EuropeanMigrationLaw.eu

Asile, immigration, libre circulation des personnes

Un accès unique au droit et à la politique de l'UE

> Liste des textes

Système d'entrée/de sortie

Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) no 767/2008 et (UE) no 1077/2011

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 77, paragraphe 2, points b) et d), et son article 87, paragraphe 2, point a),

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen (1),

après consultation du Comité des régions,

statuant conformément à la procédure législative ordinaire (2),

considérant ce qui suit:

(1)

Dans sa communication du 13 février 2008 intitulée «Préparer les prochaines évolutions de la gestion des frontières dans l’Union européenne», la Commission évoquait la nécessité, comme élément de la stratégie de l’Union pour la gestion intégrée des frontières, de créer un système d’entrée/de sortie (EES) qui enregistre par voie électronique le moment et le lieu d’entrée et de sortie des ressortissants de pays tiers admis pour un court séjour sur le territoire des États membres et qui calcule la durée de leur séjour autorisé.

(2)

Le Conseil européen des 19 et 20 juin 2008 a souligné l’importance de poursuivre les travaux visant à développer cette stratégie de l’Union pour la gestion intégrée des frontières, notamment en exploitant mieux les technologies modernes pour améliorer la gestion des frontières extérieures.

(3)

Dans sa communication du 10 juin 2009 intitulée «Un espace de liberté, de sécurité et de justice au service des citoyens», la Commission préconisait l’établissement d’un système d’enregistrement électronique des entrées et sorties du territoire des États membres aux frontières extérieures afin d’assurer une gestion plus efficace de l’accès à ce territoire.

(4)

Le Conseil européen des 23 et 24 juin 2011 préconisait de faire progresser rapidement les travaux concernant les «frontières intelligentes». Le 25 octobre 2011, la Commission publiait une communication intitulée «Frontières intelligentes: options et pistes envisageables».

(5)

Dans ses orientations stratégiques adoptées en juin 2014, le Conseil européen soulignait que l’espace Schengen, qui permet de voyager sans avoir à se soumettre à des contrôles aux frontières intérieures, et le nombre croissant de personnes se rendant dans l’Union imposent de gérer efficacement les frontières extérieures communes de l’Union pour assurer un niveau élevé de protection. Il a également souligné que l’Union doit mobiliser tous les instruments dont elle dispose pour aider les États membres dans leur tâche et qu’à cette fin, la gestion intégrée des frontières extérieures devrait être modernisée d’une manière efficace au regard des coûts afin d’assurer une gestion intelligente des frontières entre autres grâce à un système d’entrée/de sortie, avec le concours de la nouvelle Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle (eu-LISA).

(6)

Dans sa communication du 13 mai 2015 intitulée «Un agenda européen en matière de migration», la Commission relevait que l’initiative «Frontières intelligentes» marque une nouvelle phase: elle vise à assurer des franchissements de frontière plus efficaces, en facilitant ceux de la grande majorité des ressortissants de pays tiers qui sont de bonne foi et, en même temps, en renforçant la lutte contre la migration irrégulière par la création d’un registre de tous les mouvements transfrontières des ressortissants de pays tiers, dans le strict respect du principe de proportionnalité.

(7)

Afin d’améliorer davantage la gestion des frontières extérieures et, en particulier, de s’assurer du respect des dispositions relatives à la période de séjour autorisé sur le territoire des États membres, il convient de créer un EES, qui enregistre par voie électronique le moment et le lieu d’entrée et de sortie des ressortissants de pays tiers admis pour un court séjour sur le territoire des États membres et qui calcule la durée de leur séjour autorisé. Ce système devrait remplacer l’obligation d’apposer un cachet sur le passeport des ressortissants de pays tiers, qui est applicable par tous les États membres.

(8)

Il est nécessaire de définir les objectifs de l’EES, les catégories de données à y introduire, les finalités de l’utilisation des données, les critères pour leur introduction et les autorités habilitées à y avoir accès, des règles complémentaires concernant le traitement des données et la protection des données à caractère personnel, ainsi que l’architecture technique de l’EES, les règles concernant son fonctionnement et son utilisation, ainsi que l’interopérabilité avec d’autres systèmes d’information. Il est également nécessaire de définir les responsabilités afférentes à l’EES.

(9)

L’EES devrait s’appliquer aux ressortissants de pays tiers admis pour un court séjour sur le territoire des États membres. Il devrait également s’appliquer aux ressortissants de pays tiers auxquels l’entrée pour un court séjour a été refusée.

(10)

Il convient que l’EES soit mis en œuvre aux frontières extérieures des États membres qui appliquent l’acquis de Schengen dans son intégralité. Il est souhaitable que les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité l’appliquent intégralement au plus tard lors de la mise en service de l’EES. Toutefois, dans le cas où la levée des contrôles aux frontières intérieures ne peut être assurée au plus tard lors de la mise en service de l’EES, il est nécessaire de préciser les conditions de la mise en œuvre de l’EES par les États membres qui n’appliquent pas l’acquis de Schengen dans son intégralité et de définir les dispositions relatives à sa mise en œuvre et à son utilisation aux frontières intérieures auxquelles les contrôles n’ont pas encore été levés.

Pour ce qui est des conditions de la mise en œuvre de l’EES, il convient de mettre en œuvre l’EES aux frontières extérieures des États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais pour lesquels la vérification conformément à la procédure d’évaluation de Schengen applicable a déjà été réalisée avec succès, auxquels un accès passif au système d’information sur les visas (VIS) créé par la décision 2004/512/CE du Conseil (3) a été accordé aux fins de la mise en œuvre de l’EES et pour lesquels les dispositions de l’acquis de Schengen relatives au système d’information Schengen (SIS), institué par le règlement (CE) no 1987/2006 du Parlement européen et du Conseil (4), ont été mises en application conformément à l’acte d’adhésion correspondant. En ce qui concerne les dispositions relatives à la mise en œuvre et à l’utilisation de l’EES par les États membres remplissant ces conditions, l’EES devrait être mis en œuvre à toutes les frontières intérieures des États membres auxquelles les contrôles n’ont pas encore été levés. Des dispositions spécifiques concernant la mise en œuvre et l’utilisation de l’EES à ces frontières devraient toutefois s’appliquer afin de minimiser l’impact de la procédure de vérification à ces frontières, sans pour autant affecter le niveau de sécurité et le bon fonctionnement de l’EES et sans préjudice des autres obligations liées aux contrôles aux frontières découlant du règlement (UE) 2016/399 du Parlement européen et du Conseil (5).

(11)

La durée du séjour autorisé de ressortissants de pays tiers sur le territoire des États membres aux fins du présent règlement est déterminée d’après les dispositions applicables de l’acquis de Schengen.

(12)

Une calculatrice automatique devrait être intégrée à l’EES. La calculatrice automatique devrait tenir compte des séjours sur le territoire des États membres qui mettent en œuvre l’EES pour le calcul de la limite globale de 90 jours sur toute période de 180 jours. Toute prolongation du séjour autorisé devrait être prise en compte aux fins du calcul de cette limite globale lors de l’entrée suivante du ressortissant de pays tiers sur le territoire des États membres. Les séjours sur le territoire des États membres qui ne mettent pas encore en œuvre l’EES devraient faire l’objet d’un décompte distinct, sur la base des cachets apposés sur les documents de voyage des ressortissants de pays tiers.

(13)

La calculatrice automatique ne devrait prendre en compte que les séjours sur le territoire des États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES aux fins de vérifier le respect de la limite globale de 90 jours sur toute période de 180 jours et aux fins de vérifier la durée de validité d’un visa Schengen de court séjour. La calculatrice automatique ne devrait pas calculer la durée du séjour autorisé par un visa de court séjour national délivré par un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES. Lors du calcul de la durée du séjour autorisé par un visa Schengen de court séjour, la calculatrice automatique ne devrait pas tenir compte des séjours sur le territoire des États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES.

(14)

Des règles précises devraient être établies en ce qui concerne la responsabilité du développement et de la mise en œuvre de l’EES et la responsabilité des États membres en ce qui concerne leur connexion à l’EES. L’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice, créée par le règlement (UE) no 1077/2011 du Parlement européen et du Conseil (6), devrait être responsable du développement et de la gestion opérationnelle d’un EES centralisé, conformément au présent règlement. Le règlement (UE) no 1077/2011 devrait dès lors être modifié en conséquence.

