Commission Delegated Regulation (EU) 2021/2222 of 30 September 2021 supplementing Regulation (EU) 2019/818 of the European Parliament and of the Council with detailed rules on the operation of the central repository for reporting and statistics
Règlement délégué (UE) 2021/2222 de la Commissiondu 30 septembre 2021complétant le règlement (UE) 2019/818 du Parlement européen et du Conseil au moyen de règles détaillées relatives au fonctionnement du répertoire central des rapports et statistiques LA COMMISSION EUROPÉENNE,vu le traité sur le fonctionnement de l’Union européenne,vu le règlement (UE) 2019/818 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine de la coopération policière et judiciaire, de l’asile et de l’immigration et modifiant les règlements (UE) 2018/1726, (UE) 2018/1862 et (UE) 2019/816JO L 135 du 22.5.2019, p. 85., et en particulier son article 39, paragraphe 5,considérant ce qui suit:(1)Le règlement (UE) 2019/818 établit, avec le règlement (UE) 2019/817 du Parlement européen et du ConseilRèglement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27)., un cadre permettant d’assurer l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières, des visas, de la coopération policière et judiciaire, de l’asile et de l’immigration.(2)Ce cadre comprend un certain nombre d’éléments et d’outils soutenant l’interopérabilité, y compris un répertoire central des rapports et statistiques (ci-après le "répertoire central"). Le répertoire central stocke des données anonymisées extraites des systèmes d’information de l’UE sous-jacents, du service partagé d’établissement de correspondances biométriques, du répertoire commun de données d’identité et du détecteur d’identités multiples, afin de fournir des rapports statistiques intersystèmes à des fins stratégiques, opérationnelles et de qualité des données.(3)L’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA) est chargée de la création, de la mise en œuvre et de l’hébergement du répertoire central, ainsi que de sa gestion opérationnelle.(4)Afin de permettre au répertoire central de fournir des données statistiques intersystèmes, il est nécessaire d’établir les règles relatives à son fonctionnement, y compris les garanties spécifiques pour le traitement des données à caractère personnel, et des règles en matière de sécurité.(5)Pour rendre impossible l’identification des personnes à partir des données statistiques contenues dans le répertoire central, l’eu-LISA devrait mettre au point un outil d’anonymisation des données intégré à son architecture. Le processus d’anonymisation devrait être automatisé.(6)Seul le personnel autorisé des autorités compétentes des institutions et agences de l’Union devrait bénéficier d’un accès, contrôlé et sécurisé, aux fins de la consultation des données et des statistiques dans le répertoire central. À cette fin, l’eu-LISA devrait mettre au point un outil d’établissement de rapports intégré à son architecture. Le personnel de l’eu-LISA ne devrait pas avoir d’accès direct aux données à caractère personnel stockées dans les systèmes d’information de l’UE ou dans les éléments d’interopérabilité.(7)Afin de conserver une trace du recoupement des fichiers d’identité à l’intérieur des systèmes d’information de l’UE correspondants ou entre ceux-ci à des fins statistiques pertinentes, le répertoire central devrait garder un numéro de référence unique. L’utilisation de ce numéro afin de rechercher des informations dans les fichiers d’identité devrait être impossible.(8)La solution technique hébergeant le répertoire central devrait être mise en œuvre sur le site technique de l’eu-LISA et sur le site de secours afin de garantir qu’elle reste disponible à tout moment.(9)Étant donné que le règlement (UE) 2019/818 développe l’acquis de Schengen, le Danemark a notifié, conformément à l’article 4 du protocole no 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, la transposition dudit règlement dans son droit national. Il est donc lié par le présent règlement.(10)Le présent règlement constitue un développement des dispositions de l’acquis de Schengen auxquelles l’Irlande ne participe pasLe présent règlement ne relève pas du champ d’application des mesures prévues par la décision 2002/192/CE du Conseil du 28 février 2002 relative à la demande de l’Irlande de participer à certaines dispositions de l’acquis de Schengen (JO L 64 du 7.3.2002, p. 20).. L’Irlande ne participe donc pas à l’adoption du présent règlement et n’est pas liée par celui-ci, ni soumise à son application.(11)En ce qui concerne l’Islande et la Norvège, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens de l’accord conclu par le Conseil de l’Union européenne, la République d’Islande et le Royaume de Norvège sur l’association de ces deux États à la mise en œuvre, à l’application et au développement de l’acquis de SchengenJO L 176 du 10.7.1999, p. 36., qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE du ConseilDécision 1999/437/CE du Conseil du 17 mai 1999 relative à certaines modalités d’application de l’accord conclu par le Conseil de l’Union européenne et la République d’Islande et le Royaume de Norvège sur l’association de ces États à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (JO L 176 du 10.7.1999, p. 31)..