur, l'installateur, l'acheteur, le propriétaire, l'utilisateur ou le responsable de l'entretien du produit TIC, service TIC ou processus TIC qui est évalué, ni le mandataire d'aucune de ces parties. Cette interdiction n'exclut pas l'utilisation des produits TIC évalués qui sont nécessaires au fonctionnement de l'organisme d'évaluation de la conformité ou l'utilisation de ces produits TIC à des fins personnelles.

5.  Les organismes d'évaluation de la conformité, leurs cadres supérieurs et les personnes chargées d'exécuter les tâches d'évaluation de la conformité ne peuvent intervenir, ni directement ni comme mandataires, dans la conception, la fabrication ou la construction, la commercialisation, l'installation, l'utilisation ou l'entretien des produits TIC, services TIC ou processus TIC. Les organismes d'évaluation de la conformité, leurs cadres supérieurs et les personnes chargées d'exécuter les tâches d'évaluation de la conformité ne peuvent participer à aucune activité qui peut entrer en conflit avec l'indépendance de leur jugement ou leur intégrité en ce qui concerne leurs activités d'évaluation de la conformité. Cette interdiction s’applique, en particulier pour les services de conseil.

6.  Si un organisme d'évaluation de la conformité appartient à une entité ou à une institution publique, ou est géré par une telle entité ou institution, l'indépendance de l'autorité nationale de certification de cybersécurité et de l'organisme d'évaluation de la conformité et l'absence de conflit d'intérêts entre ces deux instances sont garanties et documentées.

7.  Les organismes d'évaluation de la conformité veillent à ce que les activités de leurs filiales et sous-traitants n'aient pas d'incidence sur la confidentialité, l'objectivité ou l'impartialité de leurs activités d'évaluation de la conformité.

8.  Les organismes d'évaluation de la conformité et leur personnel accomplissent les activités d'évaluation de la conformité avec la plus haute intégrité professionnelle et la compétence technique requise dans le domaine spécifique et sont à l'abri de toute pression ou incitation susceptible d'influencer leur jugement ou les résultats de leurs travaux d'évaluation de la conformité, notamment des pression ou incitations d'ordre financier, en particulier de la part de personnes ou de groupes de personnes intéressés par ces résultats.

9.  Un organisme d'évaluation de la conformité est capable d'exécuter toutes les tâches d'évaluation de la conformité qui lui ont été assignées au titre du présent règlement, que ces tâches soient exécutées par l'organisme d'évaluation de la conformité lui-même ou en son nom et sous sa responsabilité. Toute sous-traitance ou consultation de personnel externe est documentée de manière appropriée, ne fait intervenir aucun intermédiaire et fait l'objet d'un accord écrit couvrant, entre autres, la confidentialité et les conflits d'intérêts. L'organisme d'évaluation de la conformité en question assume la responsabilité des tâches accomplies.

10.  En toutes circonstances et pour chaque procédure d'évaluation de la conformité, ainsi que pour chaque type ou catégorie ou sous-catégorie de produits TIC, services TIC ou processus TIC, un organisme d'évaluation de la conformité dispose à suffisance:

a)  du personnel requis ayant les connaissances techniques et l'expérience suffisante et appropriée pour exécuter les tâches d'évaluation de la conformité;

b)  de descriptions des procédures à suivre pour effectuer l'évaluation de la conformité, afin de garantir la transparence et la reproductibilité de ces procédures. Il se dote de politiques et de procédures appropriées faisant la distinction entre les tâches qu'il exécute en tant qu'organisme notifié en vertu de l'article 61 et ses autres activités;

c)  de procédures pour accomplir ses activités qui tiennent dûment compte de la taille des entreprises, du secteur dans lequel elles exercent leurs activités, de leur structure, du degré de complexité de la technologie du produit TIC, service TIC ou processus TIC en question et de la nature, en masse ou en série, du processus de production.

11.  Un organisme d'évaluation de la conformité se dote des moyens nécessaires à la bonne exécution des tâches techniques et administratives liées aux activités d'évaluation de la conformité et a accès à tous les équipements et installations nécessaires.

12.  Les personnes chargées d'effectuer des activités d'évaluation de la conformité possèdent:

a)  une solide formation technique et professionnelle couvrant toutes les activités d'évaluation de la conformité;

b)  une connaissance satisfaisante des exigences applicables aux évaluations de conformité auxquelles elles procèdent et l'autorité nécessaire pour effectuer ces évaluations;

c)  une connaissance et une compréhension adéquates des exigences et des normes d'essai applicables;

d)  l'aptitude à rédiger les attestations, procès-verbaux et rapports qui prouvent que des évaluations de conformité ont été effectuées.

13.  L'impartialité des organismes d'évaluation de la conformité, de leurs cadres supérieurs, des personnes chargées de l'exécution des activités d'évaluation de la conformité et de tout sous-traitant est garantie.

14.  La rémunération des cadres supérieurs et des personnes chargées de l'exécution des activités d'évaluation de la conformité ne dépend pas du nombre d'évaluations de la conformité effectuées ni de leurs résultats.

15.  Les organismes d'évaluation de la conformité souscrivent une assurance couvrant leur responsabilité civile, à moins que cette responsabilité ne soit assumée par l'État membre conformément à son droit national ou que l'évaluation de la conformité ne soit effectuée sous la responsabilité directe de l'État membre.

16.  L'organisme d'évaluation de la conformité et son personnel, ses comités, ses filiales, ses sous-traitants et tout organisme associé ainsi que le personnel des organes externes d'un organisme d'évaluation de la conformité assurent le respect de la confidentialité et sont liés par le secret professionnel pour toutes les informations obtenues dans l'exercice de leurs tâches d'évaluation de la conformité au titre du présent règlement ou de toute disposition de droit national donnant effet au présent règlement, sauf dans les cas où la communication d’informations est requise par le droit de l'Union ou de l'État membre auquel ces personnes sont soumises, et sauf à l'égard des autorités compétentes de l'État membre où il exerce ses activités. Les droits de propriété intellectuelles sont protégés. L'organisme d'évaluation de la conformité possède des procédures documentées concernant les exigences du présent point.

17.  À l'exception du point 16, les exigences de la présente annexe n'empêchent en rien les échanges d'informations techniques et d'orientations réglementaires entre un organisme d'évaluation de la conformité et une personne qui introduit une demande de certification ou envisage de le faire.

18.  Les organismes d'évaluation de la conformité agissent conformément à un ensemble conditions cohérentes, justes et raisonnables, en tenant compte des intérêts des PME pour ce qui est des redevances.

19.  Les organismes d'évaluation de la conformité respectent les exigences de la norme pertinente qui est harmonisée au titre du règlement (CE) n° 765/2008 en ce qui concerne l'accréditation des organismes d'évaluation de la conformité qui effectuent la certification de produits TIC, services TIC ou processus TIC.

20.  Les organismes d'évaluation de la conformité veillent à ce que les laboratoires d'essai auxquels il est fait appel à des fins d'évaluation de la conformité respectent les exigences de la norme pertinente qui est harmonisée au titre du règlement (CE) n° 765/2008 en ce qui concerne l'accréditation de laboratoires qui réalisent des essais.

(1) JO C 227 du 28.6.2018, p. 86.
(2) JO C 176 du 23.5.2018, p. 29.
(3)JO C 227 du 28.6.2018, p. 86.
(4)JO C 176 du 23.5.2018, p. 29.
(5) Position du Parlement européen du 12 mars 2019.
(6) Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).
(7) Règlement (UE) n° 526/2013 du Parlement européen et du Conseil du 21 mai 2013 concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et abrogeant le règlement (CE) n° 460/2004 (JO L 165 du 18.6.2013, p. 41).
(8)Règlement (CE) n° 460/2004 du Parlement européen et du Conseil du 10 mars 2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information (JO L 77 du 13.3.2004, p. 1).
(9)Règlement (CE) n° 1007/2008 du Parlement européen et du Conseil du 24 septembre 2008 modifiant le règlement (CE) n° 460/2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information en ce qui concerne sa durée (JO L 293 du 31.10.2008, p. 1).
(10)Règlement (UE) n° 580/2011 du Parlement européen et du Conseil du 8 juin 2011 modifiant le règlement (CE) n° 460/2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information en ce qui concerne sa durée (JO L 165 du 24.6.2011, p. 3).
(11) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (JO L 194 du 19.7.2016, p. 1).
(12) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)(JO L 119 du 4.5.2016, p. 1).
(13) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201, 31.7.2002, p.37).
(14) Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (JO L 321 du 17.12.2018, p. 36).
(15) Décision (2004/97/CE,Euratom) prise du commun accord des représentants des États membres réunis au niveau des chefs d'État ou de gouvernement du 13 décembre 2003 relative à la fixation des sièges de certains organismes de l'Union européenne (JO L 29 du 3.2.2004, p. 15).
(16) JO C 12 du 13.1.2018, p. 1.
(17) Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).
(18) Règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil (JO L 218 du 13.8.2008, p. 30).
(19)Règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).
(20)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(21) Règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).
(22) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information (JO L 241 du 17.9.2015, p. 1).
(23) Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE (JO L 94 du 28.3.2014, p. 65).
(24) Règlement (UE) n° 182/2011 du Parlement Européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(25) Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73).
(26) JO L 56 du 4.3.1968, p. 1.
(27)Règlement délégué (UE) n° 1271/2013 de la Commission du 30 septembre 2013 portant règlement financier-cadre des organismes visés à l'article 208 du règlement (UE, Euratom) n° 966/2012 du Parlement européen et du Conseil (JO L 328 du 7.12.2013, p. 42).
(28)Décision (UE, Euratom) 2015/443 de la Commission du 13 mars 2015 relative à la sécurité au sein de la Commission (JO L 72 du 17.3.2015, p. 41).
(29)Décision (UE, Euratom) 2015/444 de la Commission du 13 mars 2015 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'Union européenne (JO L 72 du 17.3.2015, p. 53).
(30) Règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l’Union, modifiant les règlements (UE) n° 1296/2013, (UE) n° 1301/2013, (UE) n° 1303/2013, (UE) n° 1304/2013, (UE) n° 1309/2013, (UE) n° 1316/2013, (UE) n° 223/2014, (UE) n° 283/2014 et la décision n° 541/2014/UE, et abrogeant le règlement (UE, Euratom) n° 966/2012 (JO L 193 du 30.7.2018, p. 1).
(31)Règlement (UE, Euratom) n° 883/2013 du Parlement européen et du Conseil du 11 septembre 2013 relatif aux enquêtes effectuées par l'Office européen de lutte antifraude (OLAF) et abrogeant le règlement (CE) n° 1073/1999 du Parlement européen et du Conseil et le règlement (Euratom) n° 1074/1999 du Conseil (JO L 248 du 18.9.2013, p. 1).
(32) JO L 136 du 31.5.1999, p. 15.
(33)Règlement (Euratom, CE) n° 2185/96 du Conseil du 11 novembre 1996 relatif aux contrôles et vérifications sur place effectués par la Commission pour la protection des intérêts financiers des Communautés européennes contre les fraudes et autres irrégularités (JO L 292 du 15.11.1996, p. 2).
(34) Règlement n° 1 du Conseil portant fixation du régime linguistique de la Communauté économique européenne (JO 17 du 6.10.1958, p. 385).


Pratiques commerciales déloyales dans les relations interentreprises dans la chaîne agro-alimentaire ***I
PDF 426kWORD 79k
Résolution
Texte consolidé
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de directive du Parlement européen et du Conseil sur les pratiques commerciales déloyales dans les relations interentreprises au sein de la chaîne d’approvisionnement alimentaire (COM(2018)0173 – C8-0139/2018 – 2018/0082(COD))
P8_TA-PROV(2019)0152A8-0309/2018

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2018)0173),

–  vu l’article 294, paragraphe 2, et l’article 43, paragraphe 2, du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C8-0139/2018),

–  vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

–  vu l'avis motivé soumis par le Parlement suédois dans le cadre du protocole nº 2 sur l’application des principes de subsidiarité et de proportionnalité, déclarant que le projet d’acte législatif n’est pas conforme au principe de subsidiarité,

–  vu l’avis du Comité économique et social européen du 19 septembre 2018(1),

–  vu l'avis du Comité des régions du 4 juillet 2018(2),

–  vu l'accord provisoire approuvé en vertu de l’article 69 septies, paragraphe 4, de son règlement intérieur par la commission compétente et l’engagement pris par le représentant du Conseil, par lettre du 14 janvier 2019, d'approuver la position du Parlement européen, conformément à l'article 294, paragraphe 4, du traité sur le fonctionnement de l'Union européenne,

–  vu l’article 59 de son règlement intérieur,

–  vu le rapport de la commission de l’agriculture et du développement rural et les avis de la commission du marché intérieur et de la protection des consommateurs, de la commission du développement et de la commission de l’environnement, de la santé publique et de la sécurité alimentaire (A8-0309/2018),

1.  arrête la position en première lecture figurant ci-après;

2.  approuve sa déclaration annexée à la présente résolution;

3.  approuve la déclaration commune du Parlement européen, du Conseil et de la Commission annexée à la présente résolution;

4.  demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

5.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.

Position du Parlement européen arrêtée en première lecture le 12 mars 2019 en vue de l’adoption de la directive (UE) 2019/... du Parlement européen et du Conseil sur les pratiques commerciales déloyales dans les relations interentreprises au sein de la chaîne d'approvisionnement agricole et alimentaire

P8_TC1-COD(2018)0082


LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 43, paragraphe 2,

vu la proposition de la Commission européenne,

après transmission du projet d'acte législatif aux parlements nationaux,

vu l'avis du Comité économique et social européen(3),

vu l'avis du Comité des régions(4),

statuant conformément à la procédure législative ordinaire(5),

considérant ce qui suit:

(1)  Au sein de la chaîne d'approvisionnement agricole et alimentaire, les déséquilibres significatifs entre le pouvoir de négociation des fournisseurs de produits agricoles et alimentaires et celui des acheteurs de ces produits sont fréquents. Ces déséquilibres entre les pouvoirs de négociation sont susceptibles de conduire à des pratiques commerciales déloyales lorsque des partenaires commerciaux de plus grande taille et plus puissants essaient d'imposer certaines pratiques ou dispositions contractuelles qui leur sont favorables dans le cadre d'opérations de vente. De telles pratiques peuvent, par exemple, s'écarter nettement de la bonne conduite commerciale, être contraires à la bonne foi et à la loyauté et être imposées de manière unilatérale par un partenaire commercial à un autre, imposer un transfert injustifié et disproportionné d'un risque économique d'un partenaire commercial à un autre; ou imposer à un partenaire commercial un déséquilibre significatif des droits et obligations. Certaines pratiques peuvent être manifestement déloyales même lorsqu'elles ont fait l'objet d'un accord entre les deux parties. Il convient d'instaurer au niveau de l'Union une norme minimale de protection contre les pratiques commerciales déloyales afin de réduire la fréquence de ces pratiques qui sont susceptibles d'avoir des conséquences négatives sur le niveau de vie de la population agricole. L'approche fondée sur une harmonisation minimale retenue par la présente directive permet aux États membres d'adopter ou de maintenir des règles nationales portant sur d'autres pratiques commerciales déloyales que celles énumérées dans la présente directive.

(2)  Depuis 2009, la Commission a fait paraître trois publications (la communication de la Commission du 28 octobre 2009 relative à une chaîne d'approvisionnement alimentaire plus performante en Europe, la communication de la Commission du 15 juillet 2014 portant sur la lutte contre des pratiques commerciales déloyales dans la chaîne d'approvisionnement alimentaire interentreprises et le rapport de la Commission du 29 janvier 2016 sur les pratiques commerciales déloyales interentreprises dans la chaîne d'approvisionnement alimentaire) axées sur le fonctionnement de la chaîne d'approvisionnement alimentaire, notamment sur le recours à des pratiques commerciales déloyales. ▌La Commission a proposé que les dispositifs de gouvernance mis en place au niveau national ou à titre facultatif incorporent certaines caractéristiques qu'elle juge souhaitables pour lutter contre les pratiques commerciales déloyales dans la chaîne d'approvisionnement alimentaire. Ces caractéristiques n'ayant pas été intégrées dans leur ensemble au cadre juridique ou aux régimes de gouvernance facultatifs des États membres, l'existence de telles pratiques reste au cœur du débat politique dans l'Union.

(3)  En 2011, le forum à haut niveau sur l'amélioration du fonctionnement de la chaîne d'approvisionnement alimentaire, piloté par la Commission, a approuvé un ensemble de principes de bonnes pratiques relatives aux relations verticales dans la chaîne d'approvisionnement alimentaire, qui ont été arrêtés par des organisations représentant la majorité des opérateurs de la chaîne d'approvisionnement alimentaire. Ces principes ont servi de base à l'initiative relative à la chaîne d'approvisionnement lancée en 2013.

(4)  Le Parlement européen, dans sa résolution du7 juin 2016 sur les pratiques commerciales déloyales dans la chaîne d'approvisionnement alimentaire, a invité la Commission à présenter une proposition de cadre juridique au niveau de l'Union en ce qui concerne les pratiques commerciales déloyales. Le Conseil, dans ses conclusions du 12 décembre 2016 sur le renforcement de la position des agriculteurs dans la chaîne d'approvisionnement alimentaire et la lutte contre les pratiques commerciales déloyales, a invité la Commission à entreprendre, en temps utile, une analyse d'impact en vue de proposer un cadre législatif de l'Union ou d'autres mesures non législatives pour lutter contre les pratiques commerciales déloyales. Une analyse d'impact a été réalisée par la Commission, précédée d'une consultation publique ouverte et de consultations ciblées. En outre, au cours du processus législatif, la Commission a fourni des informations démontrant que les opérateurs de grande taille représentent une part considérable de la valeur globale de la production.

(5)  Différents opérateurs sont présents dans la chaîne d'approvisionnement agricole et alimentaire aux différents stades de la production, de la transformation, de la commercialisation, de la distribution et de la vente au détail des produits agricoles et alimentaires. Cette chaîne est de loin le canal le plus utilisé pour acheminer les produits agricoles et alimentaires de la ferme à la table. Ces opérateurs commercialisent des produits agricoles et alimentaires, c'est-à-dire des produits agricoles primaires, y compris les produits de la pêche et de l'aquaculture énumérés à l'annexe I du traité sur le fonctionnement de l'Union européenne ▌et des produits ▌ne figurant pas dans ladite annexe, mais qui sont transformés en vue d'être utilisés dans l'alimentation humaine en recourant à des produits énumérés dans ladite annexe.

(6)  Si le risque commercial est inhérent à toute activité économique, la production agricole est particulièrement chargée d'incertitude, du fait de sa dépendance à l'égard des processus biologiques et de son exposition aux conditions météorologiques. Cette incertitude est renforcée par le fait que les produits agricoles et alimentaires sont dans une plus ou moins large mesure périssables et saisonniers ▌. Dans le contexte d'une politique agricole nettement plus axée sur le marché que par le passé, la protection contre les pratiques commerciales déloyales revêt désormais une importance accrue pour les opérateurs présents dans la chaîne d'approvisionnement agricole et alimentaire ▌.

(7)  En particulier, les pratiques commerciales déloyales sont susceptibles d'avoir des conséquences négatives sur le niveau de vie de la population agricole. Ces conséquences peuvent être soit directes, dans la mesure où elles touchent les producteurs agricoles et leurs organisations en tant que fournisseurs, soit indirectes du fait d'un effet domino des conséquences des pratiques commerciales déloyales dans la chaîne d'approvisionnement agricole et alimentaire qui affectent les producteurs primaires de cette chaîne.

(8)  Une majorité d'États membres, mais pas tous, disposent de règles nationales spécifiques qui protègent les fournisseurs contre les pratiques commerciales déloyales dans les relations interentreprises au sein de la chaîne d'approvisionnement agricole et alimentaire. Dans les cas où il est possible d'invoquer le droit des contrats ou des initiatives d'autorégulation, la crainte de représailles commerciales à l'encontre d'un plaignant ainsi que les risques financiers encourus en contestant ces pratiques limitent l'utilité concrète de ces formes de recours. Certains États membres qui disposent de règles spécifiques en matière de pratiques commerciales déloyales confient donc aux autorités administratives la responsabilité de les faire appliquer. Or, lorsqu'elles existent, les règles définies par les États membres en matière de pratiques commerciales déloyales présentent de grandes divergences.

(9)  Le nombre et la taille des opérateurs varient selon les différents stades de la chaîne d'approvisionnement agricole et alimentaire. Les différences de pouvoir de négociation correspondent à la dépendance économique du fournisseur vis-à-vis de l'acheteur, peuvent amener des opérateurs de plus grande taille à imposer des pratiques commerciales déloyales à des opérateurs plus petits. Une approche dynamique, qui est fondée sur la taille relative du fournisseur et de l'acheteur en termes de chiffre d'affaires annuel, devrait garantir aux opérateurs qui en ont le plus besoin une meilleure protection à l'égard des pratiques commerciales déloyales. Les pratiques commerciales déloyales sont particulièrement préjudiciables aux petites et moyennes entreprises (PME) de la chaîne d'approvisionnement agricole et alimentaire. Des entreprises plus grandes que des PME mais dont le chiffre d'affaires annuel ne dépasse pas 350 000 000 EUR devraient elles aussi être protégées contre les pratiques commerciales déloyales afin d'éviter que les coûts de telles pratiques ne soient répercutés sur les producteurs agricoles. L'effet domino sur les producteurs agricoles semble particulièrement important pour les entreprises dont le chiffre d'affaires annuel ne dépasse pas 350 000 000 EUR. La protection des fournisseurs intermédiaires de produits agricoles et alimentaires, y compris des produits transformés, peut également servir à éviter une réorientation des flux commerciaux, qui conduiraient à délaisser les producteurs agricoles et leurs associations qui produisent des produits transformés au profit de fournisseurs non protégés.

(10)  La protection prévue par la présente directive devrait bénéficier aux producteurs agricoles et aux personnes physiques ou morales qui fournissent des produits agricoles et alimentaires, y compris les organisations de producteurs, reconnues ou non, et les associations d'organisations de producteurs, reconnues ou non, en fonction de leur pouvoir de négociation relatif. Ces organisations de producteurs et ces associations d'organisations de producteurs incluent les coopératives. Ces producteurs et personnes sont particulièrement vulnérables aux pratiques commerciales déloyales et moins à même d'y faire face sans que leur viabilité économique en pâtisse. Pour ce qui est des catégories de fournisseurs qui devraient bénéficier d'une protection au titre de la présente directive, il y a lieu de noter qu'une proportion significative des coopératives composées d'agriculteurs sont des entreprises plus grandes que des PME dont le chiffre d'affaires annuel ne dépasse pas 350 000 000 EUR.

(11)  La présente directive devrait régir les transactions commerciales, qu'elles s'effectuent ou non entre entreprises ou entre des entreprises et des autorités publiques, étant donné que les autorités publiques, lorsqu'elles achètent des produits agricoles et alimentaires, devraient être soumises aux mêmes normes. La présente directive devrait s'appliquer à toutes les autorités publiques agissant en tant qu'acteurs.

(12)  Les fournisseurs établis dans l'Union devraient être protégés non seulement contre les pratiques commerciales déloyales des acheteurs qui sont établis dans le même État membre que le fournisseur ou dans un État membre différent de celui du fournisseur, mais aussi contre les pratiques commerciales déloyales des acheteurs établis à l'extérieur de l'Union. Une telle protection permettrait d'éviter d'éventuels effets indésirables, tels que le choix du lieu d'établissement en fonction des règles applicables. Les fournisseurs établis à l'extérieur de l'Union devraient également bénéficier d'une protection contre les pratiques commerciales déloyales lorsqu'ils vendent des produits agricoles et alimentaires à l'intérieur de l'Union. Non seulement ces fournisseurs sont susceptibles d'être tout autant vulnérables à ce genre de pratiques commerciales déloyales mais une protection plus large pourrait également éviter une réorientation non désirée des flux commerciaux vers des fournisseurs non protégés qui anéantirait la protection des fournisseurs à l'intérieur de l'Union.

(13)  Le champ d'application de la présente directive devrait inclure certains services qui sont auxiliaires à la vente de produits agricoles et alimentaires.

(14)  Il convient que la présente directive s'applique au comportement commercial des opérateurs de plus grande taille à l'encontre des opérateurs qui ont un pouvoir de négociation moins important. Le chiffre d'affaires annuel des différents opérateurs constitue une estimation adéquate de leur pouvoir de négociation relatif. Même s'il ne s'agit que d'une estimation, ce critère assure une prévisibilité aux opérateurs quant à leurs droits et obligations au titre de la présente directive. Une limite supérieure devrait permettre d'éviter qu'une protection soit accordée aux opérateurs qui ne sont pas vulnérables ou beaucoup moins vulnérables que leurs partenaires ou concurrents de plus petite taille. C'est pourquoi la présente directive établit des catégories d'opérateurs en fonction de leur chiffre d'affaires auxquelles une protection est accordée.

(15)  Les pratiques commerciales déloyales pouvant survenir à tous les stades de la vente d'un produit agricole ou alimentaire, ▌avant, pendant ou après une opération de vente, les États membres devraient veiller à ce que la présente directive s'applique à ces pratiques quel que soit le moment où elles se produisent.

(16)  Lorsqu'il s'agit de décider s'il y a lieu de considérer une pratique commerciale donnée comme déloyale, il importe de réduire le risque de limiter le recours par les parties à des accords équitables et source d'efficacité. En conséquence, il convient d'établir une distinction entre les pratiques qui sont prévues en termes clairs et dépourvus d'ambiguïté dans les accords de fourniture ou des accords ultérieurs entre les parties et les pratiques qui surviennent après que l'opération a commencé, sans qu'elles aient été convenues à l'avance, afin que seules les modifications apportées unilatéralement et rétroactivement aux termes clairs et dépourvus d'ambiguïté de l'accord de fourniture soient interdites. Toutefois, certaines pratiques commerciales sont considérées comme déloyales par leur nature même et ne devraient pas relever de la liberté contractuelle des parties ▌.

(17)  Les retards de paiement concernant des produits agricoles et alimentaires, y compris les retards de paiement concernant des produits périssables, et les annulations à brève échéance de commandes de produits périssables ont une incidence négative sur la viabilité économique du fournisseur, sans qu'il y ait compensation. Il y a donc lieu d'interdire de telles pratiques. À cet égard, il convient de fournir une définition des produits agricoles et alimentaires périssables aux fins de la présente directive. Les définitions utilisées dans les actes de l'Union relatifs à la législation sur les denrées alimentaires poursuivent des objectifs différents, tels que la santé et la sécurité des aliments, et ne sont donc pas appropriées aux fins de la présente directive. Un produit devrait être considéré comme périssable lorsque l'on peut s'attendre à ce qu'il devienne impropre à la vente dans un délai de trente jours à compter de la dernière étape de la récolte, de la production ou de la transformation par le fournisseur, que le produit fasse ou non l'objet d'une transformation après la vente et indépendamment du fait qu'il soit ou non traité après la vente, conformément à d'autres règles, en particulier des règles relatives à la sécurité des aliments.

Les produits périssables sont normalement utilisés ou vendus rapidement. Un paiement de produits périssables effectué plus de trente jours après la livraison ou, lorsque les produits sont livrés de manière régulière, trente jours après l'expiration d'un délai de livraison convenu, ou trente jours après la date d'établissement du montant à payer, ne constitue pas un paiement compatible avec des pratiques commerciales loyales. Afin d'assurer une plus grande protection des agriculteurs et de leurs liquidités, les fournisseurs d'autres produits agricoles et alimentaires ne devraient pas être obligés d'attendre le paiement plus de soixante jours après la livraison ou, lorsque les produits sont livrés de manière régulière, soixante jours après l'expiration d'un délai de livraison convenu, ou soixante jours après la date d'établissement du montant à payer. Ces limitations ne devraient s'appliquer qu'aux paiements liés à la vente de produits agricoles et alimentaires, et non à d'autres paiements tels que les paiements supplémentaires d'une coopérative à ses membres. Conformément à la directive 2011/7/UE du Parlement européen et du Conseil(6), la date d'établissement du montant à payer, dans le cas d'un délai de livraison convenu, devrait également pouvoir être considérée, aux fins de la présente directive, comme la date d'émission de la facture ou la date de sa réception par l'acheteur.

(18)  Les dispositions relatives au retard de paiement prévues par la présente directive constituent des règles spécifiques pour le secteur agricole et alimentaire au regard des dispositions sur les délais de paiement fixées par la directive 2011/7/UE. Les dispositions relatives au retard de paiement prévues par la présente directive ne devraient pas porter atteinte aux accords concernant des clauses de répartition de la valeur au sens de l'article 172 bis du règlement (UE) nº 1308/2013 du Parlement européen et du Conseil(7). Afin de préserver le bon fonctionnement du programme à destination des écoles conformément à l'article 23 du règlement (UE) n° 1308/2013, les dispositions relatives au retard de paiement prévues par la présente directive ne devraient pas s'appliquer aux paiements effectués par un acheteur (c'est-à-dire un demandeur d'aide) à un fournisseur dans le cadre du programme destiné aux écoles. Compte tenu de la nécessité pour les entités publiques dispensant des soins de santé de fixer des priorités parmi les soins de santé de manière à établir un équilibre entre les besoins des patients individuels et les ressources financières, ces dispositions ne devraient pas s'appliquer non plus aux entités publiques dispensant des soins de santé au sens de l'article 4, paragraphe 4, point b), de la directive 2011/7/UE.