(15)

L’EES devrait avoir pour objectifs d’améliorer la gestion des frontières extérieures, d’empêcher l’immigration irrégulière et de faciliter la gestion des flux migratoires. Il devrait, plus particulièrement et s’il y a lieu, aider à l’identification de toute personne qui ne remplit pas, ou ne remplit plus, les conditions relatives à la durée du séjour autorisé sur le territoire des États membres. En outre, l’EES devrait contribuer à la prévention et à la détection des infractions terroristes ou d’autres infractions pénales graves, ainsi qu’aux enquêtes en la matière.

(16)

L’EES devrait comprendre un système central (système central de l’EES), qui gère une base de données centrale informatisée constituée de données biométriques et alphanumériques, une interface uniforme nationale dans chaque État membre, un canal de communication sécurisé entre le système central de l’EES et le système central d’information sur les visas (système central du VIS) du VIS, ainsi qu’une infrastructure de communication sécurisée et cryptée entre le système central de l’EES et les interfaces uniformes nationales. Chaque État membre devrait connecter ses infrastructures frontalières nationales à l’interface uniforme nationale de manière sécurisée. Afin de pouvoir établir des statistiques et des rapports, il convient de créer un répertoire des données au niveau central. Afin de permettre aux ressortissants de pays tiers de vérifier à tout moment la durée restante du séjour autorisé, un service internet devrait être mis en place. Le service internet devrait également permettre aux transporteurs de vérifier si les ressortissants de pays tiers titulaires d’un visa de court séjour Schengen délivré pour une ou deux entrées ont déjà utilisé le nombre d’entrées autorisées par leur visa. Les parties prenantes concernées devraient être consultées durant la phase de développement de ce service internet. Lors de la définition des spécifications techniques relatives à l’accès des transporteurs au service internet, il convient de limiter dans la mesure du possible les incidences sur le déplacement de passagers et les transporteurs. À cette fin, il y a lieu d’envisager une intégration appropriée avec les systèmes concernés.

(17)

L’interopérabilité devrait être assurée entre l’EES et le VIS par le biais d’un canal de communication direct entre le système central du VIS et le système central de l’EES afin de permettre aux autorités frontalières utilisant l’EES de consulter le VIS pour en extraire des données relatives aux visas et créer ou mettre ainsi à jour les fiches d’entrée/de sortie ou les fiches de refus d’entrée, de permettre aux autorités frontalières de vérifier, aux frontières auxquelles l’EES est mis en œuvre, la validité d’un visa ainsi que l’identité de son titulaire au moyen de ses empreintes digitales par consultation directe du VIS, et de leur permettre de vérifier l’identité des ressortissants de pays tiers exemptés de l’obligation de visa en consultant le VIS, à l’aide de leurs empreintes digitales. L’interopérabilité devrait également permettre aux autorités frontalières et aux autorités chargées des visas utilisant le VIS de consulter directement l’EES à partir du VIS afin d’examiner les demandes de visa et de prendre les décisions y afférentes et de permettre aux autorités chargées des visas de mettre à jour les données relatives aux visas dans l’EES en cas d’annulation, d’abrogation ou de prolongation d’un visa. Le règlement (CE) no 767/2008 du Parlement européen et du Conseil (7) devrait dès lors être modifié en conséquence. L’extraction des données relatives aux visas depuis le VIS, leur importation dans l’EES et la mise à jour des données du VIS dans l’EES devraient constituer un processus automatisé une fois que l’opération en question aura été lancée par l’autorité concernée. Il convient de respecter le principe de limitation de la finalité au moment de la mise en place de l’interopérabilité entre l’EES et le VIS.

(18)

Le présent règlement devrait déterminer les autorités des États membres qui peuvent être habilitées à avoir accès à l’EES pour introduire, modifier, effacer ou consulter des données pour les besoins propres de l’EES et dans la mesure nécessaire à l’exécution de leurs tâches.

(19)

Tout traitement des données de l’EES devrait être proportionné aux objectifs poursuivis et nécessaire à l’exécution des tâches des autorités compétentes. Lorsqu’elles utilisent l’EES, les autorités compétentes devraient veiller au respect de la dignité humaine et de l’intégrité des personnes dont les données sont demandées et elles ne devraient exercer à l’encontre des personnes aucune discrimination fondée sur le sexe, la race, la couleur, les origines ethniques ou sociales, les caractéristiques génétiques, la langue, la religion ou les convictions, les opinions politiques ou toute autre opinion, l’appartenance à une minorité nationale, la fortune, la naissance, un handicap, l’âge ou l’orientation sexuelle.

(20)

L’EES devrait enregistrer et traiter des données alphanumériques et des données biométriques principalement aux fins d’améliorer la gestion des frontières extérieures, d’empêcher l’immigration irrégulière et de faciliter la gestion des flux migratoires. En outre, l’accès aux données à caractère personnel de l’EES devrait également être possible aux fins de contribuer à la prévention et à la détection des infractions terroristes et d’autres infractions pénales graves, ainsi qu’aux enquêtes en la matière, uniquement dans les conditions prévues par le présent règlement. L’utilisation de la biométrie, malgré son incidence sur la vie privée des voyageurs, est justifiée pour deux raisons. D’abord, la biométrie est un moyen fiable d’identifier les ressortissants de pays tiers qui se trouvent sur le territoire des États membres mais qui ne sont pas en possession de documents de voyage ni de tout autre moyen d’identification, une situation courante chez les migrants en situation irrégulière. Ensuite, la biométrie permet d’obtenir un recoupement plus fiable des données relatives aux entrées et des données relatives aux sorties des voyageurs de bonne foi. L’utilisation de l’image faciale en combinaison avec les données dactyloscopiques permet de réduire le nombre total d’empreintes digitales dont l’enregistrement est requis tout en garantissant le même résultat quant à la précision de l’identification.

(21)

Quatre empreintes digitales par ressortissant de pays tiers exempté de l’obligation de visa devraient être enregistrées dans l’EES, si cela est physiquement possible, afin de permettre une vérification et une identification précises, et ainsi s’assurer que le ressortissant de pays tiers n’est pas déjà enregistré sous une autre identité ou avec un autre document de voyage, et de garantir que suffisamment de données sont disponibles pour veiller à ce que les objectifs de l’EES soient atteints, quelles que soient les circonstances. Les empreintes digitales des ressortissants de pays tiers titulaires de visas devraient être vérifiées dans le VIS. L’image faciale à la fois des ressortissants de pays tiers exemptés de l’obligation de visa et de ceux titulaires d’un visa devrait être enregistrée dans l’EES. Les empreintes digitales ou les images faciales devraient servir d’identifiant biométrique pour vérifier l’identité des ressortissants de pays tiers qui ont été enregistrés précédemment dans l’EES, aussi longtemps que leur dossier individuel n’a pas été effacé. Afin de tenir compte des spécificités de chaque point de passage frontalier et des différents types de frontières, les autorités nationales devraient définir, pour chaque point de passage frontalier, s’il faut faire usage des empreintes digitales ou de l’image faciale comme principal identifiant biométrique pour procéder aux vérifications requises.

(22)

En matière de lutte contre les infractions terroristes et d’autres infractions pénales graves, il est nécessaire que les autorités désignées disposent des informations les plus récentes pour pouvoir exécuter leurs tâches. L’accès aux données du VIS à des fins répressives a déjà prouvé son utilité pour identifier des personnes décédées d’une mort violente ou pour aider les enquêteurs à progresser sensiblement dans les affaires de traite d’êtres humains, de terrorisme ou de trafic illicite de stupéfiants. L’accès aux données de l’EES est nécessaire aux fins de la prévention et de la détection des infractions terroristes visées dans la directive (UE) 2017/541 du Parlement européen et du Conseil (8) ou d’autres infractions pénales graves visées dans la décision-cadre 2002/584/JAI du Conseil (9), ainsi qu’aux fins des enquêtes en la matière. Les données de l’EES devraient pouvoir servir d’outil de vérification de l’identité, tant lorsque le ressortissant de pays tiers a détruit ses documents que lorsque les autorités désignées enquêtent sur une infraction grave en utilisant les empreintes digitales ou les images faciales et souhaitent établir l’identité d’une personne. Ces données devraient également pouvoir servir d’outil permettant de rassembler des preuves en surveillant les déplacements d’une personne soupçonnée d’avoir commis un crime ou d’une victime d’un crime. Par conséquent, les autorités désignées des États membres et de l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) instituée par le règlement (UE) 2016/794 du Parlement européen et du Conseil (10) devraient avoir accès aux données de l’EES, sous réserve des conditions et des limitations énoncées dans le présent règlement.