(12)En ce qui concerne la Suisse, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens de l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de SchengenJO L 53 du 27.2.2008, p. 52., qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE, lue en liaison avec l’article 3 de la décision 2008/146/CE du ConseilDécision 2008/146/CE du Conseil du 28 janvier 2008 relative à la conclusion, au nom de la Communauté européenne, de l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (JO L 53 du 27.2.2008, p. 1)..(13)En ce qui concerne le Liechtenstein, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens du protocole entre l’Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l’adhésion de la Principauté de Liechtenstein à l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de SchengenJO L 160 du 18.6.2011, p. 21. qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE, lue en liaison avec l’article 3 de la décision 2011/350/UE du ConseilDécision 2011/350/UE du Conseil du 7 mars 2011 relative à la conclusion, au nom de l’Union européenne, du protocole entre l’Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l’adhésion de la Principauté de Liechtenstein à l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen en ce qui concerne la suppression des contrôles aux frontières intérieures et la circulation des personnes (JO L 160 du 18.6.2011, p. 19)..(14)En ce qui concerne Chypre, la Bulgarie et la Roumanie, et la Croatie, le présent règlement constitue un acte fondé sur l’acquis de Schengen ou qui s’y rapporte, au sens de l’article 3, paragraphe 1, de l’acte d’adhésion de 2003, de l’article 4, paragraphe 1, de l’acte d’adhésion de 2005 et de l’article 4, paragraphe 1, de l’acte d’adhésion de 2011.(15)Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du ConseilRèglement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39). et a rendu un avis le 17 juin 2021,A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premierDéfinitionsAux fins du présent règlement, on entend par:1)"données statistiques": les données anonymisées et utilisées à la seule fin d’établir des rapports statistiques conformément aux règlements (UE) 2017/2226Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES, à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) no 767/2008 et (UE) no 1077/2011 (JO L 327 du 9.12.2017, p. 20)., (UE) 2018/1240Règlement (UE) 2018/1240 du Parlement européen et du Conseil du 12 septembre 2018 portant création d’un système européen d’information et d’autorisation concernant les voyages (ETIAS) et modifiant les règlements (UE) no 1077/2011, (UE) no 515/2014, (UE) 2016/399, (UE) 2016/1624 et (UE) 2017/2226 (JO L 236 du 19.9.2018, p. 1)., (UE) 2018/1860Règlement (UE) 2018/1860 du Parlement européen et du Conseil du 28 novembre 2018 relatif à l’utilisation du système d’information Schengen aux fins du retour des ressortissants de pays tiers en séjour irrégulier (JO L 312 du 7.12.2018, p. 1)., (UE) 2018/1861Règlement (UE) 2018/1861 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine des vérifications aux frontières, modifiant la convention d’application de l’accord de Schengen et modifiant et abrogeant le règlement (CE) no 1987/2006 (JO L 312 du 7.12.2018, p. 14)., (UE) 2018/1862Règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) no 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission (JO L 312 du 7.12.2018, p. 56). et (UE) 2019/816Règlement (UE) 2019/816 du Parlement européen et du Conseil du 17 avril 2019 portant création d’un système centralisé permettant d’identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d’information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726 (JO L 135 du 22.5.2019, p. 1). du Parlement européen et du Conseil;2)"rapports (statistiques)": une collecte organisée de données statistiques, produite par le répertoire central de manière automatisée conformément à un ensemble de règles préétablies et conservée dans le répertoire central;3)"rapports personnalisables": les rapports statistiques extraits sur la base de données statistiques contenues dans le répertoire central conformément à des règles spécifiques déterminées au cas par cas par un utilisateur et conservés dans le répertoire central;4)"données d’identité sensibles": l’une des données suivantes, ou une combinaison de ces données, à partir de laquelle des personnes peuvent être identifiées:a)le nom (nom de famille), le(s) prénom(s), le pseudonyme de toute personne dont les données peuvent être stockées dans l’un des systèmes d’information de l’UE;b)le numéro du document de voyage;c)l’adresse (nom de rue, numéro de maison);d)le téléphone, l’adresse IP;e)les adresses électroniques;f)les données biométriques.