(19)  Le raisin et le moût destinés à la production de vin ont des caractéristiques spécifiques parce que les raisins sont récoltés uniquement durant une très courte période de l'année, mais sont utilisés pour produire du vin qui, dans certains cas, ne sera vendu qu’après plusieurs années. Afin de gérer cette situation particulière, les organisations de producteurs et les organisations interprofessionnelles ont en général élaboré des contrats types pour la fourniture de ces produits. De tels contrats types prévoient des délais de paiement spécifiques par tranches. Étant donné que ces contrats types sont utilisés par les fournisseurs et les acheteurs dans le cadre d'accords pluriannuels, ils assurent aux producteurs agricoles non seulement la sécurité de relations commerciales durables mais contribuent également à la stabilité de la chaîne d'approvisionnement. Lorsque ces contrats types ont été élaborés par une organisation de producteurs reconnue, une organisation interprofessionnelle reconnue ou une association d'organisations de producteurs reconnue, et ont été rendus obligatoires par un État membre conformément à l'article 164 du règlement (UE) n° 1308/2013 ("extension") avant le 1er janvier 2019, ou lorsque l'extension de contrats types est renouvelée par les États membres sans modification significative des conditions de paiement au détriment des fournisseurs de raisins et de moût, les dispositions relatives au retard de paiement prévues par la présente directive ne devraient pas s'appliquer à ces contrats entre les fournisseurs de raisins et de moût destinés à la production de vin et leurs acheteurs directs. En vertu de l'article 164, paragraphe 6, du règlement (UE) n° 1308/2013, les États membres sont tenus de notifier à la Commission les accords respectifs conclus par des organisations de producteurs reconnues, des organisations interprofessionnelles reconnues et des associations d'organisations de producteurs reconnues.

(20)  Les annulations de commandes concernant des produits périssables notifiées dans un délai inférieur à trente jours devraient être considérées comme déloyales, étant donné que le fournisseur ne serait pas en mesure de trouver d'autres débouchés pour ces produits. Toutefois, pour les produits de certains secteurs, des annulations à échéance encore plus brève pourraient laisser suffisamment de temps aux fournisseurs pour vendre leurs produits ailleurs ou les utiliser eux-mêmes. Les États membres devraient donc être autorisés à prévoir des délais d'annulation plus courts pour ces secteurs, dans des cas dûment justifiés.

(21)  Les acheteurs plus puissants ne devraient pas modifier unilatéralement des conditions contractuelles qui ont été approuvées, comme par exemple déréférencer des produits couverts par un accord de fourniture. Toutefois, ceci ne devrait pas s'appliquer aux situations dans lesquelles un accord passé entre un fournisseur et un acheteur stipule expressément que l'acheteur peut préciser à un stade ultérieur un élément particulier de la transaction concernant des commandes futures. Il peut s'agir par exemple des quantités commandées. Tous les aspects d'une transaction entre le fournisseur et l'acheteur ne sont pas nécessairement décidés au moment de la conclusion de l'accord.

(22)  Les fournisseurs et les acheteurs de produits agricoles et alimentaires devraient pouvoir négocier librement des opérations de vente, y compris les prix. Ces négociations portent également sur le paiement de services fournis par l'acheteur au fournisseur, tels que le référencement, la commercialisation et la promotion. Toutefois, lorsqu'un acheteur facture au fournisseur des montants qui ne sont pas liés à une opération de vente spécifique, il y a lieu de considérer cette pratique comme déloyale et de l'interdire en vertu de la présente directive.

(23)  Si le recours à des contrats écrits ne devrait pas être obligatoire, leur utilisation dans la chaîne d'approvisionnement agricole et alimentaire peut contribuer à éviter certaines pratiques commerciales déloyales. Dès lors, et afin qu'ils puissent être protégés de ces pratiques déloyales, les fournisseurs ou leurs associations devraient avoir le droit de demander une confirmation écrite des conditions d'un accord de fourniture lorsque ces conditions ont déjà été convenues. Dans ces cas, le refus, par un acheteur, de confirmer par écrit les conditions de l'accord de fourniture, devrait être considéré comme une pratique commerciale déloyale et être interdite. En outre, les États membres pourraient recenser, partager et encourager les bonnes pratiques en ce qui concerne la conclusion de contrats à long terme, dans le but de renforcer le pouvoir de négociation des producteurs dans la chaîne d'approvisionnement agricole et alimentaire.

(24)  La présente directive n'harmonise pas les règles concernant la charge de la preuve à appliquer dans le cadre des procédures portées devant les autorités d'application nationales et n'harmonise pas non plus la définition des accords de fourniture. En conséquence, les règles concernant la charge de la preuve et la définition des accords de fourniture sont celles fixées par le droit national des États membres.

(25)  En vertu de la présente directive, les fournisseurs devraient pouvoir déposer plainte contre certaines pratiques commerciales déloyales. Les représailles commerciales exercées par des acheteurs à l’encontre de fournisseurs qui exercent leurs droits ou la menace de telles représailles, par exemple déréférencer des produits, réduire des quantités de produits commandés ou interrompre certains services que l'acheteur offre au fournisseur, tels que la commercialisation ou des promotions sur les produits du fournisseur, devraient être interdites et considérées comme une pratique commerciale déloyale.

(26)  Les coûts résultant du stockage, de l'exposition ou du référencement des produits agricoles et alimentaires ou de la mise à disposition de ces produits sur le marché sont normalement supportés par l'acheteur. En conséquence, la présente directive devrait interdire qu'un fournisseur soit tenu de payer ces services, à l'acheteur ou à un tiers, à moins que le paiement ait été convenu dans des termes clairs et dépourvus d'ambiguïté lors de la conclusion de l'accord de fourniture ou dans tout accord ultérieur entre l'acheteur et le fournisseur. Lorsqu'un tel paiement a été convenu, il devrait être fondé sur des estimations objectives et raisonnables.

(27)  Afin que la contribution d'un fournisseur aux coûts résultant de la promotion des produits agricoles et alimentaires, de leur commercialisation ou de la publicité les concernant, y compris l'exposition dans les magasins à des fins promotionnelles et les campagnes de vente, soit considérée comme loyale, il convient qu'elle soit convenue dans des termes clairs et dépourvus d'ambiguïté lors de la conclusion de l'accord de fourniture ou dans tout accord ultérieur entre l'acheteur et le fournisseur. Dans le cas contraire, elle devrait être interdite en vertu de la présente directive. Lorsqu'une telle contribution a été convenue, elle devrait être fondée sur des estimations objectives et raisonnables.

(28)  Il convient que les États membres désignent des autorités d'application de manière à garantir que les interdictions prévues par la présente directive sont effectivement respectées ▌. Ces autorités devraient être en mesure d'agir soit de leur propre initiative soit sur la base de plaintes déposées par des parties lésées par des pratiques commerciales déloyales dans la chaîne d'approvisionnement agricole et alimentaire, de plaintes émanant de lanceurs d'alerte ou de plaintes anonymes. Une autorité d'application pourrait estimer que les raisons ne sont pas suffisantes pour donner suite à une plainte. Ce constat pourrait également s'expliquer par des priorités administratives. Si l'autorité d'application estime qu'elle ne sera pas en mesure d'accorder la priorité à une plainte, elle devrait en informer le plaignant et justifier sa décision. Si un plaignant demande que son identité reste confidentielle par crainte de représailles commerciales, les autorités d'application des États membres devraient prendre les mesures appropriées.

(29)  Si un État membre dispose de plusieurs autorités d'application, il convient qu'il désigne un point de contact unique afin de faciliter une coopération efficace parmi les autorités d'application et avec la Commission.

(30)  Il peut s'avérer plus facile pour les fournisseurs d'adresser des plaintes à l'autorité d'application de leur État membre, pour des raisons linguistiques par exemple. Néanmoins, en termes d'application, le dépôt d'une plainte auprès de l'autorité d'application de l'État membre dans lequel est établi l'acheteur pourrait être plus efficace. Les fournisseurs devraient pouvoir choisir l'autorité à laquelle ils veulent adresser leurs plaintes.

(31)  Les plaintes déposées par les organisations de producteurs, d'autres organisations de fournisseurs et les associations de ces organisations, y compris les organisations représentatives, peuvent servir à protéger l'identité de membres de l'organisation qui ▌s'estiment lésés par des pratiques commerciales déloyales. D'autres organisations ayant un intérêt légitime à représenter les fournisseurs devraient également avoir le droit de déposer des plaintes, à la demande d'un fournisseur et dans l'intérêt de ce fournisseur, pour autant que ces organisations soient des personnes morales indépendantes sans but lucratif. Les autorités d'application des États membres devraient dès lors être en mesure de connaître des plaintes déposées par ces entités tout en protégeant les droits procéduraux de l'acheteur.

(32)  Afin de garantir que l'interdiction des pratiques commerciales déloyales soit effectivement appliquée, les autorités d'application désignées devraient disposer des ressources et de l'expertise nécessaires.

(33)  Les autorités d'application des États membres devraient disposer des pouvoirs et de l'expertise nécessaires pour réaliser des enquêtes. Les pouvoirs de ces autorités ne signifient pas qu'elles soient obligées d'en faire usage dans chacune des enquêtes qu'elles réalisent. Les pouvoirs des autorités d'application devraient, par exemple, leur permettre de collecter efficacement des informations factuelles et d'ordonner la cessation d'une pratique interdite, le cas échéant.

(34)   L'existence d'un pouvoir de dissuasion, tel que le pouvoir d'infliger des amendes et d'autres sanctions aussi efficaces ou d'engager une procédure dans ce but, par exemple auprès des tribunaux, ainsi que la publication des résultats de l'enquête, y compris la publication d'informations concernant les acheteurs qui ont commis des infractions, peut favoriser des changements de comportement et des solutions précontentieuses entre les parties et devrait donc compter parmi les pouvoirs des autorités d'application. Les amendes peuvent être particulièrement efficaces et dissuasives. Toutefois, l'autorité d'application devrait être en mesure de décider, dans chaque enquête, lequel de ses pouvoirs elle exercera et si elle infligera une amende ou une autre sanction aussi efficace ou engagera une procédure dans ce but.

(35)  L'exercice des pouvoirs conférés par la présente directive aux autorités d'application devrait être soumis à des garanties appropriées qui répondent aux exigences des principes généraux du droit de l'Union et de la Charte des droits fondamentaux de l'Union européenne, conformément à la jurisprudence de la Cour de justice de l'Union européenne, y compris en ce qui concerne le respect des droits de la défense de l'acheteur.

(36)   La Commission et les autorités d'application des États membres devraient coopérer étroitement de manière à garantir une approche commune à l'égard de la mise en œuvre des règles énoncées dans la présente directive. En particulier, les autorités d'application devraient se prêter mutuellement assistance, par exemple en échangeant des informations et en coopérant aux enquêtes qui ont une dimension transfrontalière.

(37)  Afin de faciliter une application effective, il convient que la Commission apporte son concours à l'organisation de réunions régulières entre les autorités d'application des États membres au cours desquelles ▌des informations utiles, des bonnes pratiques, des nouvelles évolutions, des pratiques en matière d'application et des recommandations relatives à l'application des dispositions prévues par la présente directive peuvent être partagées. ▌

(38)  Afin de faciliter ces échanges, la Commission devrait créer un site internet public qui contienne des références aux autorités d'application nationales, notamment des informations sur les mesures nationales qui transposent la présente directive.

(39)  Comme la majorité des États membres sont déjà dotés de règles nationales, quoique divergentes, en matière de pratiques commerciales déloyales, une directive constitue l'instrument approprié pour instaurer une norme minimale de protection régie par le droit de l'Union. Les États membres devraient ainsi pouvoir intégrer les règles pertinentes dans leur ordre juridique interne, de manière à instaurer des régimes cohérents. Il convient de ne pas interdire aux États membres de maintenir ou d'introduire sur leur territoire des règles nationales plus strictes garantissant un niveau de protection plus élevé contre les pratiques commerciales déloyales dans les relations interentreprises au sein de la chaîne d'approvisionnement agricole et alimentaire, dans les limites fixées par le droit de l'Union applicable au fonctionnement du marché intérieur, à condition que ces règles soient proportionnées.

(40)  Les États membres devraient également pouvoir maintenir ou introduire des règles nationales visant à lutter contre les pratiques commerciales déloyales qui ne relèvent pas du champ d'application de la présente directive, dans les limites fixées par le droit de l'Union applicable au fonctionnement du marché intérieur, à condition que ces règles soient proportionnées. Ces règles nationales pourraient aller au-delà de la présente directive, par exemple en ce qui concerne la taille des acheteurs et des fournisseurs, la protection des acheteurs ou l'éventail des produits et des services. Ces règles nationales pourraient également porter sur un plus grand nombre et d'autres types de pratiques commerciales déloyales interdites énumérées dans la présente directive.

(41)  Ces règles nationales s'appliqueraient parallèlement aux mesures de gouvernance facultatives, telles que les codes de conduite nationaux ou l'initiative relative à la chaîne d'approvisionnement. Le recours volontaire au règlement extrajudiciaire des litiges entre fournisseurs et acheteurs devrait être encouragé de manière explicite sans préjudice du droit qu'a le fournisseur de déposer des plaintes ou de s'adresser à des juridictions de droit civil.

(42)  Il convient que la Commission dispose d'une vue d'ensemble de la mise en œuvre de la présente directive dans les États membres. En outre, la Commission devrait être en mesure d'évaluer l'efficacité de la présente directive. À cette fin, les autorités d'application des États membres devraient soumettre des rapports annuels à la Commission. Ces rapports devraient, le cas échéant, fournir des informations quantitatives et qualitatives concernant les plaintes, les enquêtes et les décisions prises. Afin d'assurer des conditions uniformes d'exécution de l'obligation en matière de rapports, il convient de conférer des compétences d'exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil(8).

(43)  Afin de favoriser une application effective de la politique concernant les pratiques commerciales déloyales dans les relations interentreprises au sein de la chaîne d'approvisionnement agricole et alimentaire, il convient que la Commission examine l'application de la présente directive et soumette un rapport au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Cet examen devrait permettre d'évaluer en particulier l'efficacité des mesures prises au niveau national pour lutter contre les pratiques commerciales déloyales au sein de la chaîne d'approvisionnement agricole et alimentaire ainsi que l'efficacité de la coopération entre les autorités d'application. Il devrait par ailleurs porter plus particulièrement sur la question de savoir si, outre la protection des ▌fournisseurs, il serait justifié de protéger à l'avenir les ▌acheteurs de produits agricoles et alimentaires au sein de la chaîne d'approvisionnement. Le rapport devrait être accompagné, le cas échéant, de propositions législatives.

(44)  Étant donné que l'objectif de la présente directive, à savoir l'instauration, au niveau de l'Union, d'une norme minimale de protection par l'harmonisation des mesures divergentes qui existent dans les États membres en matière de pratiques commerciales déloyales, ne peut pas être atteint de manière suffisante par les États membres mais peuvent, en raison de sa dimension et de ses effets, l'être mieux au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, la présente directive n'excède pas ce qui est nécessaire pour atteindre cet objectif,

ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:

Article premier

Objet et champ d'application

1.  Afin de lutter contre des pratiques qui s'écartent nettement de la bonne conduite commerciale, sont contraires à la bonne foi et à la loyauté et sont imposées de manière unilatérale par un partenaire commercial à un autre, la présente directive établit une liste minimale de pratiques commerciales déloyales interdites dans les relations entre acheteurs et fournisseurs dans la chaîne d'approvisionnement agricole et alimentaire, énonce des règles minimales concernant l'application de ces interdictions et prévoit des dispositions relatives à la coordination entre les autorités d'application.

2.  La présente directive s'applique à certaines pratiques commerciales déloyales qui interviennent dans le cadre de la vente de produits agricoles et alimentaires par:

a)  des fournisseurs dont le chiffre d'affaires annuel ne dépasse pas 2 000 000 EUR, à des acheteurs dont le chiffre d'affaires annuel dépasse 2 000 000 EUR;

b)  des fournisseurs dont le chiffre d'affaires annuel se situe entre 2 000 000 et 10 000 000 EUR, à des acheteurs dont le chiffre d'affaires annuel dépasse 10 000 000 EUR;

c)  des fournisseurs dont le chiffre d'affaires annuel se situe entre 10 000 000 et 50 000 000 EUR, à des acheteurs dont le chiffre d'affaires annuel dépasse 50 000 000 EUR;

d)  des fournisseurs dont le chiffre d'affaires annuel se situe entre 50 000 000 et 150 000 000 EUR, à des acheteurs dont le chiffre d'affaires annuel dépasse 150 000 000 EUR;

e)  des fournisseurs dont le chiffre d'affaires annuel se situe entre 150 000 000 et 350 000 000 EUR, à des acheteurs dont le chiffre d'affaires annuel dépasse 350 000 000 EUR.

Le chiffre d'affaires annuel des fournisseurs et des acheteurs visé au premier alinéa, points a) à e), s'entend conformément aux parties pertinentes de l'annexe à la recommandation 2003/361/CE de la Commission(9), et en particulier aux articles 3, 4 et 6 de cette annexe, y compris les définitions d'"entreprise autonome", "entreprise partenaire" et "entreprise liée", ainsi que d'autres questions relatives au chiffre d'affaires annuel.

Par dérogation au premier alinéa, la présente directive s'applique aux ventes de produits agricoles et alimentaires par des fournisseurs dont le chiffre d'affaires annuel ne dépasse pas 350 000 000 EUR à tous les acheteurs qui sont des autorités publiques. La présente directive s'applique aux ventes pour lesquelles soit le fournisseur, soit l'acheteur, ou les deux, sont établis dans l'Union.

La présente directive s'applique également aux services, pour autant qu'il y soit fait explicitement référence à l'article 3, fournis par un acheteur à un fournisseur.

La présente directive ne s'applique pas aux accords entre fournisseurs et consommateurs.

3.  La présente directive s'applique aux accords de fourniture conclus après la date d'application des mesures la transposant, conformément à l'article 13, paragraphe 1, deuxième alinéa.

4.  Les accords de fourniture conclus avant la date de publication des mesures transposant la présente directive conformément à l'article 13, paragraphe 1, premier alinéa, sont mis en conformité avec la présente directive dans un délai de douze mois à compter de cette date de publication.

Article 2

Définitions

Aux fins de la présente directive, on entend par:

1)  "produits agricoles et alimentaires": les produits énumérés à l'annexe I du traité sur le fonctionnement de l'Union européenne ▌, ainsi que les produits ne figurant pas dans ladite annexe, mais qui sont transformés en vue d'être utilisés dans l'alimentation humaine en recourant à des produits énumérés dans ladite annexe;

2)  "acheteur": toute personne physique ou morale, indépendamment du lieu d'établissement de cette personne, ou toute autorité publique dans l'Union, qui achète des produits agricoles et alimentaires ▌; le terme "acheteur" peut englober un groupe de personnes physiques et morales appartenant à cette catégorie;

3)  "autorité publique": les autorités nationales, régionales ou locales, les organismes de droit public ou les associations formées par une ou plusieurs de ces autorités ou un ou plusieurs de ces organismes de droit public;

4)  "fournisseur": tout producteur agricole ou toute personne physique ou morale, indépendamment de son lieu d'établissement, qui vend des produits agricoles et alimentaires; le terme "fournisseur" peut englober un groupe de producteurs agricoles ou de personnes physiques et morales appartenant à cette catégorie, tel que des organisations de producteurs, des organisations de fournisseurs et des associations de ces organisations;

5)  "produits agricoles et alimentaires périssables": des produits agricoles et alimentaires qui, de par leur nature ou à leur stade de transformation, sont susceptibles de devenir impropres à la vente dans un délai de trente jours après la récolte, la production ou la transformation.

Article 3

Interdiction de pratiques commerciales déloyales

1.  Les États membres veillent à ce qu'au moins toutes les pratiques commerciales déloyales suivantes soient interdites:

a)  l'acheteur paie le fournisseur ▌:

i)  lorsque l'accord de fourniture prévoit la livraison de produits de manière régulière:

—  pour les produits agricoles et alimentaires périssables, plus de trente jours après l'expiration d'un délai de livraison convenu au cours duquel les livraisons ont été effectuées, ou plus de trente jours après la date d'établissement du montant à payer pour ce délai de livraison, la plus tardive de ces deux dates étant retenue;

—  pour les autres produits agricoles et alimentaires, plus de soixante jours après l'expiration d'un délai de livraison convenu au cours duquel les livraisons ont été effectuées, ou plus de soixante jours après la date d'établissement du montant à payer pour ce délai de livraison, la plus tardive de ces deux dates étant retenue;

pour ce qui est des délais de paiement visés au présent point, les délais de livraison convenus s'entendent dans tous les cas comme ne dépassant pas un mois;

ii)  lorsque l'accord de fourniture ne prévoit pas la livraison de produits de manière régulière:

—  pour les produits agricoles et alimentaires périssables, plus de 30 jours après la date de livraison ou plus de 30 jours après la date d'établissement du montant à payer, la plus tardive de ces deux dates étant retenue;

—  pour les autres produits agricoles et alimentaires, plus de 60 jours après la date de livraison ou plus de 60 jours après la date d'établissement du montant à payer, la plus tardive de ces deux dates étant retenue.

—  Nonobstant les points i) et ii) du présent point, lorsque l'acheteur établit le montant à payer:

—  les délais de paiement visés au point i) commencent à courir à l'expiration d'un délai de livraison convenu au cours duquel les livraisons ont été effectuées; et

—  les délais de paiement visés au point ii) commencent à courir à compter de la date de livraison;

b)  l'acheteur annule des commandes de produits agricoles et alimentaires périssables à si brève échéance que l'on ne peut raisonnablement s'attendre à ce qu'un fournisseur trouve une autre solution pour commercialiser ou utiliser ces produits; un délai inférieur à 30 jours est toujours considéré comme une brève échéance; les États membres peuvent fixer des délais inférieurs à 30 jours pour des secteurs spécifiques et dans des cas dûment justifiés;

c)  l'acheteur modifie unilatéralement ▌les conditions d'un accord de fourniture de produits agricoles et alimentaires qui concernent la fréquence, la méthode, le lieu, le calendrier ou le volume des approvisionnements ou des livraisons de produits agricoles et alimentaires, les normes de qualité, les conditions de paiement ou les prix ou en ce qui concerne la fourniture de services dans la mesure où ceux-ci sont explicitement visés au paragraphe 2;

d)  l'acheteur demande au fournisseur des paiements qui ne sont pas en lien avec la vente de produits agricoles et alimentaires du fournisseur;

e)  l'acheteur demande au fournisseur qu'il paie pour la détérioration ou la perte de produits agricoles et alimentaires ou pour la détérioration et la perte qui se produisent dans les locaux de l'acheteur ou après le transfert de propriété à l'acheteur, lorsque cette détérioration ou cette perte ne résulte pas de la négligence ou de la faute du fournisseur;

f)  l'acheteur refuse de confirmer par écrit les conditions d'un accord de fourniture entre l'acheteur et le fournisseur au sujet desquelles le fournisseur a demandé une confirmation écrite; ceci ne s'applique pas lorsque l'accord de fourniture porte sur des produits devant être livrés par un membre d'une organisation de producteurs, y compris une coopérative, à l'organisation de producteurs dont il est membre dès lors que les statuts de cette organisation de producteurs ou les règles et décisions prévues par ces statuts ou en découlant contiennent des dispositions produisant des effets similaires à ceux des conditions de l'accord de fourniture;

g)  l'acheteur obtient, utilise ou divulgue de façon illicite des secrets d'affaires du fournisseur au sens de la directive (UE) 2016/943 du Parlement européen et du Conseil(10);

h)  l'acheteur menace de procéder ou procède à des actions de représailles commerciales à l'encontre du fournisseur si le fournisseur exerce ses droits contractuels ou légaux, y compris en déposant une plainte auprès des autorités d'application ou en coopérant avec les autorités d'application au cours d'une enquête;

i)  l'acheteur demande une compensation au fournisseur pour le coût induit par l'examen des plaintes des clients en lien avec la vente des produits du fournisseur malgré l'absence de négligence ou de faute de la part du fournisseur.

L'interdiction visée au premier alinéa, point a), s'entend sans préjudice:

—  des conséquences des retards de paiement et des voies de recours au titre de la directive 2011/7/UE, qui s'appliquent, par dérogation aux délais de paiement fixés dans ladite directive, sur la base des délais de paiement prévus par la présente directive;

—  de la possibilité dont disposent un acheteur et un fournisseur de se mettre d'accord sur une clause de répartition de la valeur au sens de l'article 172 bis du règlement (UE) nº 1308/2013.

L'interdiction visée au premier alinéa, point a), ne s'applique pas aux paiements:

—  effectués par un acheteur à un fournisseur, lorsque ces paiements interviennent dans le cadre du programme à destination des écoles conformément à l'article 23 du règlement (UE) n° 1308/2013;

—  effectués par des entités publiques dispensant des soins de santé au sens de l'article 4, paragraphe 4, point b), de la directive 2011/7/UE;

—  effectués dans le cadre d'accords de fourniture entre des fournisseurs de raisins ou de moût destinés à la production de vin et leurs acheteurs directs, pour autant que:

i)  les conditions de paiement spécifiques aux opérations de vente soient contenues dans des contrats types qui ont été rendus obligatoires par les États membres conformément à l'article 164 du règlement (UE) n° 1308/2013 avant le 1er janvier 2019, et que l'extension de contrats types soit renouvelée par les États membres à compter de cette date sans modification significative des conditions de paiement au détriment des fournisseurs de raisins ou de moût; et

ii)  les accords de fourniture entre les fournisseurs de raisins ou de moût de raisins destinés à la production de vin et leurs acheteurs directs soient pluriannuels ou deviennent pluriannuels.

2.  Les États membres veillent à ce qu'au moins toutes les pratiques commerciales suivantes soient interdites, à moins qu'elles n'aient été préalablement convenues en termes clairs et dépourvus d'ambiguïté ▌dans l'accord de fourniture ou dans tout accord ultérieur entre le fournisseur et l'acheteur:

a)  l'acheteur renvoie des produits agricoles et alimentaires invendus au fournisseur sans payer pour ces invendus ou sans payer pour l'élimination de ces produits;

b)  le ▌fournisseur est tenu d'effectuer un paiement pour que ses produits agricoles et alimentaires soient stockés, exposés ou référencés ou mis à disposition sur le marché;

c)  l'acheteur demande au fournisseur qu'il supporte tout ou partie des coûts liés à toutes remises sur les produits agricoles et alimentaires qui sont vendus par l'acheteur dans le cadre d'actions promotionnelles;

d)  l'acheteur demande au fournisseur qu'il paie pour la publicité faite par l'acheteur pour les produits agricoles et alimentaires;

e)  l'acheteur demande au fournisseur qu'il paie pour la commercialisation de produits agricoles et alimentaires par l'acheteur;

f)  l'acheteur fait payer par le fournisseur le personnel chargé d'aménager les locaux utilisés pour la vente des produits du fournisseur.

Les États membres veillent à ce que la pratique commerciale visée au premier alinéa, point c), soit interdite à moins que l'acheteur, avant une action de promotion dont il est à l'initiative, précise sa durée et la quantité de produits agricoles et alimentaires qu'il prévoit de commander à prix réduit.

3.   Lorsque l'acheteur demande un paiement dans les situations visées au paragraphe 2, premier alinéa, point b), c), d), e) ou f), l'acheteur présente par écrit au fournisseur, à la demande de ce dernier, une estimation des paiements par unité ou des paiements globaux, selon le cas, et, en ce qui concerne les situations visées au paragraphe 2, premier alinéa, point b), d), e) ou f), il présente également par écrit une estimation des coûts au fournisseur et les éléments sur lesquels se fonde cette estimation.

4.  Les États membres veillent à ce que les interdictions visées aux paragraphes 1 et 2 constituent des dispositions impératives dérogatoires applicables à toute situation entrant dans le champ d'application de ces interdictions, quelle que soit par ailleurs la loi qui serait applicable à l'accord de fourniture entre les parties.

Article 4

Autorités d'application désignées

1.   Chaque État membre désigne une ou plusieurs autorités chargées de faire respecter les interdictions prévues à l'article 3 au niveau national (ci-après dénommée "autorité d'application") et informe la Commission de cette désignation.

2.  Si un État membre désigne plusieurs autorités d'application sur son territoire, il désigne un point de contact unique aux fins de la coopération entre autorités d'application et avec la Commission.

Article 5

Plaintes et confidentialité

1.  Les fournisseurs peuvent adresser des plaintes soit à l'autorité d'application de l'État membre dans lequel il est établi, soit à l'autorité d'application de l'État membre dans lequel l'acheteur qui est soupçonné de s'être livré à une pratique commerciale interdite est établi. L'autorité d'application à laquelle la plainte est adressée est compétente pour faire respecter les interdictions prévues à l'article 3.

2.  Les organisations de producteurs, les autres organisations de fournisseurs et les associations de ces organisations ont le droit de déposer une plainte à la demande d'un ou plusieurs de leurs membres ou, selon le cas, d'un ou plusieurs membres de leurs organisations de membres, lorsque ces membres considèrent qu'ils ont été lésés par une pratique commerciale interdite.