Les conditions d’accès à l’EES aux fins de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves, et des enquêtes en la matière, devraient permettre aux autorités désignées des États membres de s’attaquer aux cas de suspects utilisant plusieurs identités. À cet effet, le fait d’obtenir un résultat positif au cours de la consultation d’une base de données pertinente avant d’accéder à l’EES ne devrait pas empêcher l’accès à l’EES. À des fins répressives et aux fins de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves, et des enquêtes en la matière, la consultation de la base de données de l’EES devrait être réputée proportionnée s’il existe un intérêt supérieur de sécurité publique. Toute consultation doit être dûment justifiée et proportionnée au regard de l’intérêt invoqué.

(23)

Seules devraient être habilitées à consulter les données de l’EES les autorités désignées qui sont responsables de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves, ainsi que des enquêtes en la matière, pour lesquelles les États membres peuvent garantir que toutes les dispositions du présent règlement, ainsi que celles de la directive (UE) 2016/680 du Parlement européen et du Conseil (11), s’appliquent et pour lesquelles la bonne application de ces dispositions peut être vérifiée par les autorités compétentes, y compris l’autorité de contrôle instituée conformément à la directive (UE) 2016/680.

(24)

Europol joue un rôle clé en ce qui concerne la coopération entre les autorités des États membres en matière d’enquêtes sur les activités criminelles transfrontières, en soutenant la prévention de la criminalité, en menant les analyses et en effectuant les enquêtes à l’échelle de l’Union. Dès lors, Europol devrait également avoir accès à l’EES dans le cadre de ses fonctions et conformément au règlement (UE) 2016/794. Le Contrôleur européen de la protection des données devrait contrôler le traitement des données par Europol et garantir le plein respect des règles applicables en matière de protection des données.

(25)

L’accès à l’EES aux fins de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves, et des enquêtes en la matière, constitue une atteinte aux droits fondamentaux que sont le respect de la vie privée des personnes et la protection des données à caractère personnel des personnes dont les données à caractère personnel sont traitées dans l’EES. Toute atteinte de ce type doit être conforme à la loi, laquelle doit être formulée avec une précision suffisante pour permettre à toute personne d’adapter son comportement, protéger les personnes contre tout traitement arbitraire et indiquer de façon suffisamment explicite l’étendue du pouvoir d’appréciation conféré aux autorités compétentes et la manière dont ils doivent exercer ce pouvoir d’appréciation. En outre, toute atteinte à ces droits fondamentaux doit être limitée à ce qui est nécessaire dans une société démocratique pour protéger un intérêt légitime et proportionné et doit revêtir un caractère proportionné par rapport à l’objectif légitime à atteindre.

(26)

Les comparaisons de données sur la base d’une trace dactyloscopique qui peut être trouvée sur le lieu d’un crime (ci-après dénommée «empreinte latente») sont fondamentales dans le domaine de la coopération policière. La possibilité de comparer une empreinte latente avec les données dactyloscopiques qui sont stockées dans l’EES, dans des cas où il existe des motifs raisonnables de croire que l’auteur ou la victime pourrait être enregistré dans l’EES, est nécessaire pour la prévention et la détection des infractions terroristes ou d’autres infractions pénales graves ainsi que pour les enquêtes en la matière par les autorités désignées des États membres, notamment lorsque les seules preuves sur le lieu d’un crime sont des empreintes latentes.

(27)

Il est nécessaire de désigner les autorités compétentes des États membres ainsi que les points d’accès centraux par l’intermédiaire desquels sont présentées les demandes d’accès aux données de l’EES, et de tenir une liste des unités opérationnelles au sein des autorités désignées qui sont autorisées à demander cet accès aux fins spécifiques de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves, et des enquêtes en la matière.

(28)

Les demandes d’accès aux données de l’EES devraient être présentées au point d’accès central par les unités opérationnelles au sein des autorités désignées et devraient être dûment justifiées. Les unités opérationnelles au sein des autorités désignées qui sont autorisées à demander l’accès aux données de l’EES ne devraient pas exercer les fonctions d’autorité chargée de la vérification. Le point d’accès central devrait être un organisme ou une entité auquel le droit national confie l’exercice de l’autorité publique et devrait être en mesure de vérifier de manière efficace, grâce à un personnel de qualité et en nombre suffisant, que les conditions applicables à une demande d’accès à l’EES sont remplies dans chaque cas. Les points d’accès centraux devraient agir indépendamment des autorités désignées et devraient avoir la responsabilité de veiller, de manière indépendante, au strict respect des conditions d’accès définies dans le présent règlement. En cas d’urgence, lorsqu’un accès rapide est nécessaire pour réagir à une menace spécifique et réelle liée à des infractions terroristes ou à d’autres infractions pénales graves, le point d’accès central devrait pouvoir traiter la demande immédiatement et procéder à la vérification a posteriori.

(29)

Afin de protéger les données à caractère personnel et d’exclure les recherches systématiques, le traitement des données de l’EES ne devrait avoir lieu que dans des cas précis et pour autant que cela soit nécessaire aux fins de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves, et des enquêtes en la matière. Les autorités désignées et Europol ne devraient demander l’accès à l’EES que lorsqu’elles ont des motifs raisonnables de penser que cet accès leur permettra d’obtenir des informations qui les aideront considérablement à prévenir ou à détecter des infractions terroristes ou d’autres infractions pénales graves, ou à enquêter en la matière.

(30)

En outre, l’accès à l’EES aux fins de l’identification de personnes inconnues soupçonnées d’avoir commis des infractions terroristes ou d’autres infractions pénales graves, d’auteurs inconnus ou de victimes inconnues de telles infractions ne devrait être autorisé qu’à la condition que les consultations des bases de données nationales de l’État membre concerné aient été effectuées, et que la consultation des systèmes automatisés d’identification par empreintes digitales de tous les autres États membres au titre de la décision 2008/615/JAI du Conseil (12) ait été effectuée intégralement, ou que la consultation n’ait pas été effectuée intégralement dans les deux jours suivant son lancement.

(31)

Aux fins d’une comparaison et d’un échange efficaces de données à caractère personnel, les États membres devraient mettre en œuvre et utiliser pleinement les accords internationaux existants ainsi que le droit de l’Union en matière d’échange de données à caractère personnel déjà en vigueur, en particulier la décision 2008/615/JAI.

(32)

Les données à caractère personnel stockées dans l’EES ne devraient pas être conservées plus longtemps que ce qui est strictement nécessaire au regard des finalités pour lesquelles les données sont traitées. Il suffit de conserver pendant trois ans dans l’EES les données relatives aux ressortissants de pays tiers qui ont respecté la durée du séjour autorisé, aux fins de la gestion des frontières, afin d’éviter que ces ressortissants ne doivent se réenregistrer dans l’EES avant l’expiration de cette période. Cette durée de conservation des données de trois ans réduira la nécessité de procéder fréquemment à des réenregistrements et profitera à tous les voyageurs, puisque le temps moyen de franchissement des frontières ainsi que le temps d’attente moyen aux points de passage frontaliers diminueront. Même pour un voyageur qui n’entre qu’une seule fois sur le territoire des États membres, le fait que d’autres voyageurs déjà enregistrés dans l’EES ne doivent pas se réenregistrer avant l’expiration de cette durée de conservation des données de trois ans réduira le temps d’attente aux points de passage frontaliers. Cette durée de conservation des données de trois ans est également nécessaire pour faciliter et accélérer les franchissements de frontières, y compris à l’aide de systèmes automatisés et de systèmes en libre-service. Il convient également de fixer une durée de conservation des données de trois ans pour les ressortissants de pays tiers auxquels l’entrée pour un court séjour a été refusée. Pour les ressortissants de pays tiers qui sont des membres de la famille d’un citoyen de l’Union auquel s’applique la directive 2004/38/CE du Parlement européen et du Conseil (13) ou de la famille d’un ressortissant de pays tiers jouissant du droit à la libre circulation en vertu du droit de l’Union, et qui ne sont pas titulaires de la carte de séjour prévue par la directive 2004/38/CE, il convient de conserver chaque fiche couplée d’entrée/de sortie pendant une durée maximale d’un an suivant la date de sortie du territoire des États membres liée à cette fiche. À l’expiration des durées de conservation des données applicables, les données devraient être automatiquement effacées.

(33)

Il est nécessaire de conserver pendant cinq ans les données relatives aux ressortissants de pays tiers qui n’ont pas quitté le territoire des États membres au cours de la période de séjour autorisé, afin de faciliter l’identification et le processus de retour de ces personnes. Ces données devraient être effacées automatiquement à l’issue de la période de cinq ans, à moins qu’il n’y ait des raisons de les effacer plus tôt.