Article 2Informations devant figurer dans le répertoire central1.Les données visées à l’article 39, paragraphe 2, du règlement (UE) 2019/818 sont mises à disposition et stockées dans le répertoire central conformément au présent règlement.2.Le répertoire central contient des données statistiques, y compris des rapports sur l’utilisation du système aux fins du suivi du fonctionnement des éléments d’interopérabilité visés à l’article 62 du règlement (UE) 2019/818.3.Le répertoire central contient des rapports techniques destinés à assurer le suivi par l’eu-LISA du développement et du fonctionnement des éléments d’interopérabilité conformément à l’article 74, paragraphe 1, du règlement (UE) 2019/818.4.Le répertoire central conserve un numéro de référence unique permettant de suivre le recoupement des fichiers d’identité au sein des systèmes d’information de l’UE correspondants ou entre ceux-ci à des fins statistiques. Il n’est pas possible d’utiliser ce numéro de référence pour effectuer des recherches dans les fichiers d’identité sous-jacents.5.Le répertoire central permet au personnel dûment autorisé des autorités compétentes visées à l’article 39, paragraphe 2, du règlement (UE) 2019/818 d’obtenir:a)des rapports au titre de l’article 74 du règlement (UE) 2018/1862, contenant les statistiques suivantes sur les enregistrements conservés dans le système d’information Schengen:i)des statistiques journalières, mensuelles et annuelles, présentant le nombre d’enregistrements par catégorie de signalements, ventilées par État membre et sous forme de totaux, conformément à l’article 74, paragraphe 3, dudit règlement;ii)des rapports annuels sur le nombre de réponses positives par catégorie de signalements, le nombre de fois où le système d’information Schengen a été consulté et où on a eu accès au système pour introduire, mettre à jour ou supprimer un signalement, ventilés par État membre et sous forme de totaux, conformément à l’article 74, paragraphe 3, dudit règlement;iii)à la demande de la Commission, d’autres rapports statistiques spécifiques, réguliers ou ponctuels, sur la performance du système d’information Schengen et l’échange d’informations supplémentaires, conformément à l’article 74, paragraphe 6, deuxième alinéa, dudit règlement;iv)à la demande de l’Agence européenne de garde-frontières et de garde-côtes, des rapports statistiques spécifiques supplémentaires, réguliers ou ad hoc, aux fins de la réalisation d’analyses des risques et d’évaluations de la vulnérabilité, conformément à l’article 74, paragraphe 6, troisième alinéa, dudit règlement;v)des rapports et statistiques aux fins de la maintenance technique de l’établissement de rapports, de rapports sur la qualité des données et de statistiques, conformément à l’article 74, paragraphe 2, dudit règlement;vi)des rapports sur les problèmes rencontrés quant à la qualité des données en application de l’article 15, paragraphe 4, dudit règlement;b)des rapports au titre de l’article 32 du règlement (UE) 2019/816, contenant les statistiques suivantes sur les enregistrements conservés dans le système européen d’information sur les casiers judiciaires pour les ressortissants de pays tiers (ECRIS-TCN) et l’application de référence d’ECRIS:i)des rapports et statistiques personnalisables sur l’enregistrement, le stockage et l’échange d’informations extraites des casiers judiciaires au moyen du système européen d’information sur les casiers judiciaires pour les ressortissants de pays tiers;ii)des rapports et statistiques aux fins de la maintenance technique, des rapports sur la qualité des données et de statistiques, conformément à l’article 32, paragraphe 3, dudit règlement.6.Les rapports techniques visés au paragraphe 2 contiennent des statistiques sur l’utilisation du système, la disponibilité, les incidents, la capacité de performance, l’exactitude et la précision biométriques, la qualité des données et, le cas échéant, les opérations en attente de traitement.7.Les rapports d’activité produits par le répertoire central sont personnalisables par l’utilisateur, de manière à permettre le filtrage ou le regroupement des données au moyen d’un outil d’établissement de rapports mis à disposition avec le répertoire central.8.Un catalogue des rapports est mis à disposition. Les demandes concernant des rapports nouveaux ou des changements à apporter aux rapports existants suivent la politique de gestion des changements de l’eu-LISA.