D'autres organisations qui ont un intérêt légitime à représenter les fournisseurs ont le droit de déposer des plaintes à la demande d'un fournisseur et dans son intérêt, pour autant que ces organisations soient des personnes morales indépendantes sans but lucratif.

3.   Les États membres veillent à ce que, lorsque le plaignant en fait la demande, l'autorité d'application prenne les mesures nécessaires pour assurer une protection adéquate de l'identité du plaignant ou des membres ou fournisseurs visés au paragraphe 2 et de toute autre information ▌dont la divulgation serait, de l'avis du plaignant, préjudiciable à ses intérêts ou à ceux de ces membres ou de ces fournisseurs. Le plaignant indique toute information ▌pour laquelle il demande un traitement confidentiel.

4.  Les États membres veillent à ce que l'autorité d'application qui reçoit la plainte informe le plaignant dans un délai raisonnable après l'avoir reçue de la manière dont elle compte donner suite à la plainte.

5.  Les États membres veillent à ce que, lorsqu’une autorité d'application considère que les motifs ne sont pas suffisants pour donner suite à une plainte, elle informe le plaignant des raisons qui motivent sa décision dans un délai raisonnable après réception de la plainte.

6.  Les États membres veillent à ce que, lorsqu'une autorité d'application considère que les motifs sont suffisants pour donner suite à une plainte, elle ouvre, mène et clôture une enquête sur cette plainte dans un délai raisonnable.

7.  Les États membres veillent à ce que, lorsque l'autorité d'application estime qu'un acheteur a enfreint les interdictions visées à l'article 3, elle enjoigne à l'acheteur de mettre fin à la pratique commerciale interdite.

Article 6

Pouvoirs des autorités d'application

1.   Les États membres veillent à ce que chacune de leurs autorités d'application dispose des ressources et de l'expertise nécessaires pour s'acquitter de sa mission et lui confèrent les pouvoirs suivants:

a)   le pouvoir d'ouvrir et de mener des enquêtes de sa propre initiative ou sur la base d'une plainte;

b)   le pouvoir d'exiger que les acheteurs et les fournisseurs communiquent toutes les informations nécessaires pour réaliser les enquêtes sur les pratiques commerciales interdites;

c)  le pouvoir d'effectuer des inspections inopinées sur place dans le cadre de ses enquêtes, conformément aux règles et procédures nationales;

d)   le pouvoir de prendre des décisions constatant une infraction aux interdictions énoncées à l'article 3 et enjoignant à l'acheteur de mettre fin à la pratique commerciale interdite; l'autorité peut s'abstenir de prendre une telle décision, si cette décision risque de révéler l'identité d'un plaignant ou de divulguer toute information qui serait, de l'avis de ce dernier, préjudiciable à ses intérêts, et à condition que le plaignant ait indiqué quelles sont ces informations, conformément à l'article 5, paragraphe 3;

e)  le pouvoir d'infliger des amendes et d'autres sanctions aussi efficaces et de prendre des mesures provisoires visant l'auteur de l'infraction ou d'engager une procédure dans ce but, conformément aux règles et procédures nationales;

f)  le pouvoir de publier régulièrement ses décisions relatives aux points d) et e).

Les sanctions visées au premier alinéa, point e), sont effectives, proportionnées et dissuasives, compte tenu de la nature, de la durée, de la récurrence et de la gravité de l'infraction.

2.  Les États membres veillent à ce que l'exercice des pouvoirs visés au paragraphe 1 soit soumis à des garanties appropriées en matière de droits de la défense, conformément aux principes généraux du droit de l'Union et à la Charte des droits fondamentaux de l'Union européenne, y compris lorsque le plaignant demande le traitement confidentiel des informations conformément à l'article 5, paragraphe 3.

Article 7

Règlement extrajudiciaire des litiges

Sans préjudice du droit des fournisseurs de déposer plainte en vertu de l'article 5 et des pouvoirs des autorités d'application en vertu de l'article 6, les États membres peuvent promouvoir le recours volontaire à des mécanismes efficaces et indépendants de règlement extrajudiciaire des litiges tels que la médiation, en vue de résoudre les litiges entre fournisseurs et acheteurs en ce qui concerne la mise en œuvre, par l'acheteur, de pratiques commerciales déloyales.

Article 8

Coopération entre les autorités d'application

1.  Les États membres veillent à ce que les autorités d'application coopèrent efficacement les unes avec les autres et avec la Commission et se prêtent mutuellement assistance dans le cadre des enquêtes ayant une dimension transfrontalière.

2.  Les autorités d'application se réunissent au moins une fois par an afin de discuter de la mise en œuvre de la présente directive sur la base des rapports annuels visés à l'article 10, paragraphe 2 ▌. Les autorités d'application examinent les meilleures pratiques, les nouveaux cas et les nouvelles évolutions en ce qui concerne les pratiques commerciales déloyales au sein de la chaîne d'approvisionnement agricole et alimentaire et échangent des informations, en particulier sur les mesures d'application qu'elles ont adoptées conformément à la présente directive et sur leurs pratiques en matière d'application. Elles peuvent adopter des recommandations dans le but d'encourager une application cohérente de la présente directive et d'améliorer cette application. La Commission facilite l'organisation de ces réunions.

3.  La Commission crée et gère un site internet qui permet des échanges d'informations entre les autorités d'application et la Commission, notamment aux fins des réunions annuelles. La Commission crée un site internet public sur lequel figurent les coordonnées des autorités d'application désignées et des liens vers les sites internet des autorités d'application nationales ou d'autres autorités des États membres, ainsi que des informations sur les mesures transposant la présente directive visées à l'article 13, paragraphe 1.

Article 9

Règles nationales

1.  En vue d'assurer un niveau de protection plus élevé, les États membres peuvent maintenir ou introduire des règles visant à lutter contre les pratiques commerciales déloyales plus strictes que celles énoncées dans la présente directive, à condition que ces règles nationales soient compatibles avec les règles relatives au fonctionnement du marché intérieur.

2.  La présente directive s'applique sans préjudice des règles nationales visant à lutter contre les pratiques commerciales déloyales qui ne relèvent pas de son champ d'application, à condition que ces règles soient compatibles avec les règles relatives au fonctionnement du marché intérieur.

Article 10

Rapports ▌

1.  Les États membres veillent à ce que leurs autorités d'application publient un rapport annuel sur leurs activités relevant du champ d'application de la présente directive, qui précise entre autres le nombre de plaintes reçues et d'enquêtes ouvertes ou clôturées au cours de l'année précédente. Pour chaque enquête clôturée, le rapport contient une description succincte de l'affaire, de l'issue de l'enquête et, le cas échéant, de la décision prise, dans le respect des exigences en matière de confidentialité énoncées à l'article 5, paragraphe 3.

2.  Au plus tard le 15 mars de chaque année, les États membres transmettent à la Commission un rapport sur les pratiques commerciales déloyales dans les relations interentreprises au sein de la chaîne d'approvisionnement agricole et alimentaire. Ce rapport contient, en particulier, toutes les données pertinentes concernant la mise en œuvre et les mesures prises pour assurer le respect des règles énoncées dans la présente directive dans l'État membre concerné au cours de l'année précédente.

3.  La Commission peut adopter des actes d'exécution fixant:

a)  les règles relatives aux informations nécessaires à l'application du paragraphe 2;

b)  les modalités de gestion des informations à transmettre par les États membres à la Commission et les règles relatives au contenu et à la forme de ces informations;

c)  les modalités selon lesquelles les informations et les documents sont transmis aux États membres, aux organisations internationales, aux autorités compétentes dans les pays tiers ou au public, ou sont mis à leur disposition, sous réserve de la protection des données à caractère personnel et des intérêts légitimes des producteurs agricoles et des entreprises à ce que leurs secrets d'affaires ne soient pas divulgués.

Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 11, paragraphe 2.

Article 11

Comité

1.  La Commission est assistée par le comité de l'organisation commune des marchés agricoles institué par l'article 229 du règlement (UE) nº 1308/2013. Ledit comité est un comité au sens du règlement (UE) nº 182/2011.

2.  Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) n° 182/2011 s'applique.

Article 12

Évaluation

1.   Au plus tard le … [78 mois après la date d'entrée en vigueur de la présente directive], la Commission procède à la première évaluation de la présente directive et soumet au Parlement européen et au Conseil, ainsi qu'au Comité économique et social européen et au Comité des régions un rapport exposant les principales conclusions de cette évaluation. Ce rapport est assorti, le cas échéant, de propositions législatives.

2.  Cette évaluation porte, au moins, sur:

a)  l'efficacité des mesures mises en œuvre au niveau national dans le but de lutter contre les pratiques commerciales déloyales au sein de la chaîne d'approvisionnement agricole et alimentaire;

b)  l'efficacité de la coopération entre les autorités d'application compétentes et, le cas échéant, l’identification de solutions visant à améliorer cette coopération.

3.   La Commission fonde le rapport visé au paragraphe 1 sur les rapports annuels visés à l'article 10, paragraphe 2. Si nécessaire, elle peut demander aux États membres un complément d'information, notamment sur l'efficacité des mesures mises en œuvre au niveau national et sur l'efficacité de la coopération et de l'assistance mutuelle.

4.  Au plus tard le … [30 mois après la date d'entrée en vigueur de la présente directive], la Commission présente un rapport intermédiaire sur l'état d'avancement de la transposition et de la mise en œuvre de la présente directive au Parlement européen et au Conseil, ainsi qu'au Comité économique et social européen et au Comité des régions.

Article 13

Transposition

1.  Les États membres adoptent et publient, au plus tard le ... [24 mois après la date d'entrée en vigueur de la présente directive] ▌, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. Ils communiquent immédiatement ▌le texte de ces dispositions à la Commission.

Ils appliquent ces dispositions au plus tard le ... [30 mois après la date d'entrée en vigueur de la présente directive].

Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.

2.  Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu'ils adoptent dans le domaine régi par la présente directive.

Article 14

Entrée en vigueur

La présente directive entre en vigueur le cinquième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Article 15

Destinataires

Les États membres sont destinataires de la présente directive.

Fait à ..., le

Par le Parlement européen Par le Conseil

Le président Le président

ANNEXE À LA RESOLUTION LÉGISLATIVE

Déclaration du Parlement européen sur les alliances d'achat

Si le Parlement européen reconnaît le rôle potentiel que jouent les alliances d’acheteurs pour générer des efficiences économiques dans la chaîne d’approvisionnement agricole et alimentaire, il relève néanmoins, qu'à l'heure actuelle, l'absence d'informations exclut toute évaluation des effets économiques de telles alliances sur le fonctionnement de la chaîne d'approvisionnement.

À cet égard, le Parlement européen invite la Commission à entreprendre sans tarder une analyse approfondie visant à déterminer l'ampleur et les effets de ces alliances d'achat nationales et internationales sur le fonctionnement économique de la chaîne d'approvisionnement agricole et alimentaire.

Déclaration commune du Parlement européen, du Conseil et de la Commission sur la transparence des marchés agricoles et alimentaires

Le Parlement européen, le Conseil et la Commission soulignent que la transparence des marchés agricoles et alimentaires est un élément déterminant du bon fonctionnement de la chaîne d'approvisionnement agricole et alimentaire, le but étant que les opérateurs économiques et les autorités publiques fassent des choix plus éclairés et que les opérateurs comprennent mieux l'évolution des marchés. La Commission est encouragée à poursuivre ses travaux visant à renforcer la transparence des marchés au niveau de l'UE. Il pourrait s'agir à cet égard d'intensifier les travaux sur les observatoires de marché dans l'UE et d'améliorer la collecte des données statistiques nécessaires pour pouvoir analyser les mécanismes de formation des prix tout au long de la chaîne d'approvisionnement agricole et alimentaire.

(1) JO C 440 du 6.12.2018, p. 165.
(2)JO C 387 du 25.10.2018, p. 48.
(3)JO C 440 du 6.12.2018, p. 165.
(4)JO C 387 du 25.10.2018 , p. 48.
(5)Position du Parlement européen du 12 mars 2019.
(6)Directive 2011/7/UE du Parlement européen et du Conseil du 16 février 2011 concernant la lutte contre le retard de paiement dans les transactions commerciales (JO L 48 du 23.2.2011, p. 1).
(7)Règlement (UE) n° 1308/2013 du Parlement européen et du Conseil du 17 décembre 2013 portant organisation commune des marchés des produits agricoles et abrogeant les règlements (CEE) n° 922/72, (CEE) n° 234/79, (CE) n° 1037/2001 et (CE) n° 1234/2007 du Conseil (JO L 347 du 20.12.2013, p. 671).
(8)Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(9)Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).
(10)Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites (JO L 157 du 15.6.2016, p. 1).


Initiative citoyenne européenne ***I
PDF 288kWORD 90k
Résolution
Texte consolidé
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de règlement du Parlement européen et du Conseil relatif à l’initiative citoyenne européenne (COM(2017)0482 – C8-0308/2017 – 2017/0220(COD))
P8_TA-PROV(2019)0153A8-0226/2018

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2017)0482),

–  vu l’article 294, paragraphe 2, et l’article 24 du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C8-0308/2017),

–  vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

–  vu l’avis du Comité économique et social européen du 14 mars 2018(1),

–  vu l’avis du Comité des régions du 23 mars 2018(2),

–  vu l'accord provisoire approuvé en vertu de l’article 69 septies, paragraphe 4, de son règlement intérieur par la commission compétente et l’engagement pris par le représentant du Conseil, par lettre du 20 décembre 2018, d'approuver la position du Parlement européen, conformément à l'article 294, paragraphe 4, du traité sur le fonctionnement de l'Union européenne,

–  vu l’article 59 de son règlement intérieur,

–  vu le rapport de la commission des affaires constitutionnelles et les avis de la commission de la culture et de l’éducation et de la commission des pétitions (A8-0226/2018),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.

Position du Parlement européen arrêtée en première lecture le 12 mars 2019 en vue de l’adoption du règlement (UE) 2019/... du Parlement européen et du Conseil relatif à l’initiative citoyenne européenne

P8_TC1-COD(2017)0220


(Texte présentant de l’intérêt pour l’EEE)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 24,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen(3),

vu l’avis du Comité des régions(4),

statuant conformément à la procédure législative ordinaire(5),

considérant ce qui suit:

(1)  Le traité sur l’Union européenne institue la citoyenneté de l’Union. Les citoyens de l’Union (ci-après dénommés « citoyens ») ont le droit de s’adresser directement à la Commission pour lui présenter une demande l’invitant à soumettre une proposition d’acte juridique de l’Union aux fins de l’application des traités, à l’instar du droit conféré au Parlement européen ▌en vertu de l’article 225 du traité sur le fonctionnement de l’Union européenne et au Conseil en vertu de l’article 241 du traité sur le fonctionnement de l’Union européenne. L’initiative citoyenne européenne contribue ainsi à renforcer le fonctionnement démocratique de l’Union grâce à la participation des citoyens à sa vie démocratique et politique. Ainsi qu’il ressort de la structure de l’article 11 du traité sur l’Union européenne et de l’article 24 du traité sur le fonctionnement de l’Union européenne, l’initiative citoyenne européenne devrait être examinée dans le contexte d’autres moyens par lesquels les citoyens peuvent porter certaines questions à l’attention des institutions de l’Union et qui consistent notamment en un dialogue avec des associations représentatives et la société civile, des consultations avec les parties concernées, des pétitions et des demandes adressées au Médiateur.

(2)  Le règlement (UE) nº 211/2011 du Parlement européen et du Conseil(6) a établi les règles et procédures relatives à l’initiative citoyenne européenne et a été complété par le règlement d’exécution (UE) nº 1179/2011 de la Commission(7).

(3)  Dans son rapport de mars 2015 sur l’application du règlement (UE) nº 211/2011 du 31 mars 2015, la Commission a énuméré un certain nombre de défis posés par la mise en œuvre de ce règlement et s’est engagée à approfondir son analyse des incidences de ces défis sur l’efficacité de l’instrument de l’initiative citoyenne européenne et à améliorer son fonctionnement.

(4)  Dans sa résolution du 28 octobre 2015 sur l’initiative citoyenne européenne(8) et son projet de rapport d’initiative législative du 26 juin 2017(9), le Parlement européen a invité la Commission à réexaminer le règlement (UE) nº 211/2011 et le règlement d’exécution (UE) nº 1179/2011 de la Commission.

(5)  Le présent règlement vise à rendre l’initiative citoyenne européenne plus accessible, moins lourde et plus facile à utiliser pour les organisateurs d’une initiative et ceux qui la soutiennent ainsi qu’à renforcer son suivi, afin de réaliser pleinement son potentiel ▌en tant qu’outil permettant de renforcer le débat. Il devrait également faciliter la participation du plus grand nombre possible de citoyens au processus décisionnel démocratique de l’Union ▌.

(6)  Afin d’atteindre ces objectifs, les procédures et conditions requises pour l’initiative citoyenne européenne devraient être efficaces, transparentes, claires, simples, faciles à appliquer, accessibles aux personnes atteintes d’un handicap et proportionnées à la nature de cet instrument. Elles devraient trouver un juste équilibre entre droits et obligations et faire en sorte que les initiatives valables fassent l’objet, de la part de la Commission, de la procédure adéquate pour leur examen et les suites à leur donner.

(7)  Il convient de fixer un âge minimal pour soutenir une initiative. Cet âge minimal devrait correspondre à l’âge requis pour voter aux élections au Parlement européen. Afin de renforcer la participation des jeunes citoyens à la vie démocratique de l’Union et, ainsi, de réaliser pleinement le potentiel de l’initiative citoyenne européenne en tant qu’instrument de démocratie participative, les États membres qui le jugent opportun devraient pouvoir fixer l’âge minimum requis pour soutenir une initiative à 16 ans et en informer la Commission. La Commission devrait réexaminer périodiquement le fonctionnement de l’initiative citoyenne européenne, notamment en ce qui concerne l’âge minimum requis pour soutenir des initiatives. Les États membres sont encouragés à envisager de fixer cet âge minimal à 16 ans, conformément à leur législation nationale.

(8)  Aux termes de l’article 11, paragraphe 4, du traité sur l’Union européenne, une initiative invitant la Commission, dans le cadre de ses attributions, à soumettre une proposition appropriée sur des questions pour lesquelles les citoyens considèrent qu’un acte juridique de l’Union est nécessaire aux fins de l’application des traités doit être prise par au moins un million de citoyens de l’Union, ressortissants d’un nombre significatif d’États membres.

(9)  Pour garantir qu’une initiative est représentative d’un intérêt de l’Union tout en veillant à ce que l’instrument reste facile à utiliser, le nombre minimal d’États membres de provenance des citoyens devrait être fixé à un quart des États membres.

(10)  Pour garantir qu’une initiative est représentative et que les citoyens soutenant une initiative soient soumis à des conditions similaires, il convient également d’établir le nombre minimal de signataires provenant de chacun de ces États membres. Les nombres minimaux de signataires requis dans chaque État membre devraient être dégressivement proportionnels et correspondre au nombre de députés au Parlement européen élus dans chaque État membre, multiplié par le nombre total de députés au Parlement européen.

(11)  Afin de rendre les initiatives citoyennes européennes plus inclusives et plus visibles, les organisateurs peuvent utiliser pour leurs propres activités de promotion et de communication des langues autres que les langues officielles des institutions de l’Union qui, conformément à l’ordre constitutionnel des États membres, ont un statut officiel sur tout ou partie de leur territoire.

(12)  S’il est vrai que les données à caractère personnel traitées conformément au présent règlement peuvent inclure des données ▌sensibles, eu égard à la nature de l’initiative citoyenne européenne en tant qu’instrument de démocratie participative, il est justifié de demander la communication de données à caractère personnel aux fins de soutenir une initiative et de traiter ces données dans la mesure nécessaire pour permettre la vérification des déclarations de soutien conformément au droit et aux pratiques nationales.

(13)  Afin de rendre l’initiative citoyenne européenne plus accessible ▌, la Commission devrait fournir des informations, une assistance et un soutien pratique aux citoyens et aux groupes des organisateurs, notamment sur les aspects du présent règlement qui relèvent de sa compétence. Afin d’améliorer ces informations et cette assistance, la Commission devrait également mettre à disposition une plateforme collaborative en ligne qui offre un forum de discussion spécifique ainsi qu’un soutien indépendant, des informations et des conseils juridiques sur l’initiative citoyenne européenne. Cette plateforme devrait être ouverte aux citoyens, aux groupes d’organisateurs, aux organisations et aux experts externes expérimentés dans l’organisation d’initiatives citoyennes européennes. La plateforme devrait être accessible aux personnes atteintes d’un handicap.

(14)  Afin de permettre aux groupes d’organisateurs de gérer leur initiative tout au long de la procédure, la Commission devrait mettre à disposition un registre en ligne de l’initiative citoyenne européenne (ci-après dénommé « registre »). Pour mieux faire connaître toutes les initiatives et garantir leur transparence, le registre devrait inclure un site internet public comportant des informations complètes sur l’instrument de l’initiative citoyenne européenne, ainsi que des informations actualisées concernant chaque initiative, son statut, et les sources de soutien et de financement déclarées sur la base des informations fournies par le groupe d’organisateurs.

(15)  Pour garantir la proximité avec les citoyens et mieux faire connaître l’initiative citoyenne européenne, les États membres devraient établir sur leurs territoires respectifs un ou plusieurs points de contact chargés de fournir informations et assistance aux citoyens en ce qui concerne l’initiative citoyenne européenne. Ces informations et cette assistance devraient concerner, notamment, les aspects du présent règlement dont la mise en œuvre relève de la compétence des autorités nationales des États membres ou qui concernent le droit national applicable et pour lesquels ces autorités sont dès lors le mieux placées pour informer et assister les citoyens et les groupes des organisateurs. Le cas échéant, les États membres devraient rechercher des synergies avec les services qui fournissent une assistance en ce qui concerne l’utilisation d’instruments nationaux similaires. La Commission, y compris ses représentations dans les États membres, devrait assurer une coopération étroite avec les points de contact nationaux concernant ces activités d’information et d’assistance, y compris, le cas échéant, les activités de communication à l’échelle de l’Union.

(16)  Afin de pouvoir lancer et gérer des initiatives citoyennes avec succès, une structure caractérisée par un minimum d’organisation s’impose. Cette structure devrait prendre la forme d’un groupe d’organisateurs composé de personnes physiques résidant dans au moins sept États membres différents, en vue de contribuer à l’émergence de questions à l’échelle de l’Union et d’encourager la réflexion sur ces questions. Afin de garantir la transparence et une communication fluide et efficace, le groupe d’organisateurs devrait désigner un représentant qui assure la liaison entre le groupe d’organisateurs et les institutions de l’Union tout au long de la procédure. Le groupe d’organisateurs devrait avoir la possibilité de créer, en conformité avec le droit national, une entité juridique chargée de gérer une initiative. Cette entité juridique devrait être considérée comme le groupe d’organisateurs aux fins du présent règlement.

(17)  Tandis que la responsabilité et les sanctions liées au traitement des données à caractère personnel demeurent régies par le règlement (UE) 2016/679 du Parlement européen et du Conseil(10), le groupe d’organisateurs devrait être solidairement responsable, conformément au droit national applicable, de tout dommage causé par ses membres dans le cadre de l’organisation d’une initiative par des actes illicites commis intentionnellement ou par négligence grave. Les États membres devraient veiller à ce que le groupe d’organisateurs soit soumis à des sanctions appropriées en cas d’infraction au présent règlement.

(18)  En vue d’assurer la cohérence et la transparence des initiatives et d’éviter la collecte de signatures pour une initiative citoyenne qui ne satisfait pas aux conditions fixées par les traités et le présent règlement, les initiatives satisfaisant aux conditions énoncées dans le présent règlement devraient être enregistrées par la Commission avant le début de la collecte des déclarations de soutien auprès des citoyens. La Commission devrait, lorsqu’elle procède à l’enregistrement, se conformer pleinement à l’obligation de motivation prévue à l’article 296deuxième alinéa, du traité sur le fonctionnement de l’Union européenne, ainsi qu’au principe général de bonne administration, tel que prévu à l’article 41 de la Charte des droits fondamentaux de l’Union européenne.

(19)  Afin de rendre l’initiative citoyenne européenne effective et plus accessible, ▌compte tenu du fait que les procédures et conditions requises pour l’initiative citoyenne européenne devraient être claires, simples, faciles à appliquer et proportionnées, et afin de veiller à ce que le plus grand nombre possible d’initiatives soient enregistrées, il y a lieu de procéder à l’enregistrement partiel d’une initiative lorsque certaines parties seulement de celle-ci remplissent les conditions d’enregistrement prévues par le présent règlement. Une initiative devrait être enregistrée partiellement lorsqu’une partie ▌de l’initiative, comprenant ses objectifs principaux, n’est pas manifestement en dehors du cadre des attributions de la Commission en vertu desquelles celle-ci peut présenter une proposition d’acte juridique de l’Union aux fins de l’application des traités et que toutes les autres exigences en matière d’enregistrement sont satisfaites. La clarté et la transparence devraient être garanties en ce qui concerne la portée de l’enregistrement partiel et les signataires potentiels devraient être informés de la portée de cet enregistrement et du fait que les déclarations de soutien ne sont recueillies qu'en ce qui concerne la portée de l'enregistrement de l'initiative. La Commission devrait informer le groupe d’organisateurs de manière suffisamment détaillée des motifs de sa décision de ne pas enregistrer une initiative ou de ne l’enregistrer que partiellement, ainsi que de toutes les voies de recours judiciaires et extrajudiciaires dont il dispose.

(20)  Les déclarations de soutien d’une initiative devraient être collectées dans un délai déterminé. Pour garantir qu’une proposition d’initiative reste pertinente, tout en tenant compte de la complexité que représente la collecte de déclarations de soutien dans l’ensemble de l’Union, ce délai ne devrait pas être supérieur à 12 mois à compter de la date de début de la période de collecte fixée par le groupe d’organisateurs. Le groupe d’organisateurs devrait avoir la possibilité de choisir la date de début de la période de collecte dans un délai de six mois à compter de l’enregistrement de l’initiative. Le groupe d’organisateurs devrait informer la Commission de la date choisie, au plus tard 10 jours ouvrables avant la date concernée. Afin d’assurer la coordination avec les autorités nationales, la Commission devrait informer les États membres de la date communiquée par le groupe d’organisateurs.

(21)  Afin de rendre l’initiative citoyenne européenne plus accessible, moins lourde et plus facile à utiliser pour les organisateurs et les citoyens, la Commission devrait mettre en place et exploiter un système central pour la collecte en ligne des déclarations de soutien. Ce système devrait être mis gratuitement à la disposition des groupes d’organisateurs et devrait prévoir les aspects techniques nécessaires pour la collecte en ligne, notamment l’hébergement et le logiciel, et comporter des éléments d’accessibilité permettant aux citoyens atteints d’un handicap de soutenir les initiatives. Ce système devrait être mis en place et géré conformément à la décision (UE, Euratom) 2017/46 de la Commission(11).

(22)  Les citoyens devraient avoir la possibilité de soutenir des initiatives en ligne ou sur papier en ne fournissant que les données à caractère personnel mentionnées à l’annexe III du présent règlement. Les États membres devraient indiquer à la Commission s’ils souhaitent figurer dans la partie A ou dans la partie B de l’annexe III. Les citoyens qui utilisent le système central de collecte en ligne aux fins de l’initiative citoyenne européenne devraient pouvoir soutenir une initiative en ligne en utilisant des moyens d’identification électronique notifiés ou en signant avec une signature électronique au sens du règlement (UE) nº 910/2014 du Parlement européen et du Conseil(12). À cet effet, la Commission et les États membres devraient mettre en œuvre les dispositifs techniques adéquats dans le cadre dudit règlement ▌. Les citoyens ne devraient signer une déclaration de soutien qu’une seule fois.

(23)  Afin de faciliter la transition vers le nouveau système central de collecte en ligne, un groupe d’organisateurs devrait conserver la possibilité de mettre en place ses propres systèmes de collecte en ligne et de collecter des déclarations de soutien au moyen de ce système pour les initiatives enregistrées conformément au présent règlement au plus tard le 31 décembre 2022. Le groupe d’organisateurs devrait utiliser un seul système particulier de collecte en ligne pour chaque initiative. Les systèmes particuliers de collecte en ligne mis en place et exploités par un groupe d’organisateurs devraient être dotés de dispositifs techniques et de sécurité adéquats afin de garantir que les données sont collectées, stockées et transférées d’une manière sécurisée tout au long de la procédure. À cet effet, la Commission devrait définir des spécifications techniques détaillées pour les systèmes particuliers de collecte en ligne, en coopération avec les États membres. La Commission devrait pouvoir demander l’avis de l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA), qui aide les institutions de l’Union à développer et à mettre en œuvre des politiques relatives à la sécurité des réseaux et des systèmes d’information.