(34)

Il est nécessaire de conserver pendant trois ans les données à caractère personnel des ressortissants de pays tiers qui ont respecté la durée du séjour autorisé et de ceux auxquels l’entrée pour un court séjour a été refusée et de conserver pendant cinq ans les données à caractère personnel des ressortissants de pays tiers qui n’ont pas quitté le territoire des États membres au cours de la période de séjour autorisé, afin de permettre aux gardes-frontières de procéder à l’analyse des risques exigée par le règlement (UE) 2016/399 avant d’autoriser un voyageur à entrer sur le territoire des États membres. Le traitement des demandes de visa aux postes consulaires requiert également d’analyser l’historique des déplacements du demandeur afin d’évaluer l’utilisation faite des précédents visas et de déterminer si les conditions applicables au séjour ont été respectées. La suppression de l’apposition de cachets sur les passeports doit être compensée par une consultation de l’EES. L’historique des déplacements disponible dans l’EES devrait donc couvrir une période suffisamment longue pour permettre la délivrance de visas.

Lors de la réalisation des analyses de risques à la frontière et du traitement des demandes de visas, il convient de vérifier l’historique des déplacements des ressortissants de pays tiers dans le but de déterminer s’ils ont, par le passé, dépassé la durée maximale de leur séjour autorisé. Il est donc nécessaire que les données à caractère personnel des ressortissants de pays tiers qui n’ont pas quitté le territoire des États membres au cours de la période de séjour autorisé soient conservées pendant la période plus longue de cinq ans, par rapport à celle applicable aux données à caractère personnel des ressortissants de pays tiers qui ont respecté la durée du séjour autorisé et de ceux auxquels l’entrée pour un court séjour a été refusée.

(35)

Il y a lieu de définir des règles concernant la responsabilité des États membres en cas de dommage résultant de toute violation du présent règlement.

(36)

Sans préjudice de règles plus précises prévues par le présent règlement en ce qui concerne le traitement de données à caractère personnel, le règlement (UE) 2016/679 du Parlement européen et du Conseil (14) devrait s’appliquer au traitement de données à caractère personnel réalisé par les États membres en application du présent règlement, sauf si ce traitement est effectué par les autorités désignées ou par les points d’accès centraux des États membres aux fins de la prévention et de la détection d’infractions terroristes ou d’autres infractions pénales graves, et des enquêtes en la matière.

(37)

Sans préjudice de règles plus précises prévues par le présent règlement en ce qui concerne le traitement de données à caractère personnel, les dispositions législatives, réglementaires et administratives nationales adoptées en vertu de la directive (UE) 2016/680 devraient s’appliquer au traitement de données à caractère personnel réalisé en vertu du présent règlement par les autorités compétentes des États membres aux fins de la prévention et de la détection d’infractions terroristes ou d’autres infractions pénales graves, et des enquêtes en la matière.

(38)

Le règlement (CE) no 45/2001 du Parlement européen et du Conseil (15) devrait s’appliquer aux activités des institutions ou organes de l’Union dans l’accomplissement de leurs missions de responsables de la gestion opérationnelle de l’EES.

(39)

Les données à caractère personnel obtenues par un État membre en vertu du présent règlement ne devraient pas être transférées à un pays tiers, une organisation internationale ou une quelconque entité privée établie ou non dans l’Union, ni mises à leur disposition. Par exception à cette règle cependant, ces données à caractère personnel devraient pouvoir être transférées à un pays tiers ou à une organisation internationale lorsqu’un tel transfert est soumis à des conditions strictes et est nécessaire dans des cas individuels pour faciliter l’identification d’un ressortissant de pays tiers dans le cadre de son retour. En l’absence de décision d’adéquation prise par la voie d’un acte d’exécution en vertu du règlement (UE) 2016/679 ou des garanties appropriées auxquelles les transferts sont soumis en vertu dudit règlement, il ne devrait être possible de transférer, à titre exceptionnel et aux fins d’un retour, des données de l’EES à un pays tiers ou à une organisation internationale que si ce transfert est nécessaire pour des motifs importants d’intérêt public conformément audit règlement.

(40)

Il devrait également être possible de transférer à un pays tiers les données à caractère personnel obtenues par des États membres en vertu du présent règlement dans un cas d’urgence exceptionnel, lorsqu’il existe un danger imminent lié à une infraction terroriste ou un danger imminent pour la vie d’une personne lié à une infraction pénale grave. Il convient d’entendre par «danger imminent pour la vie d’une personne» un danger découlant d’une infraction pénale grave commise à l’encontre de cette personne, telle que coups et blessures graves, trafic illicite d’organes et de tissus humains, enlèvement, séquestration et prise d’otages, exploitation sexuelle des enfants et pédopornographie, et viol. De telles données ne devraient être transférées à un pays tiers que si le pays tiers requérant garantit de manière réciproque la communication aux États membres qui mettent en œuvre l’EES de toute information relative à des fiches d’entrée/de sortie qu’il détient. Les autorités compétentes des États membres dont les autorités désignées ont accès à l’EES en vertu du présent règlement devraient pouvoir transférer les données de l’EES aux États membres qui ne mettent pas en œuvre l’EES et aux États membres auxquels le présent règlement n’est pas applicable. Cette communication d’informations devrait faire l’objet d’une demande dûment motivée et être limitée aux cas où elle est nécessaire pour la prévention ou la détection d’infractions terroristes ou d’autres infractions pénales graves, ou les enquêtes en la matière. Il ne devrait être possible pour un État membre qui met en œuvre l’EES de communiquer de telles informations que si l’État membre requérant garantit de manière réciproque la communication aux États membres qui mettent en œuvre l’EES de toute information relative à des fiches d’entrée/de sortie qu’il détient. La directive (UE) 2016/680 s’applique à tout traitement ultérieur de données obtenues à partir de l’EES.

(41)

Dans chaque État membre, l’autorité de contrôle instituée conformément au règlement (UE) 2016/679 devrait contrôler la licéité du traitement des données à caractère personnel par l’État membre, tandis que le Contrôleur européen de la protection des données devrait contrôler les activités des institutions et organes de l’Union concernant le traitement des données à caractère personnel. Le Contrôleur européen de la protection des données et les autorités de contrôle devraient coopérer dans la surveillance de l’EES.

(42)

Dans chaque État membre, l’autorité de contrôle instituée conformément à la directive (UE) 2016/680 devrait contrôler la licéité du traitement des données à caractère personnel effectué à des fins répressives.

(43)

Outre les dispositions relatives aux informations qui doivent être fournies conformément au règlement (UE) 2016/679, les ressortissants de pays tiers dont les données doivent être enregistrées dans l’EES devraient se voir communiquer des informations appropriées concernant l’enregistrement de ces données. Il convient que les États membres fournissent ces informations par écrit, par tout moyen approprié, y compris des brochures, des affiches ou tout autre moyen électronique adéquat.

(44)

Afin d’assurer un contrôle efficace de l’application du présent règlement, il convient d’évaluer celui-ci à intervalles réguliers.

(45)

Il convient que les États membres déterminent le régime des sanctions applicables aux violations des dispositions du présent règlement et assurent la mise en œuvre de ces sanctions.

(46)

Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (16).

(47)

Étant donné que les objectifs du présent règlement, à savoir la création de l’EES et la définition d’obligations, de conditions et de procédures communes pour l’utilisation de données, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison des dimensions et des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(48)

Après la mise en service de l’EES, il convient de modifier la convention d’application de l’accord de Schengen du 14 juin 1985 entre les gouvernements des États de l’Union économique Benelux, de la République fédérale d’Allemagne et de la République française relatif à la suppression graduelle des contrôles aux frontières communes (17) (ci-après dénommée «convention d’application de l’accord de Schengen») en ce qui concerne les accords bilatéraux conclus par les États membres et la durée de séjour autorisé au-delà de 90 jours sur toute période de 180 jours pour les ressortissants de pays tiers exemptés de l’obligation de visa. Dans son évaluation globale de l’EES, la Commission devrait inclure une évaluation du recours aux accords bilatéraux des États membres. La Commission devrait pouvoir inclure des options dans le premier rapport d’évaluation en vue d’abandonner progressivement ces accords bilatéraux et de les remplacer par un instrument de l’Union.

(49)

Les coûts projetés de l’EES sont inférieurs au budget alloué aux frontières intelligentes dans le règlement (UE) no 515/2014 du Parlement européen et du Conseil (18). En conséquence, à la suite de l’adoption du présent règlement, la Commission devrait réaffecter, au moyen d’un acte délégué prévu par le règlement (UE) no 515/2014, le montant actuellement alloué au développement de systèmes informatiques permettant la gestion des flux migratoires aux frontières extérieures.