Article 3Répertoire des données et outil d’établissement de rapports1.Le répertoire central utilise une solution technique hébergeant des données extraites des systèmes d’information de l’UE sous-jacents et des éléments d’interopérabilité.2.La solution technique comprend un outil d’établissement de rapports configuré pour créer, conserver et exécuter les rapports et rapports personnalisables visés à l’article 2.3.L’outil d’établissement de rapports permet la génération de rapports d’activité et de rapports techniques, ainsi que leur extraction par l’utilisateur.4.L’outil d’établissement de rapports permet la fourniture de données statistiques intersystèmes et de rapports analytiques à des fins stratégiques, opérationnelles et de qualité des données, lorsque le droit de l’Union le prévoit.5.Tous les rapports sont gérés au sein de la solution technique. Les mesures de sécurité et d’intégrité appropriées sont mises en œuvre au sein de la solution technique, afin de respecter les exigences du plan de sécurité prévu à l’article 42, paragraphe 3, du règlement (UE) 2019/818.6.La solution technique est mise en place sur le site technique d’eu-LISA et sur le site de secours.
Article 4Extraction des donnéesLe répertoire central reçoit des systèmes d’information de l’UE des copies en lecture seule des données visées à l’article 39, paragraphe 2, et à l’article 62, paragraphe 1, 2 et 3, du règlement (UE) 2019/818, afin de produire les statistiques et les rapports visés aux articles 39 et 62 dudit règlement. Les données sont obtenues régulièrement et au moins quotidiennement, au moyen d’une extraction à sens unique.
Article 5Outil d’anonymisation des données1.Les données extraites des systèmes d’information et des éléments d’interopérabilité de l’UE sous-jacents sont anonymisées à l’aide d’un outil d’anonymisation des données. Seules les données anonymisées sont stockées dans le répertoire central.2.L’outil d’anonymisation des données identifie les données d’identité sensibles dans les systèmes d’information de l’UE et les anonymise au moyen d’un processus automatisé avant que les données statistiques ne soient stockées dans le répertoire central. Le processus d’anonymisation est irréversible.
Article 6Accès1.L’accès au répertoire central par le personnel dûment autorisé est accordé et géré conformément à l’article 74 du règlement (UE) 2018/1862 et à l’article 32 du règlement (UE) 2019/816.2.Le répertoire central est accessible aux États membres, à la Commission et aux agences de l’Union, conformément à leurs droits d’accès en vertu du droit de l’Union, au moyen d’une connexion sécurisée au réseau (TESTA).3.Seul le personnel dûment autorisé des autorités compétentes conformément à l’article 39, paragraphe 2, et à l’article 62, paragraphe 1 à 5, du règlement (UE) 2019/818 est autorisé à accéder à l’outil visé à l’article 3, paragraphe 2, du présent règlement.4.Les autorités compétentes accèdent au répertoire central au moyen de profils d’utilisateurs. L’eu-LISA tient une liste des profils d’utilisateurs. Une autorité peut avoir plusieurs profils, en fonction de ses droits d’accès.5.L’accès au répertoire central est enregistré. Les informations enregistrées contiennent au moins:a)un horodatage;b)le nom de l’autorité;c)le type de rapport concerné.6.Les enregistrements permettant l’identification des utilisateurs qui ont accès au répertoire des données sont conservés au niveau national et par la Commission, l’Agence européenne de garde-frontières et de garde-côtes et Europol. L’eu-LISA tient des registres de toutes les opérations d’accès. Ils sont stockés dans le répertoire central pendant un an, après quoi ils sont automatiquement effacés.7.Tout rôle conflictuel au sein du répertoire central est identifié et l’accès est accordé conformément aux principes suivants:a)le besoin d’en connaître;b)le principe du moindre privilège;c)la séparation des fonctions.8.Les rapports sur la qualité des données publiés en vertu de l’article 15, paragraphe 4, du règlement (UE) 2018/1862 comprennent un outil permettant aux États membres de fournir à l’eu-LISA un retour d’information sur la correction des problèmes rencontrés.
Article 7Sous-traitant de donnéesAux fins de l’anonymisation des données à caractère personnel conformément à l’article 5, l’eu-LISA est le sous-traitant de données au sens de l’article 3, point 12, du règlement (UE) 2018/1725.
Article 8Autres aspects relatifs à la protection et à la sécurité des données1.Les données stockées dans le répertoire central sont consultées aux seules fins de l’établissement de rapports et de statistiques.2.L’eu-LISA met en œuvre les mesures de sécurité nécessaires pour garantir l’intégrité des données contenues dans le répertoire central. Toute modification des données est traçable à des fins d’audit.
Article 9Entrée en vigueurLe présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.
Fait à Bruxelles, le 30 septembre 2021.Par la CommissionLa présidenteUrsula von der Leyen