(24)  Il convient que les États membres vérifient la conformité des systèmes particuliers de collecte en ligne mis en place par le groupe d’organisateurs aux exigences du présent règlement et délivrent un document certifiant cette conformité avant que les déclarations de soutien ne soient collectées. La certification des systèmes particuliers de collecte en ligne devrait être effectuée par les autorités nationales compétentes des États membres dans lesquels les données obtenues au moyen du système particulier de collecte en ligne sont stockées. Sans préjudice des compétences des autorités nationales de contrôle en vertu du règlement (UE) 2016/679, les États membres devraient désigner l’autorité nationale compétente responsable de la certification des systèmes. Les États membres devraient mutuellement reconnaître les certificats délivrés par leurs autorités compétentes.

(25)  Lorsqu’une initiative a obtenu les déclarations de soutien nécessaires auprès des signataires, chaque État membre devrait être chargé de vérifier et de certifier les déclarations de soutien signées par ses ressortissants, afin d’évaluer si le nombre minimal requis de signataires en droit de soutenir une initiative citoyenne européenne a été atteint. Compte tenu de la nécessité de limiter la charge administrative pour les États membres, ces vérifications devraient être réalisées sur la base de contrôles appropriés, qui peuvent reposer sur des sondages aléatoires. Les États membres devraient délivrer un document certifiant le nombre de déclarations de soutien valables reçues.

(26)  Afin d’encourager la participation et le débat public sur les questions soulevées par les initiatives, lorsqu’une initiative citoyenne soutenue par le nombre requis de signataires et conforme aux autres exigences du présent règlement est présentée à la Commission, le groupe d’organisateurs devrait avoir le droit de présenter l’initiative lors d’une audition publique au niveau de l’Union. ▌Le Parlement devrait organiser l’audition publique dans les trois mois suivant la présentation de l’initiative à la Commission. Le Parlement européen devrait garantir une représentation équilibrée des intérêts des parties prenantes concernées, y compris la société civile, les partenaires sociaux, et les experts. La Commission devrait être représentée à un niveau approprié. Le Conseil, d’autres institutions et organes consultatifs de l’Union et parties intéressées devraient avoir la possibilité de participer à l’audition afin de garantir son caractère inclusif et de renforcer l’intérêt public y associé.

(27)  Le Parlement européen, en tant qu’institution au sein de laquelle les citoyens sont directement représentés au niveau de l’Union, devrait être habilité à évaluer le soutien apporté à une initiative valable après sa présentation et à la suite d’une audition publique à son sujet. Le Parlement européen devrait également être en mesure d’évaluer les mesures prises par la Commission en réponse à l’initiative et exposées dans une communication.

(28)  Pour garantir la participation effective des citoyens à la vie démocratique de l’Union, il convient que la Commission examine une initiative valable et y réponde. C’est pourquoi la Commission devrait présenter ses conclusions juridiques et politiques ainsi que l’action qu’elle compte entreprendre, dans un délai de six mois à compter de la réception de l’initiative. La Commission devrait exposer d’une manière claire, compréhensible et circonstanciée les raisons pour lesquelles elle envisage d’entreprendre une action, en indiquant notamment si elle entend adopter une proposition d’acte juridique de l’Union en réponse à l’initiative, et, de la même manière, indiquer ses raisons si elle a l’intention de n’entreprendre aucune action. La Commission devrait examiner les initiatives en se conformant aux principes généraux de bonne administration, tels que prévus à l’article 41 de la Charte des droits fondamentaux de l’Union européenne.

(29)  Afin de garantir la transparence concernant son soutien et son financement, le groupe ▌d'organisateurs devrait régulièrement fournir des informations mises à jour et détaillées sur les sources de financement et de soutien ▌de ses initiatives, entre la date d’enregistrement et la date à laquelle l’initiative est présentée à la Commission. Ces informations devraient être publiées dans le registre et sur le site internet public de l’initiative citoyenne européenne. La déclaration des sources de financement et de soutien du groupe d’organisateurs devrait inclure des informations sur tout soutien financier supérieur à 500 EUR par promoteur, ainsi que sur les organisations qui aident le groupe d’organisateurs sur une base volontaire, lorsque ce soutien n’est pas économiquement quantifiable. Les entités, notamment les organisations qui contribuent, conformément aux traités, à la formation de la conscience politique européenne et à l’expression de la volonté des citoyens de l’Union, devraient être en mesure de promouvoir, de financer et de soutenir ▌des initiatives, à condition qu’elles le fassent conformément aux procédures et conditions fixées par le présent règlement ▌.

(30)  Afin de garantir une totale transparence, la Commission devrait mettre à la disposition des citoyens, dans le registre et sur le site internet public de l'initiative citoyenne européenne, un formulaire de contact leur permettant d’introduire une plainte relative à l’exhaustivité et à l’exactitude des informations sur les sources de financement et de soutien déclarées par les groupes d’organisateurs. La Commission devrait être habilitée à demander au groupe d’organisateurs des informations supplémentaires en rapport avec les plaintes et, le cas échéant, à actualiser les informations sur les sources de financement et de soutien figurant dans le registre.

(31)  Le règlement (UE) 2016/679 s’applique au traitement des données à caractère personnel effectué au titre du présent règlement. À cet égard, par souci de sécurité juridique, il convient de préciser que le représentant du groupe d’organisateurs, ou le cas échéant l’entité juridique créée pour gérer l’initiative, et les autorités compétentes des États membres sont le(s) responsable(s) du traitement au sens du règlement (UE) 2016/679, en ce qui concerne le traitement des données à caractère personnel lors de la collecte des déclarations de soutien, des adresses électroniques et des données relatives aux promoteurs des initiatives, et aux fins de la vérification et de la certification des déclarations de soutien, et d’indiquer la durée maximale de conservation des données à caractère personnel recueillies aux fins d’une initiative. En leur qualité de responsables du traitement des données, le représentant du groupe d’organisateurs, ou le cas échéant l’entité juridique créée pour gérer l’initiative, et les autorités compétentes des États membres devraient prendre toutes les mesures appropriées pour se conformer aux obligations prévues par le règlement (UE) 2016/679, notamment celles concernant la licéité du traitement et la sécurité des activités de traitement des données, la fourniture d’informations et les droits des personnes concernées.

(32)  Le règlement ▌(UE) 2018/1725 du Parlement européen et du Conseil(13) s’applique au traitement des données à caractère personnel effectué par la Commission dans le cadre du présent règlement. Il convient de préciser que la Commission est considérée comme le responsable du traitement au sens du règlement (UE) 2018/1725 à l’égard du traitement des données à caractère personnel dans le registre, sur la plateforme collaborative en ligne, dans le système central de collecte en ligne et lors de la collecte des adresses électroniques. Le système central de collecte en ligne qui permet aux groupes d’organisateurs de collecter les déclarations de soutien en ligne pour leurs initiatives devrait être mis en place et exploité par la Commission conformément au présent règlement. La Commission et le représentant du groupe d’organisateurs ou, le cas échéant, l'entité juridique créée pour gérer l'initiative devraient être les responsables conjoints du traitement au sens du règlement (UE) 2016/679 à l’égard du traitement des données à caractère personnel dans le système central de collecte en ligne.

(33)  Afin de contribuer à encourager la participation active des citoyens à la vie politique de l’Union, la Commission devrait mieux faire connaître l’initiative citoyenne européenne auprès du public, en recourant notamment aux technologies numériques et aux médias sociaux, et dans le cadre d’actions visant à promouvoir la citoyenneté de l’Union et les droits des citoyens. Le Parlement européen devrait contribuer aux activités de communication de la Commission.

(34)  Afin de faciliter la communication avec les signataires et de les informer des suites données à une initiative, la Commission et le groupe d'organisateurs devraient pouvoir, en conformité avec les règles de protection des données, collecter les adresses électroniques de signataires ▌. La collecte des adresses électroniques devrait être facultative et soumise au consentement explicite des signataires. Les adresses électroniques ne devraient pas être collectées dans le cadre des formulaires de déclaration de soutien, et les signataires potentiels devraient être informés que leur droit de soutenir une initiative n’est pas subordonné à leur consentement quant à la collecte de leur adresse électronique.

(35)  Dans un souci d’adaptation à de futurs besoins, le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne devrait être délégué à la Commission en ce qui concerne la modification des annexes du présent règlement. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»(14). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

(36)  Afin d’assurer des conditions uniformes de mise en œuvre du présent règlement, il convient de conférer des compétences d’exécution à la Commission, en particulier pour l’établissement des spécifications techniques des systèmes de collecte en ligne conformément au présent règlement. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil(15).

(37)  Conformément au principe de proportionnalité, il est nécessaire et approprié afin de mettre en œuvre l'objectif fondamental consistant à renforcer la participation des citoyens à la vie démocratique et politique de l'Union, de réglementer l'initiative citoyenne européenne. Le présent règlement n'excède pas ce qui est nécessaire pour atteindre l'objectif poursuivi, conformément à l'article 5, paragraphe 4, du traité sur l'Union européenne.

(38)  Le présent règlement respecte les droits fondamentaux et observe les principes inscrits dans la Charte des droits fondamentaux de l’Union européenne ▌.

(39)  Pour des raisons de sécurité juridique et de clarté, il convient d’abroger le règlement (UE) nº 211/2011.

(40)  Le Contrôleur européen de la protection des données a été consulté conformément à l’article 28, paragraphe 2, du règlement (CE) nº 45/2001 du Parlement européen et du Conseil(16), et a rendu ses observations formelles le 19 décembre 2017,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet

Le présent règlement établit les procédures et conditions requises pour une initiative invitant la Commission à soumettre, dans le cadre de ses attributions, une proposition appropriée sur des questions pour lesquelles des citoyens de l’Union considèrent qu’un acte juridique de l’Union est nécessaire aux fins de l’application des traités (ci-après dénommée «initiative citoyenne européenne» ou «initiative»).

Article 2

Droit de soutenir une initiative citoyenne européenne

1.  Tout citoyen de l’Union qui est au moins en âge de voter aux élections au Parlement européen a le droit de soutenir une initiative en signant une déclaration de soutien, conformément au présent règlement.

Les États membres peuvent fixer l’âge minimum ouvrant le droit à soutenir une initiative à 16 ans, conformément à leur législation nationale, et, dans ce cas, ils en informent la Commission.

2.  Conformément à la législation applicable, les États membres et la Commission veillent à ce que les personnes atteintes d’un handicap puissent exercer leur droit de soutenir des initiatives et puissent accéder à toutes les sources d’information pertinentes sur les initiatives sur un pied d’égalité avec les autres citoyens.

Article 3

Nombre requis de signataires

1.  Une initiative est valable si:

a)  elle a recueilli le soutien d’au moins un million de citoyens de l’Union conformément à l’article 2, paragraphe 1 (ci-après dénommés « signataires »), d’au moins un quart des États membres; et

b)  dans au moins un quart des États membres, le nombre des signataires est au moins égal au nombre minimal indiqué à l’annexe I, qui correspond au nombre de députés au Parlement européen élus dans chaque État membre, multiplié par le nombre total de députés au Parlement européen, au moment de l’enregistrement de l’initiative.

2.  Pour les besoins du paragraphe 1, un signataire est pris en compte dans l’État membre de sa nationalité, quel que soit l’endroit où il a signé la déclaration de soutien.

Article 4

Information et assistance par la Commission et les États membres

1.  ▌La Commission fournit aux citoyens et aux groupes d’organisateurs des informations et une assistance aisément accessibles et complètes concernant l’initiative citoyenne européenne, notamment en les réorientant vers les sources d’information et d’assistance pertinentes.

La Commission met à la disposition du public, en ligne et au format papier et dans toutes les langues officielles des institutions de l’Union, un guide sur l’initiative citoyenne européenne.

2.  La Commission met gratuitement à disposition une plateforme collaborative en ligne consacrée à l’initiative citoyenne européenne ▌.

La plateforme offre des conseils pratiques et juridiques, ainsi qu’un forum de discussion sur l’initiative citoyenne européenne permettant l’échange d’informations et de bonnes pratiques entre les citoyens, les groupes d’organisateurs, les parties prenantes, les organisations non gouvernementales, les experts et les autres institutions et organes de l’Union souhaitant participer.

La plateforme est accessible aux personnes atteintes d’un handicap.

Les coûts de fonctionnement et de maintenance de la plateforme sont à la charge du budget général de l’Union européenne.

3.  La Commission met à disposition un registre en ligne permettant aux groupes d’organisateurs de gérer leur initiative tout au long de la procédure.

Le registre comprend un site internet public fournissant des informations sur l’initiative citoyenne européenne en général ainsi que sur des initiatives spécifiques et leurs statuts respectifs.

La Commission met régulièrement à jour le registre en publiant les informations fournies par les groupes d’organisateurs.

4.  Après que la Commission a enregistré une initiative conformément à l’article 6, elle fournit la traduction du contenu de l’initiative, y compris l’annexe, dans toutes les langues officielles des institutions de l’Union, dans les limites établies à l’annexe II, afin qu’elle soit publiée au registre et serve à la collecte des déclarations de soutien conformément au présent règlement. ▌

Un groupe d’organisateurs peut, en outre, fournir la traduction ▌dans toutes les langues officielles des institutions de l’Union des informations supplémentaires relatives à l’initiative ainsi que, le cas échéant, ▌du projet d’acte juridique visé à l’annexe II et présenté conformément à l’article 6, paragraphe 2. Ces traductions relèvent de la responsabilité du groupe d’organisateurs. Le contenu des traductions fournies par le groupe d’organisateurs correspond au contenu de l’initiative présentée conformément à l’article 6, paragraphe 2.

La Commission veille à la publication, dans le registre et sur le site internet public de l’initiative citoyenne européenne, des informations fournies conformément à l’article 6, paragraphe 2, et des traductions transmises conformément au présent paragraphe.

5.  Pour le transfert des déclarations de soutien aux autorités compétentes des États membres conformément à l’article 12, la Commission met au point un service d’échange de fichiers ▌, qu’elle met gratuitement à la disposition des groupes d'organisateurs.

6.  Chaque État membre établit un ou plusieurs points de contact destinés à informer et assister gratuitement les groupes d’organisateurs, conformément au droit de l’Union et au droit national applicables.

CHAPTER II

DISPOSITIONS DE PROCÉDURE

Article 5

Groupe d’organisateurs

1.  Une initiative est élaborée et gérée par un groupe composé d’au moins sept personnes physiques (ci-après dénommé «groupe d’organisateurs»). Les députés au Parlement européen ne sont pas pris en compte dans le calcul de ce nombre minimal.

2.  Les membres du groupe d’organisateurs sont des citoyens de l’Union en âge de voter aux élections au Parlement européen et le groupe inclut des personnes résidant dans au moins sept États membres différents au moment de l’enregistrement de l’initiative.

Pour chaque initiative, la Commission publie le nom de tous les membres du groupe d'organisateurs dans le registre conformément au règlement (UE) 2018/1725.

3.  Le groupe d’organisateurs désigne deux de ses membres respectivement comme représentant et suppléant, qui assurent la liaison entre le groupe et les institutions de l’Union tout au long de la procédure et sont habilités à agir au nom du groupe d’organisateurs (ci-après dénommés «personnes de contact»).

Le groupe d’organisateurs peut également désigner au maximum deux autres personnes physiques, choisies ou non parmi ses membres, qui sont habilitées à agir au nom des personnes de contact afin d’assurer la liaison avec les institutions de l’Union tout au long de la procédure.

4.  Le groupe d’organisateurs informe la Commission de tout changement intervenu dans sa composition à tout moment de la procédure et produit des preuves appropriées que les exigences énoncées aux paragraphes 1 et 2 sont satisfaites. Les changements intervenus dans la composition du groupe d’organisateurs sont répercutés dans les formulaires de déclaration de soutien et les noms des membres actuels et anciens du groupe d’organisateurs restent publiés au registre tout au long de la procédure.

5.  Sans préjudice de la responsabilité du représentant du groupe d’organisateurs en tant que responsable du traitement des données en application de l’article 82, point 2, du règlement (UE) 2016/679, les membres du groupe d’organisateurs sont solidairement responsables ▌de tout dommage causé dans le cadre de l’organisation d’une initiative par des actes illicites commis intentionnellement ou par négligence grave, conformément au droit national applicable.

6.  Sans préjudice des sanctions prévues à l’article 84 du règlement (UE) 2016/679, les États membres veillent à ce que les membres d’un groupe d’organisateurs soient, conformément au droit national, soumis à des sanctions effectives, proportionnées et dissuasives en cas d’infraction au présent règlement, et en particulier en cas:

a)  de fausses déclarations;

b)  d’utilisation frauduleuse de données.

7.  Lorsqu’une entité juridique a spécifiquement été créée, conformément au droit national d’un État membre, aux fins de la gestion d’une initiative déterminée, cette entité juridique est considérée comme le groupe d’organisateurs ou ses membres, selon le cas, pour les besoins des paragraphes 5 et 6 du présent article, de l’article 6, paragraphe 2 et paragraphes 4 à 7, des articles 7 à 19 et des annexes II à VII, à condition que le membre du groupe d’organisateurs désigné comme le représentant de celui-ci soit habilité à agir au nom de l’entité juridique.

Article 6

Enregistrement

1.  Les déclarations de soutien en faveur d’une initiative ne peuvent être collectées qu’une fois que l’initiative a été enregistrée par la Commission.

2.  Le groupe d’organisateurs soumet la demande d’enregistrement à la Commission via le registre.

Lorsqu’il soumet la demande, le groupe d’organisateurs veille également:

a)  à transmettre les informations visées à l’annexe II dans l’une des langues officielles des institutions de l’Union;

b)  à indiquer quels sont les sept membres à prendre en compte aux fins de l’article 5, paragraphes 1 et 2, lorsque le groupe d'organisateurs est composé de plus de sept membres;

c)  le cas échéant, à indiquer qu’une entité juridique a été créée conformément à l’article 5, paragraphe 7.

Sans préjudice des paragraphes 5 et 6, la Commission statue sur la demande d’enregistrement dans un délai de deux mois suivant la soumission de celle-ci.

3.  La Commission enregistre l’initiative si:

a)  le groupe d’organisateurs a produit des preuves appropriées qu’il satisfait aux exigences énoncées à l’article 5, paragraphes 1 et 2, et qu’il a désigné les personnes de contact conformément à l’article 5, paragraphe 3, premier alinéa;

b)  dans la situation visée à l’article 5, paragraphe 7, l’entité juridique a spécifiquement été créée aux fins de la gestion de l’initiative et si le membre du groupe d’organisateurs désigné en tant que représentant de celui-ci est habilité à agir au nom de l’entité juridique;

c)  aucune partie de l’initiative n’est manifestement en dehors du cadre des attributions de la Commission en vertu desquelles celle-ci peut présenter une proposition d’acte juridique de l’Union aux fins de l’application des traités;

d)  l’initiative n’est pas manifestement abusive, fantaisiste ou vexatoire;

e)  l’initiative n’est pas manifestement contraire aux valeurs de l’Union telles qu’énoncées à l’article 2 du traité sur l’Union européenne ni aux droits consacrés dans la Charte des droits fondamentaux de l’Union européenne.

Aux fins de déterminer si les exigences énoncées aux points a) à e) du premier alinéa du présent paragraphe sont remplies, la Commission évalue les informations fournies par le groupe d'organisateurs conformément au paragraphe 2.

Si une ou plusieurs des exigences établies aux points a) à e) du premier alinéa du présent paragraphe ne sont pas remplies, la Commission refuse l’enregistrement de l’initiative, sans préjudice des paragraphes 4 et 5.

4.  Lorsqu’elle considère que les exigences fixées au paragraphe 3, premier alinéa, points a), b), d) et e), sont remplies mais que l’exigence fixée au paragraphe 3, premier alinéa, point c), n’est pas satisfaite, la Commission, dans les deux mois qui suivent la soumission de la demande, informe le groupe d’organisateurs de son appréciation et des raisons qui la motivent.

Dans ce cas, le groupe d’organisateurs peut soit modifier l’initiative pour prendre en compte l’appréciation de la Commission afin de rendre l’initiative conforme à l’exigence fixée au paragraphe 3, premier alinéa, point c), ▌ soit maintenir ou retirer l’initiative initiale. Le groupe d’organisateurs informe la Commission de son choix dans un délai de deux mois à compter de la réception de l’appréciation de la Commission et en fournit les raisons, et communique les éventuelles modifications de l’initiative initiale.

Lorsque le groupe d’organisateurs modifie ou maintient son initiative initiale conformément au deuxième alinéa du présent paragraphe, la Commission:

a)  enregistre l’initiative si celle-ci remplit les exigences fixées au paragraphe 3, premier alinéa, point c) ▌;

b)  enregistre partiellement l’initiative si une partie ▌de celle-ci, dont ses objectifs principaux, n’est pas manifestement en dehors du cadre des attributions de la Commission en vertu desquelles celle-ci peut présenter une proposition d’acte juridique de l’Union aux fins de l’application des traités;

c)  refuse d’enregistrer l’initiative dans les autres cas.

La Commission statue sur la demande dans un délai d’un mois à compter de la réception des informations visées au deuxième alinéa du présent paragraphe, communiquées par le groupe d’organisateurs.

5.  Une initiative qui a été enregistrée est portée à la connaissance du public dans le registre.

Lorsque la Commission enregistre partiellement une initiative, elle publie des informations sur la portée de l’enregistrement de l’initiative dans le registre.

Dans ce cas, le groupe d’organisateurs veille à ce que les signataires potentiels soient informés de la portée de l’enregistrement de l’initiative et du fait que les déclarations de soutien ne sont collectées qu’en rapport avec la portée de l’enregistrement.

6.  La Commission enregistre l’initiative sous un numéro d’enregistrement unique et en informe le groupe d’organisateurs.

7.  Lorsqu’elle refuse d’enregistrer une initiative ou ne l’enregistre que partiellement conformément au paragraphe 4, la Commission énonce les motifs de sa décision et en informe le groupe d’organisateurs. Elle informe aussi le groupe d’organisateurs de toutes les voies de recours judiciaires et extrajudiciaires dont il dispose.

La Commission met à la disposition du public, dans le registre et sur le site internet public de l’initiative citoyenne européenne, toutes les décisions relatives à des demandes d’enregistrement de propositions d’initiatives citoyennes qu’elle a adoptées conformément au présent article.

8.  La Commission informe le Parlement européen, le Conseil, le Comité économique et social européen et le Comité des régions de l’enregistrement d’une initiative.

Article 7

Retrait d’une initiative

À tout moment avant sa présentation à la Commission conformément à l’article 13, le groupe d’organisateurs peut retirer une initiative enregistrée conformément à l’article 6. Ce retrait est publié dans le registre.

Article 8

Période de collecte

1.  Toutes les déclarations de soutien sont collectées au cours d’une période n’excédant pas 12 mois à compter de la date choisie par le groupe d’organisateurs (ci-après dénommée «période de collecte»), sans préjudice de l’article 11, paragraphe 6. Ladite date ne doit pas se situer au-delà de six mois à compter de l’enregistrement de l’initiative conformément à l’article 6.

Le groupe d’organisateurs informe la Commission de la date choisie, au plus tard 10 jours ouvrables avant ladite date.

Si, au cours de la période de collecte, le groupe d’organisateurs souhaite mettre fin à la collecte des déclarations de soutien avant l’expiration de la période de collecte ▌, il informe la Commission de son intention au moins 10 jours ouvrables avant la nouvelle date à laquelle la période de collecte doit prendre fin.

La Commission informe les États membres de la date visée au premier alinéa.

2.  La Commission indique les dates de début et de fin de la période de collecte dans le registre.

3.  À la date à laquelle la période de collecte prend fin, la Commission met un terme à l’exploitation du système central de collecte en ligne au sens de l’article 10 et le groupe d’organisateurs met un terme au fonctionnement du système particulier de collecte en ligne au sens de l’article 11.

Article 9

Procédures de collecte des déclarations de soutien

1.  Les déclarations de soutien peuvent être signées en ligne ou sur papier.

2.  Seuls les formulaires conformes aux modèles figurant à l’annexe III peuvent être utilisés aux fins de la collecte des déclarations de soutien.

Le groupe d’organisateurs complète les formulaires de la manière visée à l’annexe III avant d’entamer la collecte des déclarations de soutien. Les informations fournies dans ces formulaires correspondent à celles figurant dans le registre.

Si le groupe d’organisateurs choisit de collecter les déclarations de soutien en ligne, au moyen du système central de collecte en ligne prévu à l’article 10, la Commission est chargée de fournir les formulaires appropriés, conformément à l’annexe III.

Lorsqu’une initiative a été partiellement enregistrée conformément à l’article 6, paragraphe 4, les formulaires établis à l’annexe III ainsi que le système central de collecte en ligne et un système particulier de collecte en ligne, selon le cas, reflètent la portée de l’enregistrement de l’initiative. Les formulaires de déclaration de soutien peuvent être adaptés pour les besoins de la collecte en ligne ou sur papier.

L’annexe III ne s’applique pas lorsque les citoyens soutiennent une initiative en ligne à l’aide du système central de collecte en ligne visé à l’article 10, en utilisant leurs moyens d’identification électronique notifiés au sens du règlement (UE) nº 910/2014, visés à l’article 10, paragraphe 4, du présent règlement. Les citoyens indiquent leur nationalité et les États membres acceptent l’ensemble minimal de données concernant une personne physique conformément au règlement d’exécution (UE) 2015/1501 de la Commission(17).

3.  Les données à caractère personnel à fournir par le signataire d’une déclaration de soutien se limitent à celles indiquées à l’annexe III.

4.  Les États membres informent la Commission, au plus tard le 30 juin 2019, de leur souhait de figurer respectivement dans la partie A ou dans la partie B de l’annexe III. Les États membres qui souhaitent figurer dans la partie B de l’annexe III indiquent le(s) type(s) de numéro (de document) d’identification personnel ▌qui y sont visés.

D’ici le 1er janvier 2020, la Commission publie les formulaires établis à l’annexe III dans le registre.

Un État membre inclus dans une partie de l’annexe III peut demander à la Commission d’être transféré dans l’autre partie de l’annexe III. Il en fait la demande auprès de la Commission au moins six mois avant la date à laquelle les nouveaux formulaires entrent en application.

5.  Le groupe d’organisateurs est responsable de la collecte des déclarations de soutien de signataires sur papier.

6.  Une personne ne peut signer une déclaration de soutien d’une initiative déterminée qu’une seule fois.

7.  Le groupe d’organisateurs informe la Commission du nombre des déclarations de soutien collectées dans chaque État membre, au moins tous les deux mois pendant la période de collecte, ainsi que du nombre final, dans les trois mois à compter de la fin de la période de collecte, pour publication au registre.

Si le nombre requis de déclarations de soutien n’a pas été atteint ou en l’absence d’une réaction du groupe d’organisateurs dans les trois mois suivant la fin de la période de collecte, la Commission clôt l’initiative et publie un avis à cet effet dans le registre.

Article 10

Systèmes de collecte en ligne

1.  Aux fins de la collecte en ligne des déclarations de soutien, la Commission met en place, d’ici au 1er janvier 2020, et exploite, à compter de cette date, un système central de collecte en ligne conformément à la décision (UE, Euratom) 2017/46.

Les coûts de mise en place et d’exploitation du système central de collecte en ligne sont à la charge du budget général de l’Union européenne. L’utilisation du système central de collecte en ligne est gratuite.

Le système central de collecte en ligne est accessible aux personnes atteintes d’un handicap.

Les données obtenues au moyen du système central de collecte en ligne sont stockées sur les serveurs mis à disposition par la Commission à cet effet.

Le système central de collecte en ligne permet le téléchargement des déclarations de soutien collectées sur papier.

2.  Pour chaque initiative, la Commission veille à ce que les déclarations de soutien puissent être collectées au moyen du système central de collecte en ligne pendant la période de collecte définie conformément à l’article 8.

3.  Le groupe d’organisateurs indique à la Commission, au plus tard 10 jours ouvrables avant le début de la période de collecte, s’il souhaite utiliser le système central de collecte en ligne et s’il souhaite télécharger les déclarations de soutien collectées sur papier.

Si un groupe d’organisateurs souhaite télécharger les déclarations de soutien collectées sur papier, il télécharge toutes ces déclarations dans un délai de deux mois à compter de la fin de la période de collecte, et en informe la Commission.

4.  Les États membres veillent à ce que:

a)  les citoyens puissent soutenir des initiatives en ligne par des déclarations de soutien en utilisant des moyens d’identification électronique notifiés ou en signant la déclaration de soutien avec une signature électronique au sens du règlement (UE) nº 910/2014 ▌;

b)  le nœud eIDAS de la Commission développé dans le cadre du règlement (UE) n° 910/2014 et du règlement d’exécution (UE) 2015/1501 soit reconnu.

5.  La Commission consulte les parties prenantes en ce qui concerne l’évolution et les améliorations du système central de collecte en ligne pour tenir compte de leurs suggestions et de leurs préoccupations.

Article 11

Systèmes particuliers de collecte en ligne

1.  Lorsqu’un groupe d’organisateurs n’utilise pas le système central de collecte en ligne, il peut collecter des déclarations de soutien en ligne dans plusieurs États membres ou dans l’ensemble de ceux-ci au moyen d’un autre système unique de collecte en ligne (ci-après dénommé «système particulier de collecte en ligne»).

Les données collectées au moyen du système particulier de collecte en ligne sont stockées sur le territoire d’un État membre.

2.  Le groupe d’organisateurs veille à ce que le système particulier de collecte en ligne soit conforme aux exigences fixées au paragraphe 4 du présent article et à l’article 18, paragraphe 3, tout au long de la période de collecte.