(50)

Le présent règlement est sans préjudice de l’application de la directive 2004/38/CE.

(51)

Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark ne participe pas à l’adoption du présent règlement et n’est pas lié par celui-ci ni soumis à son application. Le présent règlement développant l’acquis de Schengen, le Danemark décide, conformément à l’article 4 dudit protocole, dans un délai de six mois à partir de la décision du Conseil sur le présent règlement, s’il le transpose dans son droit interne.

(52)

Le présent règlement constitue un développement des dispositions de l’acquis de Schengen auxquelles le Royaume-Uni ne participe pas, conformément à la décision 2000/365/CE du Conseil (19); le Royaume-Uni ne participe donc pas à l’adoption du présent règlement et n’est pas lié par celui-ci ni soumis à son application.

(53)

Le présent règlement constitue un développement des dispositions de l’acquis de Schengen auxquelles l’Irlande ne participe pas, conformément à la décision 2002/192/CE du Conseil (20); l’Irlande ne participe donc pas à l’adoption du présent règlement et n’est pas liée par celui-ci ni soumise à son application.

(54)

En ce qui concerne l’Islande et la Norvège, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens de l’accord conclu par le Conseil de l’Union européenne, la République d’Islande et le Royaume de Norvège sur l’association de ces deux États à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (21), qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE du Conseil (22).

(55)

En ce qui concerne la Suisse, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens de l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (23), qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE, lue en liaison avec l’article 3 de la décision 2008/146/CE du Conseil (24) et l’article 3 de la décision 2008/149/JAI du Conseil (25).

(56)

En ce qui concerne le Liechtenstein, le présent règlement constitue un développement des dispositions de l’acquis de Schengen au sens du protocole entre l’Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l’adhésion de la Principauté de Liechtenstein à l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (26) qui relèvent du domaine visé à l’article 1er, point A, de la décision 1999/437/CE, lue en liaison avec l’article 3 de la décision 2011/350/UE du Conseil (27) et l’article 3 de la décision 2011/349/UE du Conseil (28).

(57)

En ce qui concerne Chypre, la Bulgarie, la Roumanie et la Croatie, les dispositions du présent règlement relatives au SIS et au VIS constituent des dispositions fondées sur l’acquis de Schengen ou qui s’y rapportent, au sens, respectivement, de l’article 3, paragraphe 2, de l’acte d’adhésion de 2003, de l’article 4, paragraphe 2, de l’acte d’adhésion de 2005 et de l’article 4, paragraphe 2, de l’acte d’adhésion de 2011, lus en liaison avec les décisions du Conseil 2010/365/UE (29), (UE) 2017/733 (30) et (UE) 2017/1908 (31).

En outre, la mise en œuvre de l’EES requiert l’octroi d’un accès passif au VIS et la mise en application de toutes les dispositions de l’acquis de Schengen relatives au SIS conformément aux décisions pertinentes du Conseil. Ces conditions ne peuvent être remplies qu’une fois que la vérification effectuée conformément à la procédure d’évaluation de Schengen applicable a été réalisée avec succès. Par conséquent, l’EES ne devrait être mis en œuvre que par les États membres qui remplissent ces conditions au moment de sa mise en service. Les États membres qui ne mettent pas en œuvre l’EES à compter de sa mise en service initiale devraient être connectés à l’EES conformément à la procédure prévue dans le présent règlement dès que toutes ces conditions sont remplies.

(58)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001, et a rendu son avis le 21 septembre 2016.

(59)

Le présent règlement établit des règles strictes d’accès à l’EES ainsi que les garanties nécessaires à un tel accès. Il fixe aussi le droit des personnes concernées à accéder aux données, à les faire rectifier, compléter, et effacer, ainsi que leur droit à un recours, en particulier le droit à un recours juridictionnel, et prévoit le contrôle des opérations de traitement par des autorités publiques indépendantes. Le présent règlement respecte dès lors les droits fondamentaux et observe les principes reconnus par la Charte des droits fondamentaux de l’Union européenne, en particulier le droit à la dignité humaine, l’interdiction de l’esclavage et du travail forcé, le droit à la liberté et à la sûreté, le respect de la vie privée et familiale, la protection des données à caractère personnel, le droit à la non-discrimination, les droits de l’enfant, les droits des personnes âgées, l’intégration des personnes handicapées et le droit à un recours effectif et à accéder à un tribunal impartial.

(60)

Le présent règlement est sans préjudice des obligations découlant de la convention de Genève du 28 juillet 1951 relative au statut des réfugiés, telle que complétée par le protocole de New York du 31 janvier 1967,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I : DISPOSITIONS GÉNÉRALES

1.   Le présent règlement crée un «système d’entrée/de sortie» (EES) destiné à:

a)

enregistrer et stocker la date, l’heure et le lieu d’entrée et de sortie des ressortissants de pays tiers qui franchissent les frontières des États membres auxquelles l’EES est mis en œuvre;

b)

calculer la durée du séjour autorisé de ces ressortissants de pays tiers;

c)

produire des signalements à l’intention des États membres lorsque le séjour autorisé a expiré; et

d)

enregistrer et stocker la date, l’heure et le lieu du refus d’entrée opposé aux ressortissants de pays tiers auxquels l’entrée pour un court séjour a été refusée, ainsi que l’autorité de l’État membre qui a refusé l’entrée et les motifs du refus.

2.   Aux fins de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves, et des enquêtes en la matière, le présent règlement fixe également les conditions dans lesquelles les autorités désignées des États membres et Europol peuvent être autorisés à avoir accès à l’EES pour le consulter.

1.   Le présent règlement s’applique:

a)

aux ressortissants de pays tiers qui sont admis pour un court séjour sur le territoire des États membres et qui sont soumis à une vérification aux frontières, conformément au règlement (UE) 2016/399, lorsqu’ils franchissent les frontières auxquelles l’EES est mis en œuvre; et

b)

aux ressortissants de pays tiers, lorsqu’ils entrent et sortent du territoire des États membres, qui:

i)

sont des membres de la famille d’un citoyen de l’Union auquel s’applique la directive 2004/38/CE ou d’un ressortissant de pays tiers jouissant d’un droit à la libre circulation équivalent à celui des citoyens de l’Union en vertu d’un accord entre l’Union et ses États membres, d’une part, et un pays tiers, d’autre part; et

ii)

ne sont pas titulaires d’une carte de séjour en vertu de la directive 2004/38/CE ou d’un titre de séjour en vertu du règlement (CE) no 1030/2002 du Conseil (32).

2.   Le présent règlement s’applique aussi aux ressortissants de pays tiers auxquels l’entrée pour un court séjour sur le territoire des États membres a été refusée en vertu de l’article 14 du règlement (UE) 2016/399.

3.   Le présent règlement ne s’applique pas:

a)

aux ressortissants de pays tiers qui sont des membres de la famille d’un citoyen de l’Union auquel s’applique la directive 2004/38/CE et qui sont titulaires d’une carte de séjour en vertu de ladite directive, qu’ils accompagnent ou rejoignent ce citoyen de l’Union ou non;

b)

aux ressortissants de pays tiers qui sont des membres de la famille d’un ressortissant de pays tiers, qu’ils accompagnent ou rejoignent ce ressortissant de pays tiers ou non lorsque:

i)

ledit ressortissant de pays tiers jouit d’un droit à la libre circulation équivalent à celui des citoyens de l’Union en vertu d’un accord entre l’Union et ses États membres, d’une part, et un pays tiers, d’autre part; et

ii)

lesdits ressortissants de pays tiers sont titulaires d’une carte de séjour en vertu de la directive 2004/38/CE ou d’un titre de séjour en vertu du règlement (CE) no 1030/2002;

c)

aux titulaires d’un titre de séjour visé à l’article 2, point 16), du règlement (UE) 2016/399, autres que ceux visés aux points a) et b) du présent paragraphe;

d)

aux ressortissants de pays tiers exerçant leur droit à la mobilité conformément à la directive 2014/66/UE du Parlement européen et du Conseil (33) ou à la directive (UE) 2016/801 du Parlement européen et du Conseil (34);

e)

aux titulaires d’un visa de long séjour;

f)

aux ressortissants de l’Andorre, de Monaco et de Saint-Marin, et aux titulaires d’un passeport délivré par l’État de la Cité du Vatican;

g)

aux personnes ou catégories de personnes qui sont exemptées de vérifications aux frontières ou qui bénéficient de règles spécifiques en matière de vérifications aux frontières, conformément à l’article 6 bis, paragraphe 3, point g), du règlement (UE) 2016/399;

h)

aux personnes ou catégories de personnes visées à l’article 6 bis, paragraphe 3, points h), i), j) et k), du règlement (UE) 2016/399.

4.   Les dispositions du présent règlement relatives au calcul de la durée du séjour autorisé et à la production de signalements à l’intention des États membres lorsque le séjour autorisé a expiré ne s’appliquent pas aux ressortissants de pays tiers qui:

a)

sont des membres de la famille d’un citoyen de l’Union auquel s’applique la directive 2004/38/CE ou d’un ressortissant de pays tiers jouissant d’un droit à la libre circulation équivalent à celui des citoyens de l’Union en vertu d’un accord entre l’Union et ses États membres, d’une part, et un pays tiers, d’autre part; et

b)

ne sont pas titulaires d’une carte de séjour en vertu de la directive 2004/38/CE ou d’un titre de séjour en vertu du règlement (CE) no 1030/2002.

1.   Aux fins du présent règlement, on entend par:

1)

«frontières extérieures», les frontières extérieures au sens de l’article 2, point 2), du règlement (UE) 2016/399;

2)

«frontières intérieures», les frontières intérieures au sens de l’article 2, point 1), du règlement (UE) 2016/399;

3)

«autorité frontalière», le garde-frontière chargé, conformément au droit national, d’effectuer des vérifications aux frontières au sens de l’article 2, point 11), du règlement (UE) 2016/399;

4)

«autorité chargée de l’immigration», l’autorité compétente chargée, conformément au droit national, d’effectuer une ou plusieurs des tâches suivantes:

a)

vérifier, sur le territoire des États membres, si les conditions d’entrée ou de séjour sur le territoire des États membres sont remplies;

b)

examiner les conditions de séjour des ressortissants de pays tiers sur le territoire des États membres et prendre des décisions à ce sujet, dans la mesure où cette autorité n’est pas une «autorité responsable de la détermination» au sens de l’article 2, point f), de la directive 2013/32/UE du Parlement européen et du Conseil (35) et, le cas échéant, fournir des conseils conformément au règlement (CE) no 377/2004 du Conseil (36);

c)

assurer le retour de ressortissants de pays tiers vers un pays tiers d’origine ou de transit;

5)

«autorité chargée des visas», l’autorité chargée des visas au sens de l’article 4, point 3), du règlement (CE) no 767/2008;

6)

«ressortissant de pays tiers», toute personne qui n’est pas citoyen de l’Union au sens de l’article 20, paragraphe 1, du traité sur le fonctionnement de l’Union européenne, à l’exception des personnes qui, en vertu d’accords conclus entre l’Union et ses États membres, d’une part, et des pays tiers, d’autre part, jouissent d’un droit à la libre circulation équivalent à celui des citoyens de l’Union;

7)

«document de voyage», un passeport ou un document équivalent, autorisant son titulaire à franchir les frontières extérieures et sur lequel peut être apposé un visa;

8)

«court séjour», un séjour sur le territoire des États membres d’une durée n’excédant pas 90 jours sur toute période de 180 jours conformément à l’article 6, paragraphe 1, du règlement (UE) 2016/399;

9)

«visa de court séjour», un visa au sens de l’article 2, point 2) a), du règlement (CE) no 810/2009 du Parlement européen et du Conseil (37);

10)

«visa de court séjour national», une autorisation délivrée par un État membre qui n’applique pas l’acquis de Schengen dans son intégralité en vue d’un séjour prévu sur le territoire de cet État membre pour une durée n’excédant pas 90 jours sur toute période de 180 jours;

11)

«séjour autorisé», le nombre exact de jours durant lesquels un ressortissant de pays tiers est autorisé à séjourner légalement sur le territoire des États membres, calculé à partir de la date d’entrée conformément aux dispositions applicables;

12)

«État membre responsable», l’État membre qui a introduit des données dans l’EES;

13)

«vérification», le processus consistant à comparer des séries de données en vue d’établir la validité d’une identité déclarée (contrôle par comparaison de deux échantillons);

14)

«identification», le processus consistant à déterminer l’identité d’une personne par interrogation d’une base de données et par comparaison avec plusieurs séries de données (contrôle par comparaison de plusieurs échantillons);

15)

«données alphanumériques», les données représentées par des lettres, des chiffres, des caractères spéciaux, des espaces et des signes de ponctuation;

16)

«données dactyloscopiques», les données relatives aux quatre empreintes digitales de l’index, du majeur, de l’annulaire et de l’auriculaire de la main droite, si cela est physiquement possible, ou, à défaut, de la main gauche;

17)

«image faciale», les images numériques du visage;

18)

«données biométriques», les données dactyloscopiques et l’image faciale;

19)

«personne ayant dépassé la durée du séjour autorisé», tout ressortissant de pays tiers qui ne remplit pas, ou ne remplit plus, les conditions relatives à la durée de son court séjour autorisé sur le territoire des États membres;

20)

«eu-LISA», l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice, créée par le règlement (UE) no 1077/2011;

21)

«autorités de contrôle», l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 et l’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680;

22)

«données de l’EES», l’ensemble des données stockées dans le système central de l’EES conformément à l’article 14 et aux articles 16 à 20;

23)

«fins répressives», fins qui ont trait à la prévention et la détection des infractions terroristes ou d’autres infractions pénales graves, ainsi qu’aux enquêtes en la matière;

24)

«infraction terroriste», une infraction prévue par le droit national qui correspond ou est équivalente à l’une des infractions visées dans la directive (UE) 2017/541;

25)

«infraction pénale grave», une infraction qui correspond ou est équivalente à l’une des infractions visées à l’article 2, paragraphe 2, de la décision-cadre 2002/584/JAI, si elle est passible, au titre du droit national, d’une peine ou d’une mesure de sûreté privative de liberté d’une durée maximale d’au moins trois ans;

26)

«autorité désignée», une autorité désignée par un État membre en vertu de l’article 29 pour être chargée de la prévention ou de la détection des infractions terroristes ou d’autres infractions pénales graves, ou des enquêtes en la matière;

27)

«système en libre-service», un système en libre-service au sens de l’article 2, point 23), du règlement (UE) 2016/399;

28)

«porte électronique», une porte électronique au sens de l’article 2, point 24), du règlement (UE) 2016/399;

29)

«taux d’échec à l’enregistrement», la proportion d’enregistrements pour lesquels l’enregistrement biométrique est de qualité insuffisante;

30)

«taux de fausses identifications positives», la proportion de concordances constatées lors d’une recherche biométrique qui ne correspondent pas au voyageur soumis à vérification;

31)

«taux de fausses identifications négatives», la proportion de concordances non constatées lors d’une recherche biométrique bien que les données biométriques du voyageur aient été enregistrées.

2.   Les termes définis à l’article 4 du règlement (UE) 2016/679 ont la même signification dans le présent règlement pour autant que le traitement de données à caractère personnel soit effectué par les autorités des États membres aux fins prévues à l’article 6, paragraphe 1, du présent règlement.

3.   Les termes définis à l’article 3 de la directive (UE) 2016/680 ont la même signification dans le présent règlement pour autant que le traitement de données à caractère personnel soit effectué par les autorités des États membres aux fins prévues à l’article 6, paragraphe 2, du présent règlement.

1.   L’EES est mis en œuvre aux frontières extérieures.

2.   Les États membres qui appliquent l’acquis de Schengen dans son intégralité introduisent l’EES à leurs frontières intérieures avec les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES.

3.   Les États membres qui appliquent l’acquis de Schengen dans son intégralité et les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES introduisent l’EES à leurs frontières intérieures avec les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité et qui ne mettent pas en œuvre l’EES.

4.   Les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES introduisent l’EES à leurs frontières intérieures au sens de l’article 2, point 1) b) et c), du règlement (UE) 2016/399.

5.   Par dérogation à l’article 23, paragraphe 2, troisième et quatrième alinéas, et à l’article 27, un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES introduit l’EES sans fonctionnalités biométriques à ses frontières intérieures terrestres avec un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES. Lorsque, à ces frontières intérieures, un ressortissant de pays tiers n’a pas encore été enregistré dans l’EES, le dossier individuel de ce ressortissant de pays tiers est créé sans enregistrer de données biométriques. Les données biométriques sont ajoutées au prochain point de passage frontalier auquel l’EES est mis en œuvre avec les fonctionnalités biométriques.

L’eu-LISA développe l’EES et en assure la gestion opérationnelle, y compris les fonctionnalités liées au traitement des données biométriques visées à l’article 16, paragraphe 1, point d), et à l’article 17, paragraphe 1, points b) et c), ainsi que le niveau de sécurité adéquat de l’EES.