3.  Après l’enregistrement de l’initiative et avant le début de la période de collecte, et sans préjudice des pouvoirs des autorités de contrôle nationales en vertu du chapitre VI du règlement (UE) 2016/679, le groupe d’organisateurs demande à l’autorité compétente de l’État membre dans lequel les données collectées au moyen du système particulier de collecte en ligne seront stockées de certifier que ce système est conforme aux exigences fixées au paragraphe 4 du présent article.

Lorsqu’un système particulier de collecte en ligne satisfait aux exigences énoncées au paragraphe 4 du présent article, l’autorité compétente délivre un certificat à cet effet, conformément au modèle figurant à l’annexe IV, dans un délai d’un mois à dater de la demande. Le groupe d’organisateurs met une copie de ce certificat à la disposition du public sur le site internet utilisé pour le système particulier de collecte en ligne.

Les États membres reconnaissent les certificats délivrés par les autorités compétentes des autres États membres.

4.  Les systèmes particuliers de collecte en ligne sont dotés des dispositifs de sécurité et techniques adéquats pour garantir, tout au long de la période de collecte, que:

a)  seules des personnes physiques peuvent signer une déclaration de soutien;

b)  les informations fournies sur l’initiative correspondent aux informations publiées dans le registre;

c)  les données sont collectées auprès des signataires conformément à l’annexe III;

d)  les données fournies par les signataires sont collectées et stockées d’une manière sécurisée.

5.  Le 1er janvier 2020 au plus tard, la Commission adopte des actes d'exécution fixant les spécifications techniques pour la mise en œuvre du paragraphe 4 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 22.

La Commission peut consulter l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA) lors de l’élaboration des spécifications techniques visées au premier alinéa.

6.  Lorsque des déclarations de soutien sont collectées au moyen d'un système particulier de collecte en ligne, la période de collecte ne peut commencer qu’après que le certificat visé au paragraphe 3 a été délivré pour ce système.

7.  Le présent article s’applique uniquement aux initiatives enregistrées conformément à l’article 6 au plus tard le 31 décembre 2022.

Article 12

Vérification et certification des déclarations de soutien par les États membres

1.  Chaque État membre vérifie et certifie que les déclarations de soutien signées par ses ressortissants sont conformes aux dispositions du présent règlement (ci-après dénommé «État membre responsable»).

2.  Dans un délai de trois mois à compter de la fin de la période de collecte et sans préjudice du paragraphe 3 du présent article, le groupe d’organisateurs présente les déclarations de soutien, collectées en ligne ou sur papier, aux autorités compétentes de l’État membre responsable visées à l’article 20, paragraphe 2.

Le groupe d’organisateurs ne soumet les déclarations de soutien aux autorités compétentes que si les nombres minimaux de signataires fixés à l’article 3 ont été atteints.

Les déclarations de soutien ne sont présentées qu’une seule fois à chaque autorité compétente de l’État membre responsable, à l’aide du formulaire figurant à l’annexe V.

Les déclarations de soutien collectées en ligne sont présentées conformément à un schéma électronique mis à la disposition du public par la Commission.

Les déclarations de soutien collectées sur papier et celles qui l’ont été au moyen d’un système particulier de collecte en ligne sont présentées séparément.

3.  La Commission présente à l’autorité compétente de l’État membre responsable les déclarations de soutien collectées en ligne au moyen du système central de collecte en ligne, ainsi que celles collectées sur papier et téléchargées conformément à l’article 10, paragraphe 3, second alinéa, dès que le groupe d'organisateurs a présenté à l’autorité compétente de l’État membre responsable le formulaire figurant à l’annexe V, conformément au paragraphe 2 du présent article.

Lorsqu’un groupe d’organisateurs a collecté des déclarations de soutien au moyen d’un système particulier de collecte en ligne, il peut demander à la Commission de soumettre ces déclarations de soutien à l’autorité compétente de l’État membre responsable.

La Commission présente les déclarations de soutien conformément au paragraphe 2, deuxième, troisième et quatrième alinéas, du présent article, au moyen du service d’échange de fichiers de l’Union visé à l’article 4, paragraphe 5.

4.  Dans un délai de trois mois à compter de la réception des déclarations de soutien, les autorités compétentes vérifient ces dernières sur la base de contrôles appropriés, qui peuvent reposer sur des sondages aléatoires, conformément à la législation et aux pratiques nationales.

Lorsque les déclarations de soutien collectées en ligne et sur papier sont présentées séparément, le délai commence à courir lorsque l’autorité compétente a reçu l’ensemble des déclarations de soutien.

Aux fins de la vérification des déclarations de soutien collectées sur papier, l’authentification des signatures n’est pas requise.

5.  Sur la base des vérifications effectuées, l’autorité compétente certifie le nombre de déclarations de soutien valables pour l’État membre concerné. Le certificat est délivré gratuitement au groupe d’organisateurs, à l’aide du modèle figurant à l’annexe VI.

Ce certificat précise le nombre de déclarations de soutien valables collectées sur papier et en ligne, y compris celles collectées sur papier et téléchargées conformément à l’article 10, paragraphe 3, deuxième alinéa.

Article 13

Présentation à la Commission

Dans un délai de trois mois suivant l’obtention du dernier certificat prévu à l’article 12, paragraphe 5, le groupe d’organisateurs présente l’initiative à la Commission.

Le groupe d’organisateurs présente le formulaire figurant à l’annexe VII dûment rempli, accompagné de copies, sur papier ou sous forme électronique, des certificats visés à l’article 12, paragraphe 5.

Le formulaire figurant à l’annexe VII est mis à la disposition du public par la Commission dans le registre.

Article 14

Publication et audition publique

1.  Lorsque la Commission reçoit une initiative valable, dont les déclarations de soutien ont été collectées et certifiées conformément aux dispositions des articles 8 à 12, elle publie sans tarder un avis à cet effet dans le registre et transmet l’initiative au Parlement européen, au Conseil, au Comité économique et social européen, au Comité des régions ainsi qu’aux parlements nationaux.

2.  Dans un délai de trois mois à compter de la présentation de l’initiative, le groupe d’organisateurs se voit accorder la possibilité de présenter l’initiative lors d’une audition publique organisée par le Parlement européen.

Le Parlement européen organise l’audition publique dans ses locaux.

La Commission est représentée à l’audition à un niveau approprié.

Le Conseil, d’autres institutions et organes consultatifs de l’Union, les parlements nationaux, ainsi que la société civile, se voient accorder la possibilité d’assister aux auditions.

Le Parlement européen veille à une représentation équilibrée des intérêts publics et privés en présence.

3.  À la suite de l’audition publique, le Parlement européen évalue le soutien politique de cette initiative.

Article 15

Examen par la Commission

1.  Dans un délai d’un mois à compter de la présentation de l’initiative conformément à l’article 13, la Commission reçoit le groupe d’organisateurs à un niveau approprié afin de lui permettre d’exposer dans le détail les objectifs de l’initiative.

2.  Dans un délai de six mois à compter de la publication de l’initiative, conformément à l’article 14, paragraphe 1, et à l’issue de l’audition publique visée à l’article 14, paragraphe 2, la Commission présente, dans une communication, ses conclusions juridiques et politiques sur l’initiative, l’action qu’elle compte entreprendre, le cas échéant, ainsi que les raisons qu’elle a d’entreprendre ou de ne pas entreprendre cette action.

Lorsque la Commission a l’intention de donner suite à l’initiative, y compris, le cas échéant, en adoptant une ou plusieurs propositions d’acte juridique de l’Union, la communication expose aussi le calendrier prévu pour les mettre en œuvre.

La communication est notifiée au groupe d’organisateurs ainsi qu’au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, et est rendue publique.

3.  La Commission et le groupe d’organisateurs informent les signataires des suites données à l’initiative conformément à l’article 18, paragraphes 2 et 3.

La Commission fournit, dans le registre et sur le site internet public de l’initiative citoyenne européenne, des informations actualisées sur la mise en œuvre des mesures énoncées dans la communication qui sont adoptées pour donner suite à l’initiative.

Article 16

Suivi des initiatives citoyennes valides par le Parlement européen

Le Parlement européen évalue les mesures prises par la Commission à la suite de sa communication visée à l’article 15, paragraphe 2.

CHAPITRE III

AUTRES DISPOSITIONS

Article 17

Transparence

1.   Le groupe d’organisateurs fournit, aux fins de la publication dans le registre et, le cas échéant, sur le site internet de sa campagne, des informations claires, précises et complètes sur les sources de ▌financement de l’initiative lorsque celles-ci dépassent 500 EUR par promoteur.

Les sources de financement et de soutien déclarées, y compris les promoteurs, et les montants correspondants sont clairement identifiables.

Le groupe d’organisateurs fournit également des informations sur les organisations qui lui prêtent assistance de manière volontaire, dans la mesure où ledit soutien n’est pas économiquement quantifiable.

Ces informations sont mises à jour au moins tous les deux mois au cours de la période allant de la date d’enregistrement à la date à laquelle l’initiative est présentée à la Commission conformément à l’article 13. Elles sont rendues publiques par la Commission de façon claire et accessible dans le registre et sur le site internet public de l’initiative citoyenne européenne.

2.  La Commission est habilitée à demander au groupe d’organisateurs des informations et des précisions supplémentaires sur les sources de financement et de soutien déclarées conformément au présent règlement.

3.  La Commission permet aux citoyens d’introduire une plainte concernant l'exhaustivité et l'exactitude des informations sur les sources de financement et de soutien déclarées par les groupes d'organisateurs et met, à cet effet, un formulaire de contact à la disposition du public dans le registre et sur le site internet public de l'initiative citoyenne européenne.

La Commission peut demander au groupe d’organisateurs des informations complémentaires en rapport avec les plaintes reçues conformément au présent paragraphe et, le cas échéant, actualiser les informations sur les sources de financement et de soutien déclarées dans le registre.

Article 18

Communication

1.  La Commission sensibilise le public à l’existence, aux objectifs et au fonctionnement de l’initiative citoyenne européenne au moyen d’activités de communication et de campagnes d’information, contribuant ainsi à la promotion de la participation active des citoyens à la vie politique de l’Union.

Le Parlement européen contribue aux activités de communication de la Commission.

2.  Aux fins d’activités de communication et d’information relatives à l’initiative concernée et sous réserve du consentement explicite du signataire, l’adresse électronique de ce dernier peut être collectée par un groupe d’organisateurs ou par la Commission.

Les signataires potentiels sont informés que leur droit à soutenir une initiative n’est pas subordonné à leur consentement quant à la collecte de leur adresse électronique.

3.  Les adresses électroniques ne peuvent pas être collectées dans le cadre des formulaires de déclaration de soutien. Elles peuvent cependant être collectées en même temps que les déclarations de soutien, pour autant qu’elles soient traitées séparément.

Article 19

Protection des données à caractère personnel

1.  Le représentant du groupe d’organisateurs est le responsable du traitement des données au sens du règlement (UE) 2016/679 à l’égard du traitement des données à caractère personnel lors de la collecte des déclarations de soutien, des adresses électroniques et des données sur les promoteurs des initiatives. Lorsque l’entité juridique visée à l’article 5, paragraphe 7, du présent règlement est créée, cette entité est responsable du traitement des données.

2.  Les autorités compétentes désignées conformément à l’article 19, paragraphe 2, du présent règlement sont les responsables du traitement au sens du règlement (UE) 2016/679 à l’égard du traitement des données à caractère personnel aux fins de la vérification et de la certification des déclarations de soutien.

3.  La Commission est le responsable du traitement au sens du règlement (UE) 2018/1725 à l’égard du traitement des données à caractère personnel dans le registre, sur la plateforme collaborative en ligne, dans le système central de collecte en ligne visé à l’article 10 du présent règlement et lors de la collecte des adresses électroniques.

4.  Les données à caractère personnel fournies dans les déclarations de soutien sont collectées aux fins des opérations requises pour la collecte et le stockage sécurisés, conformément aux dispositions des articles 9 à 11, pour la présentation aux États membres, pour la vérification et la certification conformément à l’article 12 ainsi que pour la réalisation des contrôles de qualité nécessaires et de l’analyse statistique.

5.  Le groupe d’organisateurs et la Commission, selon le cas, détruisent toutes les déclarations de soutien signées pour une initiative et toute copie de ces déclarations au plus tard un mois après la présentation de l’initiative à la Commission, conformément à l’article 13, ou vingt et un mois après le début de la période de collecte, la date la plus proche étant retenue. Toutefois, si une initiative est retirée après le début de la période de collecte, les déclarations de soutien et toute copie de celles-ci sont détruites au plus tard un mois après le retrait visé à l’article 7.

6.  L’autorité compétente détruit toutes les déclarations de soutien et les copies de celles-ci au plus tard trois mois après avoir émis le certificat visé à l’article 12, paragraphe 5.

7.  Les déclarations de soutien d’une initiative déterminée et les copies de ces déclarations peuvent être conservées au-delà des délais fixés aux paragraphes 5 et 6, si des procédures judiciaires ou administratives concernant l’initiative en question le requièrent. Elles sont détruites au plus tard un mois après la conclusion de ces procédures par une décision finale.

8.  La Commission et le groupe d’organisateurs détruisent les enregistrements des adresses électroniques collectées conformément à l’article 18, paragraphe 2, au plus tard un mois après le retrait d’une initiative ou douze mois après la fin de la période de collecte ou la présentation de l’initiative à la Commission, respectivement. Toutefois, lorsque la Commission annonce, au moyen d’une communication, les actions qu’elle compte entreprendre conformément à l’article 15, paragraphe 2, les enregistrements des adresses électroniques sont détruits trois ans au plus tard après la publication de la communication.

9.  Sans préjudice de leurs droits au titre du règlement (UE) 2018/1725, les membres du groupe d’organisateurs ont le droit de demander le retrait de leurs données à caractère personnel du registre après deux ans à compter de la date d’enregistrement de l’initiative concernée.

Article 20

Autorités compétentes au sein des États membres

1.  Aux fins de l’article 11, chaque État membre désigne une ou plusieurs autorités compétentes chargées de délivrer le certificat visé à l’article 11, paragraphe 3.

2.  Aux fins de l’article 12, chaque État membre désigne une autorité compétente chargée de coordonner le processus de vérification des déclarations de soutien et de délivrer les certificats visés à l’article 12, paragraphe 5.

3.  Le 1er janvier 2020 au plus tard, les États membres transmettent à la Commission les noms et adresses des autorités désignées conformément aux paragraphes 1 et 2. Ils informent la Commission de toute mise à jour de ces informations.

La Commission rend publics dans le registre les noms et adresses des autorités désignées conformément aux paragraphes 1 et 2.

Article 21

Communication des dispositions nationales

1.  Le 1er janvier 2020 au plus tard, les États membres communiquent à la Commission les dispositions particulières qu’ils ont adoptées afin de mettre en œuvre le présent règlement.

2.  La Commission rend ces dispositions accessibles au public dans le registre, dans la langue utilisée par les États membres pour la communication faite en vertu du paragraphe 1.

CHAPITRE IV

ACTES DÉLÉGUÉS ET ACTES D’EXÉCUTION

Article 22

Comité

1.  Pour la mise en œuvre de l’article 11, paragraphe 5, du présent règlement, la Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) nº 182/2011.

2.  Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) nº 182/2011 s’applique.

Article 23

Pouvoirs délégués

La Commission est habilitée à adopter des actes délégués conformément à l’article 24 en ce qui concerne des modifications aux annexes du présent règlement dans les limites du champ d’application des dispositions du présent règlement pertinentes pour ces annexes.

Article 24

Exercice de la délégation

1.  Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées dans le présent article.

2.  Le pouvoir d’adopter les actes délégués visés à l’article 23 est conféré à la Commission pour une durée de cinq ans à compter du ... [date d’entrée en vigueur du présent règlement].

3.  La délégation de pouvoir visée à l’article 23 peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. Elle prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle n’affecte pas la validité de tout acte délégué déjà en vigueur.

4.  Avant d’adopter un acte délégué, la Commission consulte les experts désignés par chaque État membre conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer».

5.  Aussitôt qu’elle adopte un acte délégué, la Commission le notifie simultanément au Parlement européen et au Conseil.

6.  Un acte délégué adopté conformément à l’article 23 n’entre en vigueur que si le Parlement européen ou le Conseil n’ont exprimé aucune objection dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois sur l’initiative du Parlement européen ou du Conseil.

CHAPITRE V

DISPOSITIONS FINALES

Article 25

Réexamen

La Commission réexamine périodiquement le fonctionnement de l’initiative citoyenne européenne et présente un rapport au Parlement européen et au Conseil sur l’application du présent règlement au plus tard le 1er janvier 2024, et ensuite tous les quatre ans. Ces rapports couvrent également l’âge minimum requis pour soutenir une initiative citoyenne européenne dans les États membres. Ces rapports sont publiés.

Article 26

Abrogation

Le règlement (UE) nº 211/2011 est abrogé avec effet au 1er janvier 2020.

Les références au règlement abrogé s’entendent comme faites au présent règlement.

Article 27

Disposition transitoire

Les articles 5 à 9 du règlement (UE) n° 211/2011 continuent de s'appliquer après le 1er janvier 2020 aux initiatives citoyennes européennes enregistrées avant le 1er janvier 2020.

Article 28

Entrée en vigueur et mise en application

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Il est applicable à partir du 1er janvier 2020.

Toutefois, l’article 9, paragraphe 4, l'article 10, l’article 11, paragraphe 5, ainsi que les articles 20 à 24 s’appliquent à compter de la date d’entrée en vigueur du présent règlement.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à ..., le

Par le Parlement européen Par le Conseil

Le président Le président

ANNEXES

ANNEXE 1

Nombre minimal de signataires par État membre

Belgique

15 771

Bulgarie

12 767

Tchéquie

15 771

Danemark

9 763

Allemagne

72 096

Estonie

4 506

Irlande

8 261

Grèce

15 771

Espagne

40 554

France

55 574

Croatie

8 261

Italie

54 823

Chypre

4 506

Lettonie

6 008

Lituanie

8 261

Luxembourg

4 506

Hongrie

15 771

Malte

4 506

Pays-Bas

19 526

Autriche

13 518

Pologne

38 301

Portugal

15 771

Roumanie

24 032

Slovénie

6 008

Slovaquie

9 763

Finlande

9 763

Suède

15 020

Royaume-Uni

54 823

ANNEXE II

INFORMATIONS REQUISES POUR L’ENREGISTREMENT D’UNE INITIATIVE

1.  Intitulé de l’initiative, en 100 caractères au maximum.(*)

2.  Objectifs de l’initiative pour lesquels la Commission est invitée à agir, en 1 100 caractères au maximum sans espace (moyenne ajustée par langue(*)).

Le groupe d'organisateurs peut joindre une annexe sur l’objet, les objectifs et le contexte de l’initiative, en 5 000 caractères au maximum sans espace (moyenne ajustée par langue(*)).

Le groupe d'organisateurs peut fournir des informations supplémentaires sur l’objet, les objectifs et le contexte de l’initiative. Il peut également, s’il le souhaite, soumettre un projet d’acte juridique.

3.  Dispositions des traités que le groupe d'organisateurs juge pertinentes pour l’action proposée.

4.  Noms complets, adresses postales, nationalités et dates de naissance de sept membres du groupe d’organisateurs résidant dans sept États membres différents, avec une mention spécifique du représentant et de son suppléant ainsi que de leurs adresses électroniques et numéros de téléphone(18).

Si le représentant et/ou son suppléant ne font pas partie des sept membres visés au premier alinéa, leurs noms complets, adresses postales, nationalités et dates de naissance, adresses électroniques et numéros de téléphone.

5.  Documents attestant des noms complets, adresses postales, nationalités et dates de naissance de chacun des sept membres visés au point 4 ainsi que du représentant et de son suppléant si ceux-ci ne se trouvent pas parmi ces sept membres;

6.  Noms des autres membres du groupe d’organisateurs;

7.  Le cas échéant, dans la situation visée à l’article 5, paragraphe 7, du règlement (UE) .../...(19), les documents qui attestent la création, conformément au droit national d’un État membre, d’une entité juridique aux fins de la gestion d’une initiative déterminée et qui prouvent que le membre du groupe d’organisateurs désigné comme son représentant est habilité à agir au nom de l’entité juridique.

8.  Toutes les sources de soutien et de financement apportés à l’initiative au moment de l’enregistrement.(20)

(*) La Commission fournit la traduction de ces éléments dans toutes les langues officielles des institutions de l’Union, pour toutes les initiatives enregistrées.

ANNEXE III

FORMULAIRE DE DÉCLARATION DE SOUTIEN — Partie A(21)

(pour les États membres n’imposant pas la communication d’un numéro d’identification personnel/du numéro d’un document d’identification personnel)

Tous les champs mentionnés dans le présent formulaire sont obligatoires.

À REMPLIR PRÉALABLEMENT PAR LE GROUPE D’ORGANISATEURS:

Tous les signataires mentionnés dans le présent formulaire sont des citoyens de:

Prière de n’indiquer qu’un seul État membre par liste.

Numéro d’enregistrement attribué par la Commission européenne: Date de début et de fin de la période de collecte:

4.  Adresse internet de la présente initiative dans le registre de la Commission européenne:

Intitulé de la présente initiative:

Objectifs de l’initiative:

7.  Noms et adresses électroniques des personnes de contact enregistrées

[Le cas échéant, dans la situation visée à l’article 5, paragraphe 7, du règlement (UE) .../... (22)en outre: la dénomination et le pays du siège de l’entité juridique]:

8.  Site internet de cette initiative (le cas échéant):

À REMPLIR PAR LES SIGNATAIRES EN LETTRES CAPITALES:

«Je soussigné(e), certifie, par la présente, que les informations que j’ai fournies dans le présent formulaire sont exactes et que je n’ai pas encore apporté mon soutien à la présente initiative.»

PRÉNOMS COMPLETS

NOMS DE FAMILLE

LIEU DE RÉSIDENCE(23)

(rue, numéro, code postal, ville, pays)

DATE

DE NAISSANCE

DATE

SIGNATURE(24)

Déclaration de confidentialité(25) pour les déclarations de soutien recueillies sur papier ou par l’intermédiaire de systèmes particuliers de collecte en ligne:

Conformément au règlement (UE) 2016/679 (règlement général sur la protection des données), vos données à caractère personnel mentionnées dans le présent formulaire ▌ne seront utilisées qu’aux fins de soutien de l’initiative et communiquées qu’aux autorités nationales compétentes aux fins de vérification et de certification. Vous avez le droit de demander au groupe d'organisateurs de cette initiative l’accès à vos données à caractère personnel, la rectification ou l’effacement de ces données et la limitation de leur traitement.

Vos données seront conservées par le groupe d'organisateurs pendant une période maximale d’un mois à compter de la présentation de l’initiative à la Commission européenne, ou vingt et un mois après le début de la période de collecte, la date la plus proche étant retenue. Elles peuvent être conservées au-delà de ces limites en cas de procédures judiciaires ou administratives, au maximum un mois après la date de clôture de ces procédures.

Sans préjudice de tout autre recours administratif ou judiciaire, vous avez le droit de déposer une plainte à tout moment après d’une autorité de protection des données, en particulier dans l’État membre dans lequel se trouve votre résidence habituelle, votre lieu de travail ou le lieu où la violation aurait été commise, si vous considérez que vos données ont été traitées illégalement.

Le représentant du groupe d’organisateurs de l’initiative ou, le cas échéant, l’entité juridique créée par celui-ci, est le responsable du traitement au sens du règlement général sur la protection des données et peuvent être contactés à l’aide des coordonnées figurant dans le présent formulaire.

Les coordonnées du délégué à la protection des données (le cas échéant) sont disponibles à l’adresse internet de l’initiative dans le registre de la Commission européenne, comme indiqué au point 4 du présent formulaire.

Les coordonnées de l’autorité nationale compétente qui recevra et traitera les données à caractère personnel, et les coordonnées des autorités nationales de protection des données peuvent être consultées sur: http://ec.europa.eu/citizens-initiative/public/data-protection?lg=fr.

Déclaration de confidentialité pour les déclarations de soutien recueillies en ligne par l’intermédiaire du système central de collecte en ligne:

Conformément au règlement (UE) 2018/1725 et au règlement (UE) 2016/679 (règlement général sur la protection des données), vos données à caractère personnel transmises par l’intermédiaire du présent formulaire ▌ne seront utilisées qu’aux fins de soutien de l’initiative et communiquées qu’aux autorités nationales compétentes aux fins de vérification et de certification. Vous avez le droit de demander à la Commission européenne et au représentant du groupe d'organisateurs de cette initiative ou, le cas échéant, à l'entité juridique créée par celui-ci, l’accès à vos données à caractère personnel, la rectification ou l’effacement de ces données et la limitation de leur traitement.

Vos données seront conservées par la Commission européenne pendant une période maximale d’un mois à compter de la présentation de l’initiative à la Commission européenne, ou vingt et un mois après le début de la période de collecte, la date la plus proche étant retenue. Elles peuvent être conservées au-delà de ces limites en cas de procédures judiciaires ou administratives, au maximum un mois après la date de clôture de ces procédures.

Sans préjudice de tout autre recours administratif ou judiciaire, vous avez le droit de déposer une plainte à tout moment auprès d’une autorité de protection des données, en particulier dans l’État membre dans lequel se trouve votre résidence habituelle, votre lieu de travail ou le lieu où la violation aurait été commise, si vous considérez que vos données ont été traitées illégalement.

La Commission européenne et le représentant du groupe d'organisateurs de l'initiative ou, le cas échéant, l'entité juridique créée par celui-ci sont les responsables conjoints du traitement au sens du règlement (UE) 2018/1725 et du règlement général sur la protection des données et peuvent être contactés à l’aide des coordonnées figurant dans le présent formulaire.

Les coordonnées du délégué à la protection des données du groupe d'organisateurs, le cas échéant, sont disponibles à l’adresse internet de cette initiative dans le registre de la Commission européenne, comme indiqué au point 4 du présent formulaire.

Les coordonnées du délégué à la protection des données de la Commission européenne, de l’autorité nationale compétente qui recevra et traitera les données à caractère personnel, du Contrôleur européen de la protection des données et des autorités nationales de protection des données peuvent être consultées sur: http://ec.europa.eu/citizens-initiative/public/data-protection?lg=fr.

FORMULAIRE DE DÉCLARATION DE SOUTIEN — PARTIE B(26)

(pour les États membres imposant la communication ▌d’un numéro d’identification personnel/du numéro d’un document d’identification personnel)

Tous les champs mentionnés dans le présent formulaire sont obligatoires.

À REMPLIR PRÉALABLEMENT PAR LE GROUPE D’ORGANISATEURS:

1.  Tous les signataires mentionnés dans le présent formulaire sont des citoyens de:

Prière de n’indiquer qu’un seul État membre par liste.

Voir le site internet de la Commission européenne concernant l’initiative citoyenne européenne pour les numéros d’identification personnels/numéros de documents d’identification personnels, dont l’un doit être communiqué.

2.  Numéro d’enregistrement attribué par la Commission européenne: 3. Date de début et de fin de la période de collecte:

4.  Adresse internet de la présente initiative dans le registre de la Commission européenne:

5.  Intitulé de la présente initiative:

6.  Objectifs de l’initiative:

7.  Noms et adresses électroniques des personnes de contact enregistrées:

[Dans la situation visée à l’article 5, paragraphe 7, du règlement (UE) .../...(27), le cas échéant: la dénomination et le pays du siège de l’entité juridique]:

8.  Site internet de cette initiative (le cas échéant):

À REMPLIR PAR LES SIGNATAIRES EN LETTRES CAPITALES:

«Je soussigné(e), certifie, par la présente, que les informations que j’ai fournies dans le présent formulaire sont exactes et que je n’ai pas encore apporté mon soutien à la présente initiative.»

PRÉNOMS COMPLETS

NOMS DE FAMILLE

▌NUMÉRO D’IDENTIFICATION PERSONNEL/

NUMÉRO D’UN DOCUMENT D’IDENTIFICATION PERSONNEL

TYPE DE NUMÉRO OU DE DOCUMENT D’IDENTIFICATION PERSONNEL

DATE

SIGNATURE(28)

Déclaration de confidentialité(29) pour les déclarations de soutien recueillies sur papier ou par l’intermédiaire de systèmes particuliers de collecte en ligne:

Conformément au règlement (UE) 2016/679 (règlement général sur la protection des données), vos données à caractère personnel mentionnées dans le présent formulaire ▌ne seront utilisées qu’aux fins de soutien de l’initiative et communiquées qu’aux autorités nationales compétentes aux fins de vérification et de certification. Vous avez le droit de demander au groupe d'organisateurs de cette initiative l’accès à vos données à caractère personnel, la rectification ou l’effacement de ces données et la limitation de leur traitement.

Vos données seront conservées par le groupe d'organisateurs pendant une période maximale d’un mois à compter de la présentation de l’initiative à la Commission européenne, ou vingt et un mois après le début de la période de collecte, la date la plus proche étant retenue. Elles peuvent être conservées au-delà de ces limites en cas de procédures judiciaires ou administratives, au maximum un mois après la date de clôture de ces procédures.

Sans préjudice de tout autre recours administratif ou judiciaire, vous avez le droit de déposer une plainte à tout moment auprès d’une autorité de protection des données, en particulier dans l’État membre dans lequel se trouve votre résidence habituelle, votre lieu de travail ou le lieu où la violation aurait été commise, si vous considérez que vos données ont été traitées illégalement.

Le représentant du groupe d’organisateurs de l’initiative ou, le cas échéant, l’entité juridique créée par celui-ci, est le responsable du traitement au sens du règlement général sur la protection des données et peut être contacté à l’aide des coordonnées figurant dans le présent formulaire.

Les coordonnées du délégué à la protection des données (le cas échéant) sont disponibles à l’adresse internet de l’initiative dans le registre de la Commission européenne, comme indiqué au point 4 du présent formulaire.

Les coordonnées de l’autorité nationale compétente qui recevra et traitera les données à caractère personnel, et les coordonnées des autorités nationales de protection des données peuvent être consultées sur: http://ec.europa.eu/citizens-initiative/public/data-protection?lg=fr.

Déclaration de confidentialité pour les déclarations de soutien recueillies en ligne par l’intermédiaire du système central de collecte en ligne:

Conformément au règlement (UE) 2018/1725 et au règlement (UE) 2016/679 (règlement général sur la protection des données), vos données à caractère personnel transmises par l’intermédiaire du présent formulaire ▌ne seront utilisées qu’aux fins de soutien de l’initiative et communiquées qu’aux autorités nationales compétentes aux fins de vérification et de certification. Vous avez le droit de demander au représentant du groupe d'organisateurs de l'initiative ou, le cas échéant, à l'entité juridique créée par celui-ci l’accès à vos données à caractère personnel, la rectification ou l’effacement de ces données et la limitation de leur traitement.

Vos données seront conservées par la Commission européenne pendant une période maximale d’un mois à compter de la présentation de l’initiative à la Commission européenne, ou vingt et un mois après le début de la période de collecte, la date la plus proche étant retenue. Elles peuvent être conservées au-delà de ces limites en cas de procédures judiciaires ou administratives, au maximum un mois après la date de clôture de ces procédures.

Sans préjudice de tout autre recours administratif ou judiciaire, vous avez le droit de déposer une plainte à tout moment auprès du Contrôleur européen de la protection des données ou d’une autorité de protection des données, en particulier dans l’État membre dans lequel se trouve votre résidence habituelle, votre lieu de travail ou le lieu où la violation aurait été commise, si vous considérez que vos données ont été traitées illégalement.

La Commission européenne et le représentant du groupe d'organisateurs de l'initiative ou, le cas échéant, l'entité juridique créée par celui-ci, sont les responsables conjoints du traitement au sens du règlement (UE) 2018/1725 et du règlement général sur la protection des données et peut être contactée à l’aide des coordonnées figurant dans le présent formulaire.

Les coordonnées du délégué à la protection des données du groupe d'organisateurs (le cas échéant) sont disponibles à l’adresse internet de l'initiative dans le registre de la Commission européenne, comme indiqué au point 4 du présent formulaire.

Les coordonnées du délégué à la protection des donnée de la Commission européenne, de l’autorité nationale compétente qui recevra et traitera les données à caractère personnel, du Contrôleur européen de la protection des données et les coordonnées des autorités nationales de protection des données peuvent être consultées sur: http://ec.europa.eu/citizens-initiative/public/data-protection?lg=fr.

ANNEXE IV

CERTIFICAT CONFIRMANT LA CONFORMITÉ D’UN SYSTÈME DE COLLECTE EN LIGNE AU RÈGLEMENT (UE) .../…(30) DU PARLEMENT EUROPÉEN ET DU CONSEIL DU ...(31) RELATIF À L’INITIATIVE CITOYENNE EUROPÉENNE

(nom de l’autorité compétente) de … (nom de l’État membre) certifie par la présente que le système particulier de collecte en ligne … (adresse du site internet), utilisé pour la collecte des déclarations de soutien à l’initiative ….(intitulé de l’initiative) portant le numéro d’enregistrement… (numéro d’enregistrement de l’initiative), est conforme aux dispositions pertinentes du règlement (UE) …+ du Parlement européen et du Conseil du …++ relatif à l’initiative citoyenne européenne.

Date, signature et cachet officiel de l’autorité compétente:

ANNEXE V

FORMULAIRE POUR LA PRÉSENTATION DE DÉCLARATIONS DE SOUTIEN AUX AUTORITÉS COMPÉTENTES DES ÉTATS MEMBRES

1.  Noms complets, adresses postales et adresses électroniques des personnes de contact (représentant et suppléant du groupe d’organisateurs) ou de l’entité juridique chargée de gérer l’initiative et de son représentant:

2.  Intitulé de l’initiative:

3.  Numéro d’enregistrement attribué par la Commission:

4.  Date d’enregistrement:

5.  Nombre de signataires qui sont des ressortissants de (nom de l’État membre):

6.  Nombre total de déclarations de soutien collectées:

7.  Nombre d’États membres où le seuil est atteint:

8.  Annexes:

[joindre toutes les déclarations de soutien de signataires qui sont des ressortissants de l’État membre concerné.

S’il y a lieu, joindre également le(s) certificat(s) pertinent(s) de conformité du système particulier de collecte en ligne au règlement (UE) ...(32) du Parlement européen et du Conseil du ...(33) relatif à l’initiative citoyenne européenne].

9.  Je soussigné(e), déclare, par la présente, que les informations que j’ai fournies dans le présent formulaire sont exactes et que les déclarations de soutien ont été collectées conformément à l’article 9 du règlement (UE) ...+ du Parlement européen et du Conseil du ...++ relatif à l’initiative citoyenne européenne.

10.  Date et signature de l’une des personnes de contact (représentant/suppléant(34)) ou de l’un des représentants de l’entité juridique:

ANNEXE VI

CERTIFICAT CONFIRMANT LE NOMBRE DE DÉCLARATIONS DE SOUTIEN VALABLES COLLECTÉES POUR … (NOM DE L’ÉTAT MEMBRE)

... (nom de l’autorité compétente) de … (nom de l’État membre), après avoir effectué les vérifications requises par l’article 12 du règlement (UE) ...(35) du Parlement européen et du Conseil du ...(36) relatif à l’initiative citoyenne, certifie par la présente que … (nombre de déclarations de soutien valables) déclarations de soutien en faveur de l’initiative portant le numéro d’enregistrement … (numéro d’enregistrement de l’initiative) sont valables au regard des dispositions dudit règlement.

Date, signature et cachet officiel

ANNEXE VII

FORMULAIRE POUR LA PRÉSENTATION D’UNE INITIATIVE À LA COMMISSION EUROPÉENNE

1.  Intitulé de l’initiative:

2.  Numéro d’enregistrement attribué par la Commission:

3.  Date d’enregistrement:

4.  Nombre de déclarations de soutien valables reçues (doit être au moins d’un million):

5.  Nombre de signataires certifiés par les États membres:

 

BE

BG

CZ

DK

DE

EE

IE

EL

ES

FR

HR

IT

CY

LV

LT

LU

Nombre de signataires

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

HU

MT

NL

AT

PL

PT

RO

SI

SK

FI

SE

UK

TOTAL

Nombre de signataires

 

 

 

 

 

 

 

 

 

 

 

 

 

6.  Noms complets, adresses postales et adresses électroniques des personnes de contact (représentant et suppléant du groupe d’organisateurs)(37) ou de l’entité juridique chargée de gérer l’initiative et de son représentant.

7.  Indiquer toutes les sources de soutien et de financement dont a bénéficié l’initiative, y compris le montant du soutien financier au moment de sa présentation.

8.  Je soussigné(e), déclare, par la présente, que les informations que j’ai fournies dans le présent formulaire sont exactes et que toutes les procédures et les conditions fixées aux termes du règlement (UE) ...(38) du Parlement européen et du Conseil du ...(39) relatif à l’initiative citoyenne européenne ont été respectées.

Date et signature de l’une des personnes de contact (représentant/suppléant(40)) ou de l’un des représentants de l’entité juridique:

9.  Annexes: (Joindre l’ensemble des certificats)

(1) JO C 237 du 6.7.2018, p. 74.
(2)JO C 247 du 13.7.2018, p. 62.
(3) JO C 237 du 6.7.2018, p. 74.
(4)JO C 247 du 13.7.2018, p. 62.
(5) Position du Parlement européen du 12 mars 2019.
(6) Règlement (UE) nº 211/2011 du Parlement européen et du Conseil du 16 février 2011 relatif à l’initiative citoyenne (JO L 65 du 11.3.2011, p. 1).
(7)Règlement d’exécution (UE) nº 1179/2011 de la Commission du 17 novembre 2011 établissant des spécifications techniques pour les systèmes de collecte en ligne conformément au règlement (UE) nº 211/2011 du Parlement européen et du Conseil relatif à l’initiative citoyenne (JO L 301 du 18.11.2011, p. 3).
(8)JO C 355 du 20.10.2017, p. 17.
(9) 2017/2024(INL).
(10) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(11) Décision (UE, Euratom) 2017/46 de la Commission du 10 janvier 2017 sur la sécurité des systèmes d’information et de communication au sein de la Commission européenne (JO L 6 du 11.1.2017, p. 40).
(12) Règlement (UE) nº 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73).
(13) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(14) JO L 123 du 12.5.2016, p. 1.
(15)Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(16) Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).
(17) Règlement d’exécution (UE) 2015/1501 de la Commission du 8 septembre 2015 sur le cadre d’interopérabilité visé à l’article 12, paragraphe 8, du règlement (UE) nº 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JO L 235 du 9.9.2015, p. 1).
(18) Seuls les noms complets des membres du groupe d'organisateurs, le pays de résidence du représentant ou, le cas échéant, la dénomination et le pays du siège de l’entité juridique, les adresses électroniques des personnes de contact et les informations relatives aux sources de soutien et de financement seront portés à la connaissance du public dans le registre en ligne de la Commission. Le personnes concernées ont le droit de s'opposer à la publication de leurs données à caractère personnel pour des raisons impérieuses et légitimes tenant à leur situation particulière.
(19)+ JO: veuillez insérer le numéro du présent règlement.
(20)
(21)Le formulaire est imprimé sur un seul feuillet. Le groupe d'organisateurs peut utiliser un feuillet imprimé recto verso. Afin de télécharger les déclarations de soutien recueillies sur papier dans le système central de collecte en ligne, il faut utiliser un code mis à la disposition par la Commission européenne.
(22)+ JO: veuillez insérer le numéro du présent règlement.
(23) Ressortissants allemands résidant en dehors du pays: uniquement s’ils ont enregistré leur résidence permanente actuelle auprès de leur représentation diplomatique allemande compétente à l’étranger.
(24)La signature n’est pas obligatoire lorsque le formulaire est soumis en ligne au moyen du système central de collecte en ligne visé à l’article 10 du règlement (UE) …/…+ ou d’un système particulier de collecte en ligne tel que visé à l’article 11 dudit règlement.
(25)Une seule des deux versions proposées des déclarations de confidentialité doit être utilisée, selon le mode de collecte.
(26)Le formulaire est imprimé sur un seul feuillet. Le groupe d'organisateurs peut utiliser un feuillet imprimé recto verso. Afin de télécharger les déclarations de soutien recueillies sur papier dans le système central de collecte en ligne, il faut utiliser un code mis à la disposition par la Commission européenne.
(27)+ JO : veuillez insérer le numéro du présent règlement.
(28)La signature n’est pas obligatoire lorsque le formulaire est soumis en ligne au moyen du système central de collecte en ligne visé à l’article 10 du règlement (UE) …/…+ ou d’un système particulier de collecte en ligne tel que visé à l’article 11 dudit règlement.
(29)Une seule des deux versions proposées des déclarations de confidentialité doit être utilisée, selon le mode de collecte.
(30)+ JO: veuillez insérer le numéro du présent règlement.
(31)++ JO: veuillez insérer la date d'adoption du présent règlement.
(32)+ JO: veuillez insérer le numéro du présent règlement.
(33)++ JO: veuillez insérer la date d'adoption du présent règlement.
(34) Biffer les mentions inutiles.
(35)+ JO: veuillez insérer le numéro du présent règlement.
(36)++ JO: veuillez insérer la date d'adoption du présent règlement.
(37)Seuls les noms complets des membres du groupe d'organisateurs, le pays de résidence du représentant ou, le cas échéant, le nom et le pays du siège de l'entité juridique, les adresses électroniques des personnes de contact et les informations relatives aux sources de soutien et de financement seront portés à la connaissance du public dans le registre en ligne de la Commission. Les personnes concernées ont le droit de s’opposer à la publication de leurs données à caractère personnel pour des raisons impérieuses et légitimes tenant à leur situation particulière.
(38)+ JO: veuillez insérer le numéro du présent règlement.
(39)++ JO: veuillez insérer la date d'adoption du présent règlement.
(40)Biffer les mentions inutiles.


Importation de biens culturels ***I
PDF 226kWORD 70k
Résolution
Texte consolidé
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de règlement du Parlement européen et du Conseil concernant l’importation de biens culturels (COM(2017)0375 – C8-0227/2017 – 2017/0158(COD))
P8_TA-PROV(2019)0154A8-0308/2018

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2017)0375),

–  vu l'article 294, paragraphe 2, et l'article 207, paragraphe 2, du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C8-0227/2017),

–  vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

–  vu l'accord provisoire approuvé en vertu de l’article 69 septies, paragraphe 4, de son règlement intérieur par la commission compétente et l’engagement pris par le représentant du Conseil, par lettre du 19 décembre 2018, d'approuver la position du Parlement européen, conformément à l'article 294, paragraphe 4, du traité sur le fonctionnement de l'Union européenne,

–  vu l’article 59 de son règlement intérieur,

–  vu les délibérations communes de la commission du commerce international et de la commission du marché intérieur et de la protection des consommateurs conformément à l’article 55 du règlement intérieur,

–  vu le rapport de la commission du commerce international et de la commission du marché intérieur et de la protection des consommateurs, ainsi que les avis de la commission de la culture et de l’éducation et de la commission des libertés civiles, de la justice et des affaires intérieures (A8-0308/2018),

1.  arrête la position en première lecture figurant ci-après(1);

2.  demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.

Position du Parlement européen arrêtée en première lecture le 12 mars 2019 en vue de l’adoption du règlement (UE) 2019/... du Parlement européen et du Conseil concernant l'introduction et l'importation de biens culturels

P8_TC1-COD(2017)0158


LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 207, paragraphe 2,

vu la proposition de la Commission européenne,

après transmission du projet d'acte législatif aux parlements nationaux,

statuant conformément à la procédure législative ordinaire(2),

considérant ce qui suit:

(1)  À la lumière des conclusions du Conseil du 12 février 2016 sur la lutte contre le financement du terrorisme, de la communication de la Commission au Parlement européen et au Conseil du 2 février 2016 relative à un plan d'action destiné à renforcer la lutte contre le financement du terrorisme et de la directive (UE) 2017/541 du Parlement européen et du Conseil(3), il convient d'adopter des règles communes sur le commerce avec les pays tiers de manière à assurer une protection efficace contre le commerce illicite de biens culturels et leur perte ou destruction, à préserver le patrimoine culturel de l'humanité et à empêcher le financement du terrorisme et le blanchiment de capitaux par la vente de biens culturels pillés à des acheteurs dans l'Union.

(2)  L'exploitation de peuples et de territoires peut être à l'origine du commerce illicite de biens culturels, en particulier lorsque ce commerce illicite survient à la faveur d'une situation de conflit armé. À cet égard, il convient que le présent règlement tienne compte des caractéristiques régionales et locales des peuples et des territoires, plutôt que de la valeur marchande des biens culturels.

(3)  Les biens culturels font partie du patrimoine culturel et revêtent souvent une importance culturelle, artistique, historique et scientifique majeure. Le patrimoine culturel constitue l'un des éléments fondamentaux de la civilisation, comportant notamment une valeur symbolique et constituant la mémoire culturelle de l'humanité. Il enrichit la vie culturelle de tous les peuples et unit les personnes autour d'une mémoire partagée, de la connaissance et du développement de la civilisation. Il devrait dès lors être protégé de l'appropriation illicite et du pillage. Le pillage des sites archéologiques a toujours existé, mais se produit désormais à une échelle industrielle et constitue, avec le commerce de biens culturels exhumés de manière illicite, une forme grave de criminalité qui entraîne un préjudice considérable pour les personnes touchées directement ou indirectement. Le commerce illicite de biens culturels contribue dans de nombreux cas à l'imposition par la force d'une homogénéisation culturelle ou d'une perte d'identité culturelle, tandis que le pillage des biens culturels entraîne, entre autres, la désintégration des cultures. Tant qu'il sera possible de prendre part au commerce lucratif de biens culturels exhumés de manière illicite et d'en tirer profit sans risque notable, ces fouilles et ces pillages continueront. La valeur économique et artistique des biens culturels suscite une forte demande sur le marché international. L'absence de mesures législatives internationales solides et l'application inefficace des mesures qui existent ont pour conséquence que ces biens passent dans l'économie souterraine. Il convient par conséquent que l'Union interdise l’introduction sur son territoire douanier de biens culturels exportés illicitement depuis des pays tiers, en accordant une attention particulière aux biens culturels provenant de pays tiers touchés par des conflits armés, en particulier lorsque ces biens culturels ont été commercialisés illicitement par des organisations terroristes ou d'autres organisations criminelles. Bien que cette interdiction générale ne devrait pas entraîner des contrôles systématiques, les États membres devraient être autorisés à intervenir lorsqu'ils reçoivent des renseignements concernant des cargaisons suspectes et à prendre toutes les mesures appropriées pour intercepter les biens culturels exportés illicitement.

(4)  Étant donné que des règles différentes s'appliquent dans les États membres en ce qui concerne l'importation de biens culturels sur le territoire douanier de l'Union, il y a lieu d'adopter des mesures, en particulier pour veiller à ce que certaines importations de biens culturels soient soumises à des contrôles uniformes lors de leur entrée sur le territoire douanier de l'Union, sur la base des processus, procédures et outils administratifs existants visant à parvenir à une application uniforme du règlement (UE) n° 952/2013 du Parlement européen et du Conseil(4).

(5)  La protection des biens culturels considérés comme des trésors nationaux des États membres est déjà régie par le règlement (CE) no 116/2009 du Conseil(5) et la directive 2014/60/UE du Parlement européen et du Conseil(6). Par conséquent, le présent règlement ne devrait pas s'appliquer aux biens culturels qui ont été créés ou découverts sur le territoire douanier de l'Union. Les règles communes introduites par le présent règlement devraient couvrir le traitement douanier des biens culturels non Union qui entrent sur le territoire douanier de l'Union ▌. Aux fins du présent règlement, le territoire douanier pertinent devrait être le territoire douanier de l'Union au moment de l'importation.

(6)  Les mesures de contrôle à mettre en place au sujet des zones franches et des dénommés "ports francs" devraient avoir un champ d'application aussi vaste que possible pour ce qui est des régimes douaniers concernés, afin d'empêcher le contournement du présent règlement par l'exploitation de ces zones franches, qui peuvent être utilisées pour une prolifération constante du commerce illicite. Ces mesures devraient dès lors porter non seulement sur les biens culturels mis en libre pratique mais aussi sur les biens culturels placés sous un régime douanier particulier. Le champ d'application ne devrait toutefois pas aller ▌ au-delà de l'objectif consistant à empêcher l'entrée sur le territoire douanier de l'Union de biens culturels exportés illicitement. En conséquence, tout en intégrant la mise en libre pratique et certains régimes douaniers particuliers sous lesquels des biens entrant sur le territoire douanier de l'Union peuvent être placés, il y a lieu d'exclure le transit des mesures de contrôle systématique.

(7)  De nombreux pays tiers et la majorité des États membres sont familiarisés avec les définitions utilisées dans la convention de l'Unesco concernant les mesures à prendre pour interdire et empêcher l'importation, l'exportation et le transfert de propriété illicites des biens culturels, signée à Paris le 14 novembre 1970 (ci-après dénommée "convention de l'Unesco de 1970") à laquelle un grand nombre d'État membres sont parties, et dans la convention d'Unidroit sur les biens culturels volés ou illicitement exportés, signée à Rome le 24 juin 1995. Pour cette raison, les définitions utilisées dans le présent règlement se fondent sur ces définitions.

(8)  Il y a lieu d'examiner principalement la licéité des exportations de biens culturels au regard des dispositions législatives et réglementaires du pays où ces biens culturels ont été créés ou découverts▌. Toutefois, afin de ne pas entraver déraisonnablement le commerce légitime, une personne qui tente d'importer des biens culturels sur le territoire douanier de l'Union devrait, dans certains cas, être exceptionnellement autorisée à prouver plutôt l'exportation licite depuis un autre pays tiers dans lequel les biens culturels se situaient avant leur expédition vers l'Union. Cette exception devrait s'appliquer dans les cas où le pays dans lequel les biens culturels ont été créés ou découverts ne peut pas être déterminé de manière fiable ou lorsque l'exportation des biens culturels en question a eu lieu avant l'entrée en vigueur de la convention de l'Unesco de 1970, à savoir le 24 avril 1972. Afin d'empêcher que le présent règlement puisse être contourné par le simple envoi de biens culturels exportés illicitement dans un autre pays tiers avant leur importation dans l'Union, les exceptions devraient être applicables lorsque les biens culturels ont été situés dans un pays tiers pendant une période de plus de cinq ans à des fins autres que l'utilisation temporaire, le transit, la réexportation ou le transbordement. Lorsque ces conditions sont remplies pour plus d'un pays, le pays pertinent devrait être le dernier de ces pays dans lequel les biens culturels se sont trouvés avant d'être introduits sur le territoire douanier de l'Union.

(9)  L'article 5 de la convention de l'Unesco de 1970 demande aux États parties d’instituer un ou plusieurs services nationaux de protection des biens culturels contre l'importation, l'exportation et le transfert de propriété illicites. Ces services nationaux devraient être dotés d'un personnel qualifié et en nombre suffisant, afin d'assurer cette protection conformément à cette convention et devraient également permettre la collaboration active nécessaire entre les autorités compétentes des États membres qui sont parties à cette convention dans le domaine de la sécurité et de la lutte contre les importations illicites de biens culturels, en particulier des régions touchées par un conflit armé.

(10)  Afin de ne pas entraver de manière disproportionnée le commerce de biens culturels aux frontières extérieures de l'Union, il convient que le présent règlement s'applique uniquement aux biens culturels satisfaisant à un critère d'ancienneté donné, fixé par le présent règlement. En outre, il semble approprié de fixer un seuil financier afin d'exclure les biens culturels de moindre valeur de l'application de ces conditions et procédures à leur importation sur le territoire douanier de l'Union. Ces seuils garantiront que les mesures prévues dans le présent règlement se concentrent sur les biens culturels les plus susceptibles d'être convoités par les pilleurs dans les zones de conflits, sans pour autant exclure d'autres biens dont le contrôle est nécessaire en vue de protéger le patrimoine culturel.

(11)  Le commerce illicite de biens culturels pillés a été recensé comme une source possible des activités de financement du terrorisme et de blanchiment de capitaux dans le cadre d'une évaluation supranationale des risques de blanchiment de capitaux et de financement du terrorisme qui ont une incidence sur le marché intérieur.

(12)  Étant donné que certaines catégories de biens culturels, à savoir les objets archéologiques et éléments de monuments▌, sont particulièrement vulnérables face au pillage et à la destruction, il semble nécessaire de prévoir un système de contrôle renforcé avant que ces biens soient autorisés à entrer sur le territoire douanier de l'Union. Un tel système devrait exiger la présentation d'une licence d’importation délivrée par l'autorité compétente d'un État membre ▌avant la mise en libre pratique de ces biens culturels dans l'Union ou leur placement sous un régime douanier particulier autre que le transit. Les personnes qui cherchent à obtenir un telle licence devraient être en mesure de prouver l'exportation licite depuis le pays dans lequel les biens culturels ont été créés ou découverts à l'aide des pièces justificatives et preuves appropriées, notamment des certificats d'exportation ▌des titres de propriété, des factures, des contrats de vente, des documents d'assurance, des documents de transport et des expertises. Sur la base de demandes complètes et exactes, les autorités compétentes des États membres devraient décider de délivrer ou non une licence sans retard injustifié. Il y a lieu de conserver l'ensemble des licences d'importation dans un système électronique.

(13)  Le terme "icône" désigne une représentation d'une figure religieuse ou d'une manifestation religieuse. Elle peut être produite sur différents supports et en différentes tailles, tant monumentale que portable. Si une icône se trouvait auparavant, par exemple, à l'intérieur d'une église, d'un monastère, d'une chapelle, soit en tant qu'élément isolé, soit en tant que pièce constitutive d'un mobilier architectural, par exemple une iconostase ou un porte-icône, il s'agit d'un élément indispensable et inséparable du culte divin et de la vie liturgique et cette icône devrait être considérée comme faisant partie intégrante du monument religieux qui a été démembré. Même dans les cas où le monument spécifique auquel appartenait l'icône est inconnu, mais s'il existe des éléments de preuve indiquant que celle-ci faisait autrefois partie intégrante d'un monument, en particulier lorsqu'il y a des signes ou des éléments qui indiquent qu'elle faisait auparavant partie d'une iconostase ou d'un porte-icône, l'icône devrait toujours relever de la catégorie "éléments provenant du démembrement de monuments artistiques ou historiques ou de sites archéologiques" énumérée dans l'annexe.

(14)  Compte tenu de la nature particulière des biens culturels, le rôle des autorités douanières est extrêmement important, et elles devraient être en mesure, si elles le jugent nécessaire, d'exiger des informations supplémentaires de la part du déclarant et d'analyser les biens culturels en procédant à une expertise physique.

(15)  Pour les catégories de biens culturels dont l'importation ne nécessite pas de licence d'importation, les personnes cherchant à les importer sur le territoire douanier de l'Union devraient, au moyen d'une déclaration, certifier l'exportation licite des biens culturels depuis le pays tiers et en assumer la responsabilité, tout en fournissant suffisamment de renseignements pour permettre aux autorités douanières d'identifier ces biens culturels. Afin de faciliter la procédure et dans un souci de sécurité juridique, il convient que les informations relatives aux biens culturels soient transmises au moyen d'un document standardisé. La norme Object ID, recommandée par l'Unesco, pourrait être utilisée pour décrire les biens culturels. Il y a lieu que le détenteur des biens enregistre ces informations dans un système électronique, afin de faciliter l'identification par les autorités douanières, de permettre la réalisation d'une analyse des risques et de contrôles ciblés et de garantir la traçabilité des biens culturels après leur entrée sur le marché intérieur.

(16)  Dans le contexte de l'environnement de guichet unique pour les douanes, la Commission devrait être chargée de mettre en place un système électronique centralisé pour l'introduction des demandes de licences d'importation et des déclarations des importateurs, ainsi que pour le stockage et l'échange d'informations entre les autorités des États membres, en particulier pour ce qui est des déclarations des importateurs et des licences d'importation.

(17)  Le traitement des données en vertu du présent règlement devrait pouvoir couvrir également les données à caractère personnel et il devrait être effectué conformément au droit de l'Union. Les États membres et la Commission ne devraient traiter les données à caractère personnel qu'aux fins du présent règlement ou dans des circonstances dûment justifiées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Toute collecte, divulgation, transmission, communication et autre traitement de données à caractère personnel relevant du champ d'application du présent règlement devraient être soumis aux exigences des règlements (UE) 2016/679(7) et (UE) 2018/1725(8) du Parlement européen et du Conseil. Le traitement de données à caractère personnel aux fins du présent règlement devrait également respecter le droit au respect de la vie privée et familiale, reconnu à l'article 8 de la convention de sauvegarde des droits de l'homme et des libertés fondamentales du Conseil de l'Europe, ainsi que le droit au respect de la vie privée et familiale et le droit à la protection des données à caractère personnel, reconnus respectivement aux articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne.

(18)  Les biens culturels qui n'ont pas été créés ou découverts sur le territoire douanier de l'Union mais qui ont été exportés en tant que marchandises de l'Union ne devraient pas être subordonnés à la présentation d'une licence d'importation ou d'une déclaration de l'importateur lorsqu'ils sont réintroduits sur ce territoire en tant que marchandises en retour au sens du règlement (UE) n° 952/2013.

(19)  L'admission temporaire de biens culturels à des fins pédagogiques, scientifiques, de conservation, de restauration, d'exposition ou de numérisation, dans le domaine des arts du spectacle, de recherches menées par des établissements universitaires ou d'une coopération entre musées ou institutions similaires ne devrait pas non plus être subordonnée à la présentation d'une licence d'importation ou d'une déclaration de l'importateur.

(20)  Le stockage de biens culturels en provenance de pays touchés par des conflits armés ou une catastrophe naturelle, dans le but exclusif de trouver un lieu sûr pour assurer leur conservation et leur préservation par une autorité publique ou sous la surveillance de celle-ci, ne devrait pas être soumis à la présentation d'une licence d'importation ou d'une déclaration de l'importateur.

(21)  Afin de faciliter la présentation de biens culturels lors des foires commerciales d'art, il ne devrait pas être nécessaire de présenter une licence d'importation lorsque les biens culturels en question sont placés sous le régime de l'admission temporaire, au sens de l'article 250 du règlement (UE) no 952/2013, et qu'une déclaration de l'importateur a été fournie à la place de la licence d'importation. La présentation d'une licence d'importation devrait toutefois être requise lorsque ces biens culturels restent dans l'Union après la foire d'art.