1.   En enregistrant et en stockant des données dans l’EES et en donnant aux États membres l’accès à ces données, l’EES a pour objectifs:

a)

d’améliorer l’efficacité des vérifications aux frontières en calculant et en surveillant la durée du séjour autorisé à l’entrée et à la sortie des ressortissants de pays tiers admis pour un court séjour;

b)

d’aider à l’identification des ressortissants de pays tiers qui ne remplissent pas, ou ne remplissent plus, les conditions d’entrée ou de court séjour sur le territoire des États membres;

c)

de permettre d’identifier et de repérer les personnes ayant dépassé la durée du séjour autorisé et de permettre aux autorités nationales compétentes des États membres de prendre les mesures appropriées;

d)

de permettre le contrôle électronique des refus d’entrée dans l’EES;

e)

de permettre l’automatisation des vérifications aux frontières portant sur les ressortissants de pays tiers;

f)

de permettre aux autorités chargées des visas d’accéder à des informations sur l’usage licite de visas délivrés précédemment;

g)

d’informer les ressortissants de pays tiers de la durée de leur séjour autorisé;

h)

de recueillir des statistiques sur les entrées et les sorties des ressortissants de pays tiers, sur les refus d’entrée qui leur ont été opposés et sur les dépassements de la durée du séjour autorisé par les ressortissants de pays tiers, afin d’améliorer l’évaluation du risque de dépassement de la durée du séjour autorisé et de favoriser l’élaboration, au niveau de l’Union, d’une politique en matière de migration fondée sur des données concrètes;

i)

de lutter contre la fraude à l’identité et contre l’utilisation abusive de documents de voyage.

2.   En donnant l’accès aux autorités désignées conformément aux conditions fixées dans le présent règlement, l’EES a pour objectifs:

a)

de contribuer à la prévention et à la détection des infractions terroristes ou d’autres infractions pénales graves, et aux enquêtes en la matière;

b)

de permettre la production d’informations aux fins des enquêtes relatives à des infractions terroristes ou à d’autres infractions pénales graves, y compris l’identification des auteurs et des personnes soupçonnées d’avoir commis de telles infractions ainsi que des victimes de telles infractions qui ont franchi les frontières extérieures.

3.   Le cas échéant, l’EES aide les États membres à mettre en œuvre leurs programmes nationaux d’allègement des formalités, mis en place conformément à l’article 8 quinquies du règlement (UE) 2016/399, afin de faciliter le franchissement des frontières pour les ressortissants de pays tiers:

a)

en permettant aux autorités nationales compétentes visées à l’article 8 quinquies du règlement (UE) 2016/399 d’avoir accès aux informations sur les courts séjours ou les refus d’entrée antérieurs aux fins de l’examen des demandes d’accès aux programmes nationaux d’allègement des formalités et de l’adoption des décisions visées à l’article 25 du présent règlement;

b)

en notifiant aux autorités frontalières l’octroi de l’accès à un programme national d’allègement des formalités.

1.   L’EES se compose des éléments suivants:

a)

un système central (le système central de l’EES);

b)

une interface uniforme nationale (IUN) dans chaque État membre, basée sur des spécifications techniques communes et identique pour tous les États membres, qui permet de connecter le système central de l’EES aux infrastructures frontalières nationales des États membres de manière sécurisée;

c)

un canal de communication sécurisé entre le système central de l’EES et le système central du VIS;

d)

une infrastructure de communication, qui est sécurisée et cryptée, entre le système central de l’EES et les IUN;

e)

le service internet visé à l’article 13;

f)

le répertoire des données créé au niveau central conformément à l’article 63, paragraphe 2.

2.   Le système central de l’EES est hébergé par l’eu-LISA sur ses sites techniques. Il fournit les fonctionnalités prévues dans le présent règlement conformément aux conditions de disponibilité, de qualité et de rapidité visées à l’article 37, paragraphe 3.

3.   Sans préjudice de la décision 2008/602/CE de la Commission (38), certains composants matériels et logiciels de l’infrastructure de communication de l’EES sont partagés avec l’infrastructure de communication du VIS visée à l’article 1er, paragraphe 2, de la décision 2004/512/CE. La séparation logique des données du VIS et des données de l’EES est assurée.

1.   L’eu-LISA établit un canal de communication sécurisé entre le système central de l’EES et le système central du VIS afin de permettre l’interopérabilité entre l’EES et le VIS. La consultation directe entre l’EES et le VIS n’est possible que si elle est prévue à la fois par le présent règlement et par le règlement (CE) no 767/2008. L’extraction des données relatives aux visas depuis le VIS, leur importation dans l’EES et la mise à jour des données du VIS dans l’EES constituent un processus automatisé une fois que l’opération en question aura été lancée par l’autorité concernée.

2.   L’interopérabilité permet aux autorités frontalières utilisant l’EES de consulter le VIS à partir de l’EES afin:

a)

d’extraire les données relatives aux visas directement depuis le VIS et de les importer dans l’EES en vue de créer ou de mettre à jour la fiche d’entrée/de sortie ou la fiche de refus d’entrée d’un titulaire de visa dans l’EES, conformément aux articles 14, 16 et 18 du présent règlement et à l’article 18 bis du règlement (CE) no 767/2008;

b)

d’extraire les données relatives aux visas directement depuis le VIS et de les importer dans l’EES, en vue de mettre à jour la fiche d’entrée/de sortie en cas d’annulation, de retrait ou de prorogation d’un visa, conformément à l’article 19 du présent règlement et aux articles 13, 14 et 18 bis du règlement (CE) no 767/2008;

c)

de vérifier, conformément à l’article 23 du présent règlement et à l’article 18, paragraphe 2, du règlement (CE) no 767/2008, l’authenticité et la validité du visa en question ou le respect des conditions d’entrée sur le territoire des États membres conformément à l’article 6 du règlement (UE) 2016/399;

d)

de vérifier aux frontières auxquelles l’EES est mis en œuvre si un ressortissant de pays tiers exempté de l’obligation de visa a été enregistré précédemment dans le VIS, conformément à l’article 23 du présent règlement et à l’article 19 bis du règlement (CE) no 767/2008; et

e)

lorsque l’identité d’un titulaire de visa est vérifiée à l’aide des empreintes digitales, de vérifier aux frontières auxquelles l’EES est mis en œuvre l’identité d’un titulaire de visa en comparant les empreintes digitales du titulaire de visa avec les empreintes digitales enregistrées dans le VIS, conformément à l’article 23 du présent règlement et à l’article 18, paragraphe 6, du règlement (CE) no 767/2008.

3.   L’interopérabilité permet aux autorités chargées des visas utilisant le VIS de consulter l’EES à partir du VIS afin:

a)

d’examiner les demandes de visas et d’adopter les décisions y afférentes, conformément à l’article 24 du présent règlement et à l’article 15, paragraphe 4, du règlement (CE) no 767/2008;

b)

d’examiner, pour les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES, les demandes de visa de court séjour national et d’adopter les décisions y afférentes;

c)

de mettre à jour les données relatives aux visas dans la fiche d’entrée/de sortie en cas d’annulation, de retrait ou de prorogation d’un visa, conformément à l’article 19 du présent règlement et aux articles 13 et 14 du règlement (CE) no 767/2008.

4.   En ce qui concerne l’utilisation du service internet de l’EES visé à l’article 13, la base de données distincte en lecture seule visée à l’article 13, paragraphe 5, est mise à jour quotidiennement par le VIS au moyen d’une extraction à sens unique des sous-ensembles minimaux nécessaires de données du VIS.

1.   L’accès à l’EES afin d’introduire, de modifier, d’effacer et de consulter les données visées à l’article 14 et aux articles 16 à 20 est exclusivement réservé au personnel dûment autorisé des autorités nationales de chaque État membre qui sont compétentes pour les finalités définies aux articles 23 à 35. Cet accès est limité dans la mesure nécessaire à l’exécution des tâches de ces autorités nationales conformément à ces finalités et est proportionné aux objectifs poursuivis.

2.   Chaque État membre désigne les autorités nationales compétentes aux fins du présent règlement, lesquelles sont les autorités frontalières, les autorités chargées des visas et les autorités chargées de l’immigration. Le personnel dûment habilité des autorités nationales compétentes a accès à l’EES afin d’introduire, de modifier, d’effacer ou de consulter des données. Chaque État membre communique sans tarder une liste de ces autorités nationales compétentes à l’eu-LISA. Cette liste précise à quelles fins chaque autorité a accès aux données stockées dans l’EES.

3.   Les autorités habilitées à consulter les données de l’EES ou à y accéder aux fins de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves et des enquêtes en la matière sont désignées conformément au chapitre IV.

1.   Chaque autorité compétente habilitée à accéder à l’EES s’assure que l’utilisation qui en est faite est nécessaire, appropriée et proportionnée.

2.   Chaque autorité compétente veille à ce que l’utilisation de l’EES, y compris le relevé des données biométriques, soit conforme aux garanties prévues par la convention de sauvegarde des droits de l’homme et des libertés fondamentales, par la Charte des droits fondamentaux de l’Union européenne et par la convention des Nations unies relative aux droits de l’enfant. En particulier, lorsqu’il est procédé au relevé des données relatives à un enfant, l’intérêt supérieur de celui-ci doit prévaloir.

1.   L’EES comprend une calculatrice automatique qui indique la durée maximale du séjour autorisé pour les ressortissants de pays tiers enregistrés dans l’EES.

Cette calculatrice automatique ne s’applique pas aux ressortissants de pays tiers:

a)

qui sont des membres de la famille d’un citoyen de l’Union auquel s’applique la directive 2004/38/CE ou d’un ressortissant de pays tiers jouissant d’un droit à la libre circulation équivalent à celui des citoyens de l’Union en vertu d’un accord entre l’Union et ses États membres, d’une part, et un pays tiers, d’autre part; et

b)

qui ne sont pas titulaires d’une carte de séjour en vertu de la directive 2004/38/CE ou d’un titre de séjour en vertu du règlement (CE) no 1030/2002.

2.   La calculatrice automatique informe les autorités compétentes:

a)

à l’entrée, de la durée maximale du séjour autorisé des ressortissants de pays tiers et de l’épuisement éventuel du nombre d’entrées autorisées par un visa de court séjour délivré pour une ou deux entrées;

b)

lors des vérifications effectuées sur le territoire des États membres, de la durée restante du séjour autorisé des ressortissants de pays tiers ou de la durée du dépassement de la durée du séjour autorisé par les ressortissants de pays tiers;

c)

à la sortie, de tout dépassement par des ressortissants de pays tiers de la durée du séjour autorisé;

d)

lors de l’examen d’une demande de visa de court séjour et aux fins de la décision y afférente, de la durée maximale restante du séjour autorisé sur la base des dates d’entrée prévues.

3.   Les autorités frontalières informent le ressortissant de pays tiers de la durée maximale du séjour autorisé, laquelle tient compte du nombre d’entrées et de la durée du séjour autorisés par le visa, conformément à l’article 8, paragraphe 9, du règlement (UE) 2016/399. Cette information est fournie par le garde-frontière au moment des vérifications aux frontières ou au moyen d’équipements installés au point de passage frontalier permettant au ressortissant de pays tiers de consulter le service internet conformément à l’article 13, paragraphes 1 et 2, du présent règlement.

4.   En ce qui concerne les ressortissants de pays tiers soumis à l’obligation de visa qui séjournent, sur la base d’un visa de court séjour ou d’un visa de court séjour national, dans un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES, la calculatrice automatique n’indique pas le séjour autorisé sur la base du visa de court séjour ou du visa de court séjour national.

Dans le cas visé au premier alinéa, la calculatrice automatique vérifie uniquement:

a)

le respect de la limite globale de 90 jours sur toute période de 180 jours; et

b)

pour les visas de court séjour, le respect de la durée de validité de ces visas.

5.   Aux fins de vérifier si des ressortissants de pays tiers titulaires d’un visa de court séjour délivré pour une ou deux entrées ont ou non déjà utilisé le nombre d’entrées autorisées par leur visa de court séjour, la calculatrice automatique ne tient compte que des entrées effectuées sur le territoire des États membres qui appliquent l’acquis de Schengen dans son intégralité. Il n’est cependant pas procédé à cette vérification à l’entrée sur le territoire des États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES.

6.   La calculatrice automatique s’applique également aux courts séjours sur la base d’un visa de court séjour à validité territoriale limitée délivré en vertu de l’article 25, paragraphe 1, point b), du règlement (CE) no 810/2009. Dans ce cas, la calculatrice automatique tient compte du séjour autorisé sur la base de ce visa, indépendamment du fait que le séjour cumulé du ressortissant de pays tiers concerné excède ou non 90 jours sur toute période de 180 jours.

1.   L’EES comprend un mécanisme qui recense automatiquement les fiches d’entrée/de sortie ne comportant pas de données concernant la sortie immédiatement après la date d’expiration d’un séjour autorisé et recense automatiquement les fiches pour lesquelles la durée maximale du séjour autorisé a été dépassée.

2.   Pour les ressortissants de pays tiers qui franchissent une frontière sur la base d’un document facilitant le transit en cours de validité délivré conformément au règlement (CE) no 693/2003 du Conseil (39) (FTD), l’EES comprend un mécanisme qui recense automatiquement les fiches d’entrée/de sortie ne comportant pas de données concernant la sortie immédiatement après le moment d’expiration du séjour autorisé et recense automatiquement les fiches pour lesquelles la durée maximale du séjour autorisé a été dépassée.

3.   Une liste, générée par l’EES et contenant les données visées aux articles 16 et 17, de toutes les personnes identifiées comme ayant dépassé la durée du séjour autorisé est mise à disposition des autorités nationales compétentes désignées, conformément à l’article 9, paragraphe 2, afin que celles-ci puissent prendre les mesures appropriées.

1.   Afin que les ressortissants de pays tiers puissent vérifier à tout moment la durée restante du séjour autorisé, un accès internet sécurisé à un service internet hébergé par l’eu-LISA sur ses sites techniques permet aux ressortissants de pays tiers d’entrer les données requises en application de l’article 16, paragraphe 1, point b), en même temps que leur date d’entrée ou de sortie prévue, ou les deux. Sur la base de ces données, le service internet transmet aux ressortissants de pays tiers une réponse «OK/NOT OK», ainsi que les informations relatives à la durée restante du séjour autorisé.

2.   Par dérogation au paragraphe 1, dans le cas d’un séjour prévu dans un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES, le service internet ne fournit aucune information sur le séjour autorisé sur la base d’un visa de court séjour ou d’un visa de court séjour national.

Dans le cas visé au premier alinéa, le service internet permet aux ressortissants de pays tiers de vérifier le respect de la limite globale de 90 jours sur toute période de 180 jours et de recevoir des informations sur la durée restante du séjour autorisé dans cette limite. Ces informations sont fournies pour les séjours effectués au cours de la période de 180 jours précédant la consultation du service internet ou leur date d’entrée ou de sortie prévue, ou les deux.

3.   Aux fins du respect des obligations qui leur incombent au titre de l’article 26, paragraphe 1, point b), de la convention d’application de l’accord de Schengen, les transporteurs utilisent le service internet afin de vérifier si des ressortissants de pays tiers titulaires d’un visa de court séjour délivré pour une ou deux entrées ont déjà utilisé le nombre d’entrées autorisées par leur visa. Les transporteurs fournissent les données énumérées à l’article 16, paragraphe 1, points a), b) et c), du présent règlement. Sur la base de ces données, le service internet leur transmet une réponse «OK/NOT OK». Les transporteurs peuvent conserver les informations transmises ainsi que la réponse reçue conformément au droit applicable. Les transporteurs mettent en place un dispositif d’authentification pour garantir que seul le personnel autorisé puisse avoir accès au service internet. La réponse «OK/NOT OK» ne peut être considérée comme une décision d’autorisation ou de refus d’entrée en vertu du règlement (UE) 2016/399.

4.   Aux fins de la mise en œuvre de l’article 26, paragraphe 2, de la convention d’application de l’accord de Schengen ou aux fins du règlement de tout litige éventuel découlant de l’article 26 de ladite convention, l’eu-LISA tient des registres de toutes les opérations de traitement de données réalisées par les transporteurs dans le cadre du service internet. Ces registres indiquent la date et l’heure de chaque opération, les données utilisées à des fins d’interrogation, les données transmises par le service internet et le nom du transporteur concerné.

Les registres sont conservés pendant une période de deux ans. Les registres sont protégés par des mesures appropriées empêchant tout accès non autorisé.

5.   Le service internet utilise une base de données distincte en lecture seule mise à jour quotidiennement au moyen d’une extraction à sens unique des sous-ensembles minimaux nécessaires de données de l’EES et du VIS. L’eu-LISA est responsable de la sécurité du service internet, de la sécurité des données à caractère personnel qu’il contient et du processus d’extraction des données à caractère