(22)  Afin d'assurer des conditions uniformes d'exécution du présent règlement, il convient de conférer des compétences d'exécution à la Commission afin d'adopter des modalités applicables aux biens culturels qui sont des marchandises en retour ou l'admission temporaire des biens culturels sur le territoire douanier de l'Union et leur conservation, les modèles pour les demandes de licences d'importation et les formulaires correspondants, les modèles pour les déclarations des importateurs et les documents qui les accompagnent, et d'autres règles de procédure concernant le dépôt et le traitement de ces pièces. Il convient également de conférer des compétences d'exécution à la Commission afin de prendre des dispositions en vue de la mise en place d'un système électronique pour l'introduction des demandes de licences d'importation et des déclarations des importateurs, ainsi que pour le stockage d'informations et l'échange d'informations entre les États membres. Ces compétences devraient être exercées en conformité avec le règlement (UE) n° 182/2011 du Parlement européen et du Conseil(9) .

(23)  Afin d'assurer une coordination efficace et d'éviter une duplication des efforts lors de l'organisation de formations, d'activités de renforcement des capacités et de campagnes de sensibilisation, ainsi que de demander la réalisation de travaux de recherche pertinents et l'élaboration de normes, le cas échéant, la Commission et les États membres devraient coopérer avec les organisations et instances internationales, telles que l'Unesco, Interpol, Europol, l'Organisation mondiale des douanes, le Centre international d'études pour la conservation et la restauration des biens culturels et le Conseil international des musées (ICOM).

(24)  Les informations utiles concernant les flux commerciaux de biens culturels devraient être recueillies et partagées par voie électronique par les États membres et la Commission, aux fins de la mise en œuvre efficace du présent règlement et de la constitution d'une base pour son évaluation future. Dans un souci de transparence et d'examen public, il convient de rendre publiques autant d'informations que possible. Un contrôle efficace des flux commerciaux de biens culturels ne peut reposer uniquement sur la valeur ou le poids des biens. Il est essentiel de collecter des informations par voie électronique sur le nombre d'articles déclarés. Aucune unité de mesure supplémentaire n'étant spécifiée dans la nomenclature combinée pour les biens culturels, il est nécessaire d'exiger que le nombre d'articles soit déclaré.

(25)  La stratégie et le plan d'action de l'UE sur la gestion des risques en matière douanière visent, notamment, à renforcer les capacités des autorités douanières en vue d'accroître la capacité de réaction face aux risques dans le domaine des biens culturels. Il convient d'utiliser le cadre commun de gestion des risques établi dans le règlement (UE) n° 952/2013 et de veiller à l'échange d'informations utiles en matière de risques entre les autorités douanières.

(26)  Afin de tirer parti de l'expertise des organisations et instances internationales qui jouent un rôle actif dans le domaine culturel ainsi que de leur expérience concernant le commerce illicite de biens culturels, les recommandations et orientations émises par ces organisations et instances devraient être prises en compte dans le cadre commun de gestion des risques lors de l'identification des risques liés aux biens culturels. Il convient en particulier de se référer aux listes rouges publiées par l'ICOM pour identifier les pays tiers dont le patrimoine est le plus menacé et les objets exportés à partir de ces pays qui sont les plus susceptibles de faire l'objet d'un commerce illicite.

(27)  Il y a lieu de lancer des campagnes visant à sensibiliser les acheteurs de biens culturels quant au risque de commerce illicite et d'aider les acteurs du marché à comprendre et à appliquer le présent règlement. Les États membres devraient associer les points de contact nationaux et les autres services d'information à la diffusion de ces informations.

(28)  Il y a lieu que la Commission s'assure que les micro, petites et moyennes entreprises (PME) bénéficient d'une assistance technique adéquate et qu'elle facilite la communication d'informations à celles-ci en vue d'une mise en œuvre efficace du présent règlement. Les PME établies dans l'Union qui importent des biens culturels devraient par conséquent bénéficier des programmes actuels et futurs de l'Union qui visent à soutenir la compétitivité des petites et moyennes entreprises.

(29)  Afin d'encourager la conformité et d'empêcher tout contournement, il est opportun que les États membres introduisent des sanctions effectives, proportionnées et dissuasives en cas de non-respect des dispositions du présent règlement et qu'ils communiquent ces sanctions à la Commission. Les sanctions instaurées par les États membres quant au non-respect du présent règlement devraient avoir un effet dissuasif équivalent dans toute l'Union.

(30)  Les États membres devraient veiller à ce que les autorités douanières et les autorités compétentes s'accordent sur les mesures visées à l'article 198 du règlement (UE) n° 952/2013. Les détails de ces mesures devraient être réglés par le droit national.

(31)  La Commission devrait adopter sans retard les modalités d'exécution du présent règlement, en particulier celles relatives aux formulaires électroniques standardisés appropriés à utiliser pour demander une licence d'importation ou établir une déclaration de l'importateur, et elle devrait ensuite mettre en place le système électronique dans les plus brefs délais. L'application des dispositions relatives aux licences d'importation et aux déclarations des importateurs devrait être reportée en conséquence.

(32)  Conformément au principe de proportionnalité, il est nécessaire et approprié afin de mettre en œuvre les objectifs fondamentaux du présent règlement de règlementer l'introduction de biens culturels et les conditions et procédures applicables à leur importation sur le territoire douanier de l'Union. Le présent règlement n'excède pas ce qui est nécessaire pour atteindre les objectifs poursuivis, conformément à l'article 5, paragraphe 4, du traité sur l'Union européenne,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier

Objet et champ d'application

1.  Le présent règlement définit les conditions applicables à l'introduction de biens culturels et les conditions et procédures applicables à leur importation aux fins de la protection du patrimoine culturel de l'humanité et de la prévention du commerce illicite de biens culturels, en particulier lorsque celui-ci est susceptible de contribuer au financement du terrorisme.

2.  Le présent règlement ne s'applique pas aux biens culturels qui ont été soit créés soit découverts sur le territoire douanier de l'Union.

Article 2

Définitions

▌Aux fins du présent règlement, on entend par:

1)  "biens culturels": tout objet présentant de l'importance pour l'archéologie, la préhistoire, l'histoire, la littérature, l'art ou la science, dont la liste figure en annexe;

2)   "introduction de biens culturels": toute entrée sur le territoire douanier de l'Union de biens culturels qui font l'objet d'une surveillance douanière ou d'un contrôle douanier sur le territoire douanier de l'Union conformément au règlement (UE) no 952/2013;

3)  "importation de biens culturels":

a)  la mise en libre pratique de biens culturels visée à l'article 201 du règlement (UE) n° 952/2013; ou

b)  le placement de biens culturels sous l'une des catégories suivantes de régimes ▌ particuliers visées à l'article 210 ▌du règlement (UE) n° 952/2013:

i)  le stockage, qui comprend l'entrepôt douanier et les zones franches;

ii)  l'utilisation spécifique, qui comprend l'admission temporaire et la destination particulière;

iii)  le perfectionnement actif;

4)  "détenteur des biens": le détenteur des marchandises défini à l'article 5, point 34), du règlement (UE) n° 952/2013;

5)  "autorités compétentes": les autorités publiques désignées par les États membres pour délivrer des licences d'importation.

Article 3

Introduction et importation de biens culturels

1.  L'introduction de biens culturels visés à la partie A de l'annexe qui ont été sortis du territoire du pays dans lequel ils ont été créés ou découverts en violation des dispositions législatives et réglementaires de ce pays est interdite.

Les autorités douanières et les autorités compétentes prennent toute mesure appropriée lorsqu'une tentative est entreprise pour introduire les biens culturels visés au premier alinéa.

2.  L'importation de biens culturels énumérés aux parties B et C de l'annexe n'est autorisée que sur présentation soit:

a)  d'une licence d'importation délivrée conformément à l'article 4; soit

b)  d'une déclaration de l'importateur présentée conformément à l'article 5.

3.  La licence d'importation ou la déclaration de l'importateur visées au paragraphe 2 du présent article sont fournies aux autorités douanières conformément à l'article 163 du règlement (UE) n° 952/2013. En cas de placement des biens culturels sous le régime des zones franches, le détenteur des biens fournit la licence d'importation ou la déclaration de l'importateur au moment de la présentation des biens conformément à l'article 245, paragraphe 1, points a) et b), du règlement (UE) n° 952/2013.

4.  Le paragraphe 2 du présent article ne s'applique pas:

a)  aux biens culturels qui sont des marchandises en retour au sens de l'article 203 du règlement (UE) n° 952/2013;

b)  à l'importation de biens culturels dans le but exclusif d'assurer leur conservation par une autorité publique ou sous la surveillance de celle-ci, avec l'intention de restituer ces biens culturels, lorsque la situation le permet;

c)  à l'admission temporaire de biens culturels, au sens de l'article 250 du règlement (UE) n° 952/2013, sur le territoire douanier de l'Union à des fins pédagogiques, scientifiques, de conservation, de restauration, d'exposition ou de numérisation, dans le domaine des arts du spectacle, de recherches menées par des établissements universitaires ou d'une coopération entre musées ou institutions similaires.

5.  Une licence d'importation ne devrait pas être exigée pour les biens culturels placés sous le régime de l'admission temporaire, au sens de l'article 250 du règlement (UE) n° 952/2013, lorsqu'ils sont destinés à être présentés lors de foires commerciales d'art. Dans ce cas, une déclaration de l'importateur est fournie conformément à la procédure de l'article 5 du présent règlement.

Toutefois, lorsque ces biens culturels sont placés ultérieurement sous un autre régime douanier visé à l'article 2, point 3, du présent règlement, une licence d'importation délivrée conformément à l'article 4 du présent règlement est requise.

6.  La Commission établit, par voie d'actes d'exécution, les modalités applicables aux biens culturels qui sont des marchandises en retour, à l'importation de biens culturels en vue de leur conservation et à l'admission temporaire visées aux paragraphes 4 et 5 du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 13, paragraphe 2.

7.  Le paragraphe 2 du présent article est sans préjudice d'autres mesures adoptées par l'Union conformément à l'article 215 du traité sur le fonctionnement de l'Union européenne.

8.  Lors de la présentation d'une déclaration en douane pour l'importation de biens culturels énumérés aux parties B et C de l'annexe, le nombre d'articles est indiqué à l'aide de l'unité supplémentaire qui figure à ladite annexe. En cas de placement des biens culturels sous le régime des zones franches, le détenteur des biens indique le nombre d'articles au moment de la présentation des biens conformément à l'article 245, paragraphe 1, points a) et b), du règlement (UE) n° 952/2013.

Article 4

Licence d'importation

1.   L'importation des biens culturels énumérés à la partie B de l'annexe, autres que ceux visés à l'article 3, paragraphes 4 et 5, est subordonnée à la présentation d'une licence d'importation. Cette licence d'importation est délivrée par l'autorité compétente de l'État membre dans lequel les biens culturels sont placés pour la première fois sous l'un des régimes douaniers visés à l'article 2, point 3).

2.  Les licences d'importation délivrées par les autorités compétentes d’un État membre conformément au présent article sont valides dans l'ensemble de l'Union.

3.  Une licence d'importation délivrée conformément au présent article ne saurait être interprétée comme une preuve du caractère licite de la provenance ou de la propriété des biens culturels en question.

4.  Le détenteur des biens introduit une demande de licence d'importation auprès de l'autorité compétente de l'État membre visée au paragraphe 1 du présent article par l'intermédiaire du système électronique visé à l'article 8. La demande est accompagnée des pièces justificatives et des informations attestant que les biens culturels en question ont été exportés depuis le pays dans lequel ils ont été créés ou découverts conformément aux dispositions législatives et réglementaires de ce pays ou prouvant l'absence de telles dispositions au moment où ils ont été sortis de son territoire.

Par dérogation au premier alinéa, la demande peut au lieu de cela être accompagnée des pièces justificatives et des informations attestant que les biens culturels en question ont été exportés conformément aux dispositions législatives et réglementaires du dernier pays dans lequel ils ont été situés pendant une période de plus de cinq ans et à des fins autres que l'utilisation temporaire, le transit, la réexportation ou le transbordement, dans les cas suivants:

a)  le pays dans lequel les biens culturels ont été créés ou découverts ne peut pas être déterminé de manière fiable; ou

b)  les biens culturels ont été sortis du pays dans lequel ils ont été créés ou découverts avant le 24 avril 1972.

5.  Les éléments de preuve attestant que les biens culturels en question ont été exportés conformément au paragraphe 4 sont fournis sous la forme de certificats d'exportation ou de licences d'exportation lorsque le pays en question a établi de tels documents pour l'exportation de biens culturels au moment de l'exportation.

6.  L'autorité compétente ▌ vérifie si la demande est complète. Elle sollicite du demandeur toute information ou tout document manquant ou complémentaire dans un délai de 21 jours à compter de la réception de la demande.

7.  ▌ Dans un délai de 90 jours à compter de la réception de la demande complète, ▌ l'autorité compétente l’examine et décide de délivrer la licence d'importation ou de rejeter la demande. ▌

L'autorité compétente rejette la demande lorsque:

a)  elle dispose de renseignements indiquant que les biens culturels ont été sortis du territoire du pays dans lequel ils ont été créés ou découverts en violation des dispositions législatives et réglementaires de ce pays, ou a des motifs raisonnables de le penser;

b)   les éléments de preuve requis en vertu du paragraphe 4 n’ont pas été fournis;

c)   elle dispose de renseignements indiquant que le détenteur des biens ne les a pas acquis de manière licite, ou a des motifs raisonnables de le penser; ou

d)  elle a été informée qu'il existe des demandes de restitution des biens culturels en attente de la part des autorités du pays dans lequel les biens ont été créés ou découverts.

8.  En cas de rejet de la demande, la décision administrative visée au paragraphe 7, accompagnée d'un exposé des motifs et des informations relatives à la procédure d'appel, est communiquée sans retard au demandeur.

9.  Lorsqu'une demande de licence d'importation concerne des biens culturels pour lesquels une telle demande a précédemment été rejetée, le demandeur informe l'autorité compétente auprès de laquelle la demande est introduite du refus antérieur.

10.  Lorsqu'un État membre rejette une demande, ce rejet ainsi que les motifs qui le justifient sont communiqués aux autres États membres et à la Commission par l'intermédiaire du système électronique visé à l'article 8.

11.  Les États membres désignent sans retard les autorités compétentes pour délivrer les licences d'importation conformément au présent article. Les États membres communiquent à la Commission les renseignements sur l'identité des autorités compétentes ainsi que tout changement à cet égard.

La Commission publie les renseignements relatifs aux autorités compétentes, ainsi que tout changement les concernant, dans la série C du Journal officiel de l'Union européenne.

12.  La Commission établit, par voie d'actes d'exécution, le modèle pour la demande de licence d'importation et indique les éventuelles pièces justificatives permettant de prouver la provenance licite des biens culturels en question, ainsi que le format de ces documents et les règles de procédure applicables à l'introduction et au traitement d'une demande de ce type. En élaborant ces éléments, la Commission s'efforce de parvenir à une application uniforme, par les autorités compétentes, des procédures relatives aux licences d'importation. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 13, paragraphe 2.

Article 5

Déclaration de l'importateur

1.   L'importation des biens culturels énumérés à la partie C de l'annexe requiert la présentation d'une déclaration de l'importateur ▌que le détenteur des biens présente par l'intermédiaire du système électronique visé à l'article 8.

2.  La déclaration de l'importateur comprend:

a)  une déclaration signée par le détenteur des biens selon laquelle les biens culturels ont été exportés depuis le pays dans lequel ils ont été créés ou découverts conformément aux dispositions législatives et réglementaires de ce pays au moment où ils ont été sortis de son territoire; et

b)  un document standardisé qui décrit les biens culturels en question de manière suffisamment détaillée pour permettre aux autorités de les identifier ▌et de réaliser une analyse des risques et de contrôles ciblés.

Par dérogation au premier alinéa, point a), la déclaration peut au lieu de cela indiquer que les biens culturels en question ont été exportés conformément aux dispositions législatives et réglementaires du dernier pays dans lequel ils ont été situés pendant une période de plus de cinq ans et à des fins autres que l'utilisation temporaire, le transit, la réexportation ou le transbordement, dans les cas suivants:

a)  le pays dans lequel les biens culturels ont été créés ou découverts ne peut pas être déterminé de manière fiable; ou

b)  les biens culturels ont été sortis du pays dans lequel ils ont été créés ou découverts avant le 24 avril 1972.

3.  La Commission établit, par voie d'actes d'exécution, le modèle standardisé pour la déclaration de l'importateur et son format ainsi que les règles de procédure concernant son introduction et indique les éventuelles pièces justificatives permettant de prouver la provenance licite des biens culturels en question que devrait posséder le détenteur des biens et les règles applicables au traitement de ladite déclaration. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 13, paragraphe 2.

Article 6

Bureaux de douane compétents

▌Les États membres peuvent limiter le nombre de bureaux de douane compétents pour le traitement de l'importation de biens culturels relevant du présent règlement. Lorsqu'ils appliquent une telle limitation, les États membres communiquent à la Commission les renseignements sur l'identité de ces bureaux de douane ainsi que tout changement à cet égard.

La Commission publie les renseignements relatifs aux bureaux de douane compétents, ainsi que tout changement les concernant, dans la série C du Journal officiel de l'Union européenne.

Article 7

Coopération administrative

▌Aux fins de la mise en œuvre du présent règlement, les États membres veillent à la coopération entre leurs autorités douanières et avec les autorités compétentes visées à l'article 4.

Article 8

Utilisation d'un système électronique ▌

1.  Le stockage et l'échange d'informations entre les autorités des États membres, en particulier pour ce qui est des licences d'importation et des déclarations des importateurs, sont effectués par l'intermédiaire d'un système électronique centralisé.

En cas de défaillance temporaire du système électronique, d'autres moyens peuvent être utilisés à titre provisoire pour le stockage et l'échange d'informations.

2.  La Commission établit, au moyen d'actes d'exécution:

a)  les modalités de déploiement, de fonctionnement et de maintenance du système électronique visé au paragraphe 1;

b)  les règles détaillées applicables à l'introduction, au traitement, au stockage et à l'échange d'informations entre les autorités des États membres par l'intermédiaire du système électronique ou par les autres moyens visés au paragraphe 1.

Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 13, paragraphe 2, au plus tard le … [deux ans après l'entrée en vigueur du présent règlement].

Article 9

Mise en place d'un système électronique ▌

La Commission met en place le système électronique visé à l'article 8. Le système électronique est opérationnel au plus tard quatre ans après l'entrée en vigueur du premier des actes d'exécution visés à l'article 8, paragraphe 2.

Article 10

Protection des données à caractère personnel et durée de conservation des données

1.  Les autorités douanières et les autorités compétentes des États membres agissent en tant que responsables du traitement des données à caractère personnel qu'elles ont obtenues en vertu des articles 4, 5 et 8.

2.  Le traitement des données à caractère personnel sur la base du présent règlement a lieu uniquement aux fins définies à l'article 1er, paragraphe 1.

3.  Les données à caractère personnel obtenues en vertu des articles 4, 5 et 8 ne sont accessibles qu'au personnel dûment autorisé des autorités et sont protégées de manière adéquate contre l'accès ou la communication non autorisés. Les données ne peuvent être divulguées ou communiquées sans l'autorisation écrite expresse de l'autorité qui a initialement obtenu les informations. Cependant, cette autorisation n'est pas nécessaire lorsque les autorités sont tenues de divulguer ou de communiquer ces informations conformément aux dispositions légales en vigueur dans l'État membre en question, notamment dans le cadre de procédures judiciaires.

4.  Les autorités conservent les données à caractère personnel obtenues en vertu des articles 4, 5 et 8 pendant une durée de 20 ans à compter de la date à laquelle ces données ont été obtenues. Ces données à caractère personnel sont effacées à l'expiration de cette période.

Article 11

Sanctions

Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives.

Au plus tard le … [18 mois après la date d'application du présent règlement], les États membres informent la Commission du régime des sanctions applicables à l'introduction de biens culturels en violation de l'article 3, paragraphe 1, ainsi que des mesures connexes.

Au plus tard le … [six ans après la date d'application du présent règlement], les États membres informent la Commission du régime des sanctions applicables aux autres infractions au présent règlement, notamment en ce qui concerne les fausses déclarations et les informations erronées, ainsi que des mesures connexes.

Les États membres notifient sans retard à la Commission toute modification ultérieure de ce régime.

Article 12 ▌

Coopération avec les pays tiers

Pour les questions qui relèvent de ses activités et dans la mesure nécessaire à l'accomplissement de ses tâches en vertu du présent règlement, la Commission peut organiser des activités de formation et de renforcement des capacités destinées aux pays tiers en coopération avec les États membres.

Article 13

Comité

1.  La Commission est assistée par le comité institué à l'article 8 du règlement (CE) n° 116/2009 du Conseil. Ledit comité est un comité au sens du règlement (UE) n° 182/2011.

2.  Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) n° 182/2011 s'applique.

Article 14

Rapports et évaluation

1.  Les États membres communiquent à la Commission des informations sur la mise en œuvre du présent règlement. ▌

À cette fin, la Commission adresse aux États membres les questionnaires appropriés. Les États membres disposent d'un délai de six mois à compter de la réception du questionnaire pour transmettre à la Commission les informations demandées.

2.  Dans un délai de trois ans après la date à laquelle le présent règlement s'applique et tous les cinq ans par la suite, la Commission présente un rapport au Parlement européen et au Conseil sur la mise en œuvre du présent règlement. Ce rapport est rendu public et contient des informations statistiques pertinentes tant au niveau de l'Union qu'au niveau national, telles que le nombre de licences d'importation délivrées, de demandes rejetées et de déclarations des importateurs présentées. Il comprend un examen de la mise en œuvre pratique, y compris l'incidence sur les opérateurs économiques de l'Union, en particulier sur les PME.

3.  Au plus tard le … [douze mois après la date d'entrée en vigueur du présent règlement], et tous les douze mois par la suite jusqu'à ce que le système électronique défini à l'article 9 soit mis en place, la Commission présente un rapport au Parlement européen et au Conseil sur les progrès réalisés concernant l'adoption des actes d'exécution visés à l'article 8, paragraphe 2, et ceux concernant la mise en place du système électronique visé à l'article 9.

Article 15

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Article 16

Application

1.  Le présent règlement s'applique à partir de la date de son entrée en vigueur.

2.  Nonobstant le paragraphe 1:

a)  l'article 3 s'applique à partir du ... [dix-huit mois après la date d'entrée en vigueur du présent règlement];

b)  l'article 3, paragraphes 2 à 5, l'article 3, paragraphes 7 et 8, l'article 4, paragraphes 1 à 10, l'article 5, paragraphes 1 et 2, et l'article 8, paragraphe 1 , s'appliquent à partir de la date à laquelle le système électronique visé à l'article 8 devient opérationnel ou au plus tard à partir du … [six ans après l'entrée en vigueur du présent règlement]. La Commission publie dans la série C du Journal officiel de l'Union européenne la date à laquelle les conditions énoncées au présent paragraphe sont remplies.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à …, le

Par le Parlement européen Par le Conseil

Le président Le président

ANNEXE

Partie A. Biens culturels relevant de l'article 3, paragraphe 1

a)  collections et spécimens rares de zoologie, de botanique, de minéralogie et d'anatomie, et objets présentant un intérêt paléontologique;

b)  biens concernant l'histoire, y compris l'histoire des sciences et des techniques, l'histoire militaire et sociale ainsi que la vie des dirigeants, penseurs, savants et artistes nationaux, et les événements d'importance nationale;

c)  produit de fouilles archéologiques (régulières et clandestines) et des découvertes archéologiques terrestres ou sous-marines;

d)  éléments provenant du démembrement de monuments artistiques ou historiques et des sites archéologiques(10);

e)  objets d'antiquité ayant plus de cent ans d'âge, tels qu'inscriptions, monnaies et sceaux gravés;

f)  matériel ethnologique;

g)  biens d'intérêt artistique, tels que:

i)  tableaux, peintures et dessins faits entièrement à la main sur tout support et en toutes matières (à l'exclusion des dessins industriels et des articles manufacturés décorés à la main);

ii)  productions originales de l'art statuaire et de la sculpture, en toutes matières;

iii)  gravures, estampes et lithographies originales;

iv)  assemblages et montages artistiques originaux, en toutes matières;

h)  manuscrits rares et incunables;

i)  livres, documents et publications anciens d'intérêt spécial (historique, artistique, scientifique, littéraire, etc.), isolés ou en collections;

j)  timbres-poste, timbres fiscaux et analogues, isolés ou en collections;

k)  archives, y compris les archives phonographiques, photographiques et cinématographiques;

l)  objets d'ameublement ayant plus de cent ans d'âge et instruments de musique anciens.

Partie B. Biens culturels relevant de l'article 4

Catégories de biens culturels conformément à la partie A

Chapitre, position ou sous-position de la nomenclature combinée (NC)

Seuil d'ancienneté minimal

Seuil financier minimal (valeur en douane)

Unités supplémentaires

c)  produit de fouilles archéologiques (régulières et clandestines) ou de découvertes archéologiques terrestres ou sous-marines;

ex 9705; ex 9706

ayant plus de 250 ans d'âge

quelle que soit la valeur

nombre de pièces (p/st)

d)  éléments provenant du démembrement de monuments artistiques ou historiques et des sites archéologiques(11).

ex 9705; ex 9706

ayant plus de 250 ans d'âge

quelle que soit la valeur

nombre de pièces (p/st)

Partie C. Biens culturels relevant de l'article 5

Catégories de biens culturels conformément à la partie A

Chapitre, position ou sous-position de la nomenclature combinée (NC)

Seuil d'ancienneté minimal

Seuil financier minimal (valeur en douane)

Unités supplémentaires

a)  collections et spécimens rares de zoologie, de botanique, de minéralogie et d'anatomie, et objets présentant un intérêt paléontologique;

ex 9705

ayant plus de 200 ans d'âge

18 000 EUR ou plus par pièce

nombre de pièces (p/st)

b)  biens concernant l'histoire, y compris l'histoire des sciences et des techniques, l'histoire militaire et sociale ainsi que la vie des dirigeants, penseurs, savants et artistes nationaux, et les événements d'importance nationale;

ex 9705

ayant plus de 200 ans d'âge

18 000 EUR ou plus par pièce

nombre de pièces (p/st)

e)  objets d'antiquité, tels qu'inscriptions, monnaies et sceaux gravés;

ex 9706

ayant plus de 200 ans d'âge

18 000 EUR ou plus par pièce

nombre de pièces (p/st)

f)  matériel ethnologique;

ex 9705

ayant plus de ▌200 ans d'âge

18 000 EUR ou plus par pièce

nombre de pièces (p/st)

g)  biens d'intérêt artistique, tels que:

 

i)  tableaux, peintures et dessins faits entièrement à la main sur tout support et en toutes matières ▌(à l'exclusion des dessins industriels et des articles manufacturés décorés à la main);

ex 9701

ayant plus de 200 ans d'âge

18 000 EUR ou plus par pièce

nombre de pièces (p/st)

ii)  productions originales de l'art statuaire et de la sculpture, en toutes matières;

ex 9703

ayant plus de 200 ans d'âge

18 000 EUR ou plus par pièce

nombre de pièces (p/st)

iii)  gravures, estampes et lithographies originales;

▌ex 9702;

ayant plus de 200 ans d'âge

18 000 EUR ou plus par pièce

nombre de pièces (p/st)

iv)  assemblages et montages artistiques originaux, en toutes matières;

ex 9701

ayant plus de 200 ans d'âge

18 000 EUR ou plus par pièce

nombre de pièces (p/st)

h)  manuscrits rares et incunables ▌

ex 9702; ex 9706 ▌

ayant plus de 200 ans d'âge

18 000 EUR ou plus par pièce

nombre de pièces (p/st)

i)  livres, documents et publications anciens d'intérêt spécial ▌

(historique, artistique, scientifique, littéraire, etc.), isolés ou en collections.

ex 9705; ex 9706

ayant plus de ▌

200 ans d'âge

18 000 EUR ou plus par pièce

nombre de pièces (p/st)

(1) La présente position remplace les amendements adoptés le 25 octobre 2018 (textes adoptés de cette date, P8_TA-PROV(2018)0418).
(2)Position du Parlement européen du 12 mars 2019.
(3)Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6).
(4)Règlement (UE) n° 952/2013 du Parlement européen et du Conseil du 9 octobre 2013 établissant le code des douanes de l'Union (JO L 269 du 10.10.2013, p. 1).
(5)Règlement (CE) n° 116/2009 du Conseil du 18 décembre 2008 concernant l'exportation de biens culturels (JO L 39 du 10.2.2009, p. 1).
(6)Directive 2014/60/UE du Parlement européen et du Conseil du 15 mai 2014 relative à la restitution de biens culturels ayant quitté illicitement le territoire d'un État membre et modifiant le règlement (UE) n° 1024/2012 (JO L 159 du 28.5.2014, p. 1).
(7)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(8) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(9)Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(10)Les icônes et statues liturgiques, même en tant qu'éléments isolés, doivent être considérées comme des biens culturels appartenant à cette catégorie.
(11)9Les icônes et statues liturgiques, même en tant qu'éléments isolés, doivent être considérées comme des biens culturels appartenant à cette catégorie.


Protection des données à caractère personnel dans le contexte des élections au Parlement européen ***I
PDF 168kWORD 49k
Résolution
Texte consolidé
Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (UE, Euratom) n° 1141/2014 en ce qui concerne une procédure de vérification relative aux infractions aux règles en matière de protection des données à caractère personnel dans le contexte des élections au Parlement européen (COM(2018)0636 – C8-0413/2018 – 2018/0336(COD))
P8_TA-PROV(2019)0155A8-0435/2018

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2018)0636),

–  vu l’article 294, paragraphe 2, et l’article 224 du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C8-0413/2018),

–  vu le traité instituant la Communauté européenne de l'énergie atomique, et notamment son article 106 bis,

–  vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

–  vu l’avis du Comité économique et social européen du 12 décembre 2018(1),

–  après consultation du Comité des régions,

–  vu l'accord provisoire approuvé en vertu de l’article 69 septies, paragraphe 4, de son règlement intérieur par la commission compétente et l’engagement pris par le représentant du Conseil, par lettre du 25 janvier 2019, d'approuver la position du Parlement européen, conformément à l'article 294, paragraphe 4, du traité sur le fonctionnement de l'Union européenne,

–  vu l’article 59 de son règlement intérieur,

–  vu le rapport de la commission des affaires constitutionnelles et l'avis de la commission des libertés civiles, de la justice et des affaires intérieures (A8-0435/2018),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.

Position du Parlement européen arrêtée en première lecture le 12 mars 2019 en vue de l’adoption du règlement (UE, Euratom) 2019/... du Parlement européen et du Conseil modifiant le règlement (UE, Euratom) nº 1141/2014 du Parlement européen et du Conseil en ce qui concerne une procédure de vérification relative aux infractions aux règles en matière de protection des données à caractère personnel dans le contexte des élections au Parlement européen

P8_TC1-COD(2018)0336


LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 224,

vu le traité instituant la Communauté européenne de l’énergie atomique, et notamment son article 106 bis,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen(2),

après consultation du Comité des régions,

statuant conformément à la procédure législative ordinaire(3),

considérant ce qui suit:

(1)  Le règlement (UE, Euratom) nº 1141/2014 du Parlement européen et du Conseil(4) a institué un statut juridique européen spécifique pour les partis politiques européens et les fondations politiques européennes et prévoit leur financement par le budget général de l’Union européenne. Il établit également une Autorité pour les partis politiques européens et les fondations politiques européennes (ci-après dénommée «Autorité»).

(2)  Pour permettre à l’Autorité de s’acquitter pleinement et en toute indépendance des tâches qui lui sont confiées, y compris les nouvelles missions qui lui sont dévolues par le présent règlement, il est nécessaire de la doter d’un personnel permanent et de conférer à son directeur les compétences d’une autorité investie du pouvoir de nomination

(3)  Les événements récents ont démontré les risques potentiels liés à un usage illicite des données à caractère personnel pour ce qui est des processus électoraux et de la démocratie. Il est donc nécessaire de préserver l’intégrité du processus démocratique européen en prévoyant des sanctions financières pour les situations dans lesquelles les partis politiques européens ou les fondations politiques européennes tirent parti d’infractions aux règles en matière de protection des données à caractère personnel en vue d’influencer le résultat des élections au Parlement européen.

(4)  À cette fin, il convient de mettre en place une procédure de vérification dans le cadre de laquelle l’Autorité doit, dans certaines circonstances, demander au comité de personnalités éminentes indépendantes institué par le règlement (UE, Euratom) n° 1141/2014 de déterminer si un parti politique européen ou une fondation politique européenne a délibérément influencé ou tenté d’influencer le résultat des élections au Parlement européen en tirant parti d’une infraction aux règles applicables en matière de protection des données à caractère personnel. Si, à l’issue de la procédure de vérification, il est constaté que tel est le cas, l’Autorité devrait imposer des sanctions au titre du système de sanctions effectif, proportionné et dissuasif institué par le règlement (UE, Euratom) nº 1141/2014.

(5)  Lorsque l’Autorité inflige une sanction à un parti politique européen ou une fondation politique européenne conformément à la procédure de vérification, elle devrait dûment tenir compte du principe «non bis in idem», selon lequel des sanctions ne peuvent être imposées deux fois pour la même infraction. L’Autorité devrait également veiller à ce que le principe de sécurité juridique soit respecté et à ce que le parti politique européen concerné ou la fondation politique européenne concernée aient la possibilité d’être entendus.

(6)  La nouvelle procédure devrait coexister avec les procédures actuellement utilisées aux fins de la vérification du respect des conditions d’enregistrement et dans des cas de violations graves et manifestes des valeurs sur lesquelles l’Union est fondée. Toutefois, les délais fixés à l’article 10 du règlement (UE, Euratom) nº 1141/2014 pour la vérification du respect des conditions et exigences de l’enregistrement ne devraient pas s’appliquer à la nouvelle procédure.

(7)  Étant donné que la nouvelle procédure est déclenchée sur décision de l’autorité de contrôle nationale de la protection des données compétente, le parti politique européen concerné ou la fondation politique européenne concernée devrait avoir la possibilité, pour autant que tous les recours nationaux aient été épuisés, de demander un réexamen de la sanction si la décision de ladite autorité de contrôle nationale a été abrogée ou si un recours contre cette décision a abouti.

(8)  Pour garantir que les élections de 2019 au Parlement européen se déroulent selon des règles démocratiques strictes et dans le plein respect des valeurs européennes que sont la démocratie, l’état de droit et le respect des droits fondamentaux, il est important que les dispositions de la nouvelle procédure de vérification entrent en vigueur en temps utile et que la procédure s’applique dès que possible. À cet effet, il y a lieu que les modifications apportées au règlement (UE, Euratom) nº 1141/2014 au moyen du présent règlement entrent en vigueur à la date de sa publication au Journal officiel de l’Union européenne.

(9)  Il convient dès lors de modifier le règlement (UE, Euratom) nº 1141/2014 en conséquence,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier

Le règlement (UE, Euratom) nº 1141/2014 est modifié comme suit:

1)  à l’article 6, le paragraphe 5 est remplacé par le texte suivant:"

«5. Le directeur de l’Autorité est assisté par des agents à l’égard desquels il exerce les compétences conférées à l’autorité investie du pouvoir de nomination par le statut des fonctionnaires de l’Union européenne et à l’autorité habilitée à conclure les contrats d’engagement d’autres agents par le régime applicable aux autres agents de l’Union, établis par le règlement (CEE, Euratom, CECA) nº 259/68 du Conseil (ci-après dénommées «compétences relevant de l’autorité investie du pouvoir de nomination»). L’Autorité peut faire appel dans tous ses domaines d’activité à d’autres experts nationaux détachés ou à d’autres personnes qu’elle n’emploie pas.

Le statut des fonctionnaires et le régime applicable aux autres agents, ainsi que les réglementations adoptées d’un commun accord par les institutions de l’Union aux fins de l’application dudit statut et dudit régime, s’appliquent au personnel de l’Autorité.

La sélection des agents ne doit pas pouvoir donner lieu à des conflits d'intérêts entre leurs fonctions au sein de l'Autorité et leurs autres fonctions officielles, et ces personnes s'abstiennent de tout acte incompatible avec la nature de leurs fonctions.»;

"

2)  à l’article 10, paragraphe 3, le troisième alinéa est remplacé par le texte suivant:"

«Les procédures prévues aux premier et deuxième alinéas ne peuvent être mises en œuvre dans les deux mois précédant les élections au Parlement européen. Ce délai n’est pas applicable à la procédure visée à l’article 10 bis.»;

"

3)  l’article suivant est inséré:"

«Article 10 bis

Procédure de vérification relative aux infractions aux règles de protection des données à caractère personnel

1.  Un parti politique européen ou une fondation politique européenne ne peut délibérément influencer, ni tenter d’influencer, le résultat des élections au Parlement européen en tirant parti d’une infraction, commise par une personne physique ou morale, aux règles applicables en matière de protection des données à caractère personnel.

2.  Si l’Autorité est informée de la décision d’une autorité de contrôle nationale au sens de l’article 4, point 21, du règlement (UE) 2016/679 du Parlement européen et du Conseil* constatant qu’une personne physique ou morale a enfreint les règles applicables à la protection des données à caractère personnel, et s’il découle de cette décision, ou s’il y a d’autres bonnes raisons de croire, que l’infraction est liée aux activités politiques d’un parti politique européen ou d’une fondation politique européenne dans le contexte des élections au Parlement européen, l’Autorité soumet cette question au comité de personnalités éminentes indépendantes institué par l’article 11 du présent règlement. L’Autorité peut, si nécessaire, se mettre en rapport avec l’autorité de contrôle nationale concernée.

3.  Le comité visé au paragraphe 2 émet un avis indiquant si le parti politique européen concerné ou la fondation politique européenne concernée a délibérément influencé ou tenté d’influencer le résultat des élections au Parlement européen en tirant parti de cette infraction. L’Autorité sollicite l’avis sans retard injustifié et au plus tard un mois après avoir été informée de la décision rendue par l’autorité de contrôle nationale. L’Autorité fixe un délai court et raisonnable pour l’émission de l’avis. Le comité respecte ledit délai.

4.   Eu égard à l’avis du comité, l’Autorité décide, conformément à l’article 27, paragraphe 2, point a) vii), s’il y a lieu d’imposer des sanctions financières au parti politique européen concerné ou à la fondation politique européenne concernée. La décision de l’Autorité est dûment motivée, notamment en ce qui concerne l’avis du comité, et est publiée rapidement.

5.   La procédure énoncée au présent article est sans préjudice de la procédure prévue à l’article 10.

——————————

* Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).»;

"

4)  à l’article 11, paragraphe 3, le premier alinéa est remplacé par le texte suivant:"

«Lorsque l’Autorité le demande, le comité émet un avis:

   a) sur toute éventuelle violation grave et manifeste des valeurs sur lesquelles l’Union est fondée, telles qu’elles sont visées à l’article 3, paragraphe 1, point c), et à l’article 3, paragraphe 2, point c), par un parti politique européen ou une fondation politique européenne.
   b) indiquant si un parti politique européen ou une fondation politique européenne a délibérément influencé ou tenté d’influencer le résultat des élections au Parlement européen en tirant parti d’une infraction aux règles applicables en matière de protection des données à caractère personnel

Dans les cas visés aux points a) et b) du premier alinéa, le comité peut demander tout document ou élément de preuve utile à l’Autorité, au Parlement européen, au parti politique européen concerné ou à la fondation politique européenne concernée, à d’autres partis politiques, fondations politiques ou autres parties prenantes et il peut demander à entendre leurs représentants. Dans le cas visé au point b) du premier alinéa, l’autorité de contrôle nationale visée à l’article 10 bis coopère avec le comité conformément au droit applicable.»;

"

5)  à l’article 18, le paragraphe 2 est remplacé par le texte suivant:"

«2. Le parti politique européen et la fondation politique européenne doivent, à la date de leur demande, satisfaire aux obligations énumérées à l’article 23 et, à compter de la date de la demande jusqu’à la fin de l’exercice ou de l’action couverts par la contribution ou la subvention, rester enregistrés au registre, et ne peuvent faire l’objet d’aucune des sanctions prévues à l’article 27, paragraphe 1, et à l’article 27, paragraphe 2, points a) v), vi) et vii).»;

"

6)  l’article 27 est modifié comme suit:

a)  au paragraphe 2, point a), le point suivant est ajouté:"

«vii) lorsque, conformément à la procédure de vérification prévue à l’article 10 bis, il est établi qu’un parti politique européen ou une fondation politique européenne a délibérément influencé ou tenté d’influencer le résultat des élections au Parlement européen en tirant parti d’une infraction aux règles applicables en matière de protection des données à caractère personnel.»;

"

b)  le paragraphe suivant est ajouté:"

«7. Lorsqu’une décision rendue par l’autorité de contrôle nationale telle que visée à l’article 10 bis a été abrogée ou lorsqu’un recours contre une telle décision a abouti, pour autant que tous les recours nationaux aient été épuisés, l’Autorité réexamine toute sanction infligée en vertu du paragraphe 2, point a) vii), à la demande du parti politique européen concerné ou de la fondation politique européenne concernée.»;

"

Article 2

Le présent règlement entre en vigueur le jour de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à ...,

Par le Parlement européen Par le Conseil

Le président Le président

(1) Non encore paru au Journal officiel.
(2) Avis du 12 décembre 2018 (non encore paru au Journal officiel).
(3) Position du Parlement européen du 12 mars 2019.
(4)Règlement (UE, Euratom) nº 1141/2014 du Parlement européen et du Conseil du 22 octobre 2014 relatif au statut et au financement des partis politiques européens et des fondations politiques européennes (JO L 317 du 4.11.2014, p. 1).


Menaces pour la sécurité liées à la présence technologique croissante de la Chine dans l’Union et les actions possibles à l’échelle de l’UE pour les réduire
PDF 144kWORD 53k
Résolution du Parlement européen du 12 mars 2019 sur les menaces pour la sécurité liées à la présence technologique croissante de la Chine dans l’Union et les actions possibles à l’échelle de l’UE pour les réduire (2019/2575(RSP))
P8_TA-PROV(2019)0156RC-B8-0154/2019

Le Parlement européen,

—  vu la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen(1),

–  vu la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union(2),

–  vu la directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil(3),

–  vu la proposition de règlement du Parlement européen et du Conseil relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) nº 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité, présentée le 13 septembre 2017 par la Commission (règlement sur la cybersécurité) (COM(2017)0477),

–  vu la proposition de règlement établissant le Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination, présentée le 12 septembre 2018 par la Commission (COM(2018)0630),

–  vu l’adoption de la nouvelle loi sur le renseignement national par le Congrès national du peuple chinois le 28 juin 2017,

–  vu les déclarations du Conseil et de la Commission du 13 février 2019 sur les menaces pour la sécurité liées à la présence technologique croissante de la Chine dans l’UE et les actions possibles à l’échelle de l’UE pour les réduire,

–  vu l’adoption par le gouvernement australien de mesures, entrées en vigueur le 18 septembre 2018, réformant la sécurité du secteur des télécommunications,

–  vu sa position adoptée en première lecture le 14 février 2019 sur la proposition de règlement du Parlement européen et du Conseil établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union européenne(4),

–  vu ses résolutions antérieures sur l’état des relations entre l’Union européenne et la Chine, notamment celle du 12 septembre 2018(5),

–  vu la communication de la Commission du 14 septembre 2016 intitulée «Un plan d’action pour la 5G en Europe» (COM (2016)0588),

–  vu sa résolution du 1er juin 2017 sur la connectivité internet pour la croissance, la compétitivité et la cohésion: société européenne du gigabit et 5G(6),

–  vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)(7),

–  vu le règlement (UE) nº 1316/2013 du Parlement européen et du Conseil du 11 décembre 2013 établissant le mécanisme pour l’interconnexion en Europe, modifiant le règlement (UE) nº 913/2010 et abrogeant les règlements (CE) nº 680/2007 et (CE) nº 67/2010(8),

–  vu la proposition de règlement du Parlement européen et du Conseil établissant le programme pour une Europe numérique pour la période 2021-2027, présentée par la Commission le 6 juin 2018 (COM(2018)0434),

–  vu l’article 123, paragraphes 2 et 4, de son règlement intérieur,

A.  considérant que l’Union doit promouvoir son programme en matière de cybersécurité afin qu’elle puisse exploiter son potentiel pour devenir un acteur de premier plan en matière de cybersécurité et l’utiliser au profit de son industrie;

B.  considérant que certaines vulnérabilités des réseaux 5G pourraient être exploitées pour compromettre des systèmes informatiques, ce qui pourrait potentiellement nuire gravement à l’économie au niveau européen et national; qu’une approche fondée sur l’analyse des risques dans l’ensemble de la chaîne de valeur est nécessaire pour réduire ces risques à leur minimum;

C.  considérant que le réseau 5G constituera l’épine dorsale de notre infrastructure numérique, en étendant la possibilité de connecter divers équipements aux réseaux (internet des objets, etc.), et sera source de nouveaux avantages et de nouvelles opportunités pour la société et les entreprises dans de nombreux domaines, y compris des secteurs essentiels de l’économie, comme les transports, l’énergie, la santé, la finance, les télécommunications, la défense, l’espace et la sécurité;

D.  considérant que la mise en place d’un mécanisme approprié pour relever les défis en matière de sécurité donnerait à l’Union la possibilité de prendre activement des mesures pour fixer des normes pour la 5G;

E.  considérant que des préoccupations ont été formulées au sujet d’équipementiers de pays tiers qui pourraient présenter un risque pour la sécurité de l’Union en raison de la législation de leur pays d’origine, en particulier après l’adoption des lois chinoises sur les renseignements nationaux, qui instaurent l’obligation pour tous les citoyens, entreprises et autres entités de coopérer avec le gouvernement afin de préserver la sécurité nationale, la notion de sécurité nationale faisant l'objet d’une définition particulièrement large; qu’il n’existe aucune garantie que de telles obligations n’aient pas d’application extraterritoriale, et que les réactions face à la législation chinoise ont varié d'un pays à l’autre, allant d’une évaluation de la sécurité à une interdiction pure et simple;

F.  considérant qu’en décembre 2018, l’autorité nationale tchèque en matière de cybersécurité a émis un avertissement contre les menaces pour la sécurité que représentent les technologies fournies par les sociétés chinoises Huawei et ZTE; que, par la suite, en janvier 2019, les autorités fiscales tchèques ont exclu Huawei d’un appel d’offres pour la mise en place d’un portail fiscal;

G.  considérant qu’une enquête approfondie est nécessaire pour découvrir si les appareils concernés, ou tout autre appareil ou fournisseur, présentent des risques pour la sécurité en raison de la présence de «portes dérobées» vers les systèmes;

H.  considérant que les solutions devraient être coordonnées et traitées à l’échelon de l’Union pour éviter d’être confrontés à des niveaux de sécurité différents et à d’éventuelles failles dans la cybersécurité, une coordination mondiale étant par ailleurs nécessaire pour apporter une réponse forte à ce problème;

I.  considérant que les avantages du marché unique vont de pair avec l’obligation de respecter les normes de l’Union et son cadre juridique, et que les fournisseurs ne devraient pas faire l’objet de différences de traitement en fonction de leur pays d’origine;

J.  considérant que le règlement sur le filtrage des investissements directs étrangers, qui devrait entrer en vigueur d’ici à la fin de 2020, renforce la capacité des États membres à filtrer les investissements étrangers sur la base de la sécurité et de l’ordre public, et établit un mécanisme de coopération qui permet à la Commission et aux États membres de coopérer à l’évaluation des risques en matière de sécurité, notamment en matière de cybersécurité, que présentent les investissements étrangers sensibles, et couvre également les projets et programmes présentant un intérêt pour l’Union, tels que les réseaux transeuropéens de télécommunications et Horizon 2020;

1.  estime que l’Union doit se poser en chef de file de la cybersécurité à l’aide d’une approche commune fondée sur l’utilisation efficiente et efficace des connaissances d’expert de l’Union, des États membres et de l’industrie, étant donné qu’un patchwork de décisions nationales divergentes nuirait au marché unique numérique;

2.  se dit vivement préoccupé par les informations récentes selon lesquelles le matériel 5G mis au point par les entreprises chinoises contiendrait des portes dérobées incorporées permettant aux fabricants et aux autorités chinoises d’accéder, sans y être autorisés, aux données et aux télécommunications privées à caractère personnel échangées dans l’Union;

3.  s’inquiète également de la présence éventuelle de points faibles importants dans le matériel 5G développé par ces fabricants s’il venait à être installé lors du déploiement des réseaux 5G dans les années à venir;

4.  souligne que les enjeux de sécurité des réseaux et du matériel sont semblables dans le monde entier et invite l’Union à tirer des enseignements de l’expérience disponible pour pouvoir garantir les normes les plus élevées de cybersécurité; invite la Commission à élaborer une stratégie qui mette l’Europe en tête dans le domaine des technologies de la cybersécurité et qui vise à réduire la dépendance de l’Europe vis-à-vis des technologies étrangères dans le domaine de la cybersécurité; estime que si le respect des exigences de sécurité ne peut être garanti, il convient d’appliquer des mesures adéquates;

5.  invite les États membres à informer la Commission de toute mesure nationale qu’ils entendent adopter afin de coordonner la réponse de l’Union et ainsi garantir des normes de cybersécurité particulièrement élevées dans l’ensemble de l’Union et rappelle qu’il importe de s’abstenir de mettre en place des mesures unilatérales disproportionnées qui fragmenteraient le marché unique;

6.  réaffirme que toute entité qui fournit du matériel ou des services dans l’Union, quel que soit son pays d’origine, doit se conformer aux obligations en matière de droits fondamentaux et à la législation de l’Union et des États membres, y compris le cadre juridique en matière de respect de la vie privée, de protection des données et de cybersécurité;

7.  invite la Commission à évaluer la solidité du cadre juridique de l’Union afin d’apporter une réponse aux inquiétudes concernant la présence de matériel vulnérable dans les secteurs stratégiques et les infrastructures de base; demande instamment à la Commission de présenter des initiatives, y compris des propositions législatives s’il y a lieu, pour remédier en temps utile à toute défaillance détectée étant donné que l’Union est dans un processus constant d’identification et de correction des problèmes de sécurité et d’amélioration de la résilience en matière de cybersécurité dans l’Union;

8.  invite instamment les États membres qui n’ont pas encore transposé intégralement la directive sur la sécurité des réseaux et des systèmes d’information (directive SRI) à le faire sans attendre et demande à la Commission de suivre étroitement cette transposition pour ainsi veiller à ce que ses dispositions soient correctement appliquées et respectées et que les citoyens européens soient mieux protégés des menaces extérieures et intérieures sur la sécurité;

9.  demande instamment à la Commission et aux États membres de veiller à ce que les mécanismes de signalement introduits par la directive SRI soient correctement appliqués; fait observer que la Commission et les États membres devraient consacrer une attention approfondie à tout incident de sécurité ou toute réaction inappropriée des fournisseurs afin de remédier aux lacunes constatées;

10.  invite la Commission à étudier la nécessité d’élargir le champ d’application de la directive SRI à de nouveaux secteurs et services d'importance critique qui ne sont pas couverts par une législation spécifique;

11.  salue et appuie l’accord conclu sur le règlement sur la cybersécurité et le renforcement du mandat de l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA) pour mieux aider les États membres à lutter contre les menaces et les attaques en matière de cybersécurité;

12.  demande instamment à la Commission de charger l’ENISA d’accorder la priorité à la définition d’un système de certification du matériel 5G afin de veiller à ce que le déploiement de la 5G dans l’Union réponde aux normes de sécurité les plus élevées et résiste aux portes dérobées ou à d’autres failles importantes qui mettraient en danger la sécurité des réseaux de télécommunications et des services correspondants dans l’Union; recommande d’accorder une attention particulière aux processus, produits et logiciels communément utilisés qui ont, de par leur ampleur, une incidence importante sur la vie quotidienne des citoyens et l’économie;

13.  se félicite des propositions relatives aux centres de compétences en matière de cybersécurité et à un réseau de centres nationaux de coordination, conçues pour aider l’Union à garder et à développer les capacités technologiques et industrielles nécessaires pour sécuriser son marché unique numérique; rappelle toutefois que la certification ne devrait pas exclure les autorités compétentes et les opérateurs du processus d’examen de la chaîne d’approvisionnement afin de garantir ainsi l’intégrité et la sécurité des équipements qu’ils intègrent dans les environnements critiques et les réseaux de télécommunications;

14.  rappelle que la cybersécurité exige des normes élevées en matière de sécurité; demande un réseau qui soit sécurisé par défaut et dès la conception; invite instamment les États membres à explorer avec la Commission tous les moyens disponibles pour garantir un niveau élevé de sécurité;

15.  invite la Commission, en coopération avec l’ENISA, à préconiser des stratégies destinées à éviter les cybermenaces et les vulnérabilités lors de l’acquisition de matériel et de services 5G divers, par exemple, en diversifiant les matériels fournis ou en prévoyant des procédures de marchés publics multiphases;

16.  réaffirme sa position sur le programme pour une Europe numérique qui impose des exigences de sécurité et le contrôle de la Commission sur les entités établies dans l’Union européenne mais contrôlées depuis des pays tiers, en particulier pour les actions liées à la cybersécurité;

17.  invite les États membres à veiller à ce que les institutions publiques et les entreprises privées contribuant au bon fonctionnement de réseaux d’infrastructures critiques comme les télécommunications, l’énergie, la santé et les système sociaux réalisent des évaluations adéquates des risques en tenant compte des menaces pour la sécurité liées spécifiquement aux caractéristiques techniques du système qui les concerne ou à la dépendance à l’égard de fournisseurs externes de matériel et de logiciels informatiques;

18.  rappelle que le cadre juridique actuel sur les télécommunications commande aux États membres de veiller à ce que les opérateurs de télécommunications respectent l’intégrité et la disponibilité des réseaux publics de communications électroniques, notamment un chiffrement de bout en bout si nécessaire; souligne qu’en vertu du code des communications électroniques européen, les États membres disposent de pouvoirs étendus pour enquêter sur les produits mis sur le marché de l’Union et prendre un large éventail de mesures en cas de non-conformité;

19.  invite la Commission et les États membres à faire de la sécurité un aspect obligatoire dans toutes les procédures de passation de marchés publics pour les infrastructures concernées tant au niveau de l’UE qu’au niveau national;

20.  rappelle aux États membres l’obligation qui leur incombe en vertu du cadre juridique de l’Union, notamment de la directive 2013/40/UE relative aux attaques contre les systèmes d’information, d’imposer des sanctions aux personnes morales qui se sont rendues coupables d’infractions pénales telles que des attaques contre ces systèmes; souligne que les États membres devraient également recourir à la faculté d’imposer d’autres sanctions à ces entités juridiques, telles que l’interdiction temporaire ou définitive de se livrer à certaines activités commerciales;

21.  invite les États membres, les agences de cybersécurité, les opérateurs de télécommunications, les fabricants et les fournisseurs de services d’infrastructures critiques à signaler à la Commission et à l’ENISA tout élément attestant l’existence de portes dérobées ou d’autres failles importantes susceptibles de compromettre l’intégrité et la sécurité des réseaux de télécommunications ou d’enfreindre le droit de l’Union et les droits fondamentaux; demande aux autorités nationales de protection des données et au contrôleur européen de la protection des données d’examiner attentivement les indices de violation de données à caractère personnel de la part de fabricants extérieurs et d’imposer des sanctions adéquates conformément à la législation européenne relative à la protection des données;

22.  se félicite de la prochaine entrée en vigueur en vigueur d’un règlement établissant un cadre pour le filtrage des investissements étrangers directs (IED) pour des motifs de sécurité et d’ordre public, et souligne que ce règlement établit pour la première fois une liste de domaines et de facteurs, notamment les communications et la cybersécurité, qui intéressent la sécurité et l’ordre public au niveau de l’Union européenne;

23.  invite le Conseil à accélérer ses travaux sur la proposition de règlement «vie privée et communications électroniques»;

24.  réaffirme que l’Union européenne doit promouvoir la cybersécurité tout au long de la chaîne de valeur, de la recherche jusqu’au déploiement et à l’adoption de technologies clés, diffuser les informations en la matière et promouvoir l’hygiène informatique et des programmes de formation, notamment sur la cybersécurité, et estime que le programme pour une Europe numérique fait partie des outils efficaces pour y parvenir;

25.  prie instamment la Commission et les États membres de prendre les mesures nécessaires, notamment des programmes d’investissement solides, afin de créer un environnement propice à l’innovation au sein de l’Union, qui devraient être accessibles à toutes les entreprises dans l’économie numérique de l’Union, y compris les petites et moyennes entreprises (PME); insiste, en outre, sur le fait qu’un tel environnement devrait permettre aux fabricants européens de développer de nouveaux produits, services et technologies, ce qui leur permettrait d’être compétitifs;

26.  demande instamment à la Commission et aux États membres de tenir compte des demandes susmentionnées lors des discussions à venir sur la future stratégie UE-Chine car c’est à cette condition que l’Union restera compétitive et qu’elle garantira la sécurité de ses infrastructures numériques;

27.  charge son Président de transmettre la présente résolution au Conseil et à la Commission.

(1) JO L 321 du 17.12.2018, p. 36.
(2) JO L 194 du 19.7.2016, p. 1.
(3) JO L 218 du 14.8.2013, p. 8.
(4) Textes adoptés de cette date, P8_TA(2019)0121.
(5) Textes adoptés de cette date, P8_TA(2018)0343.
(6) JO C 307 du 30.8.2018, p. 144.
(7) JO L 119 du 4.5.2016, p. 1.
(8) JO L 348 du 20.12.2013, p. 129.


État des relations politiques entre l’Union européenne et la Russie
PDF 170kWORD 62k
Résolution du Parlement européen du 12 mars 2019 sur l’état des relations politiques entre l’Union européenne et la Russie (2018/2158(INI))
P8_TA-PROV(2019)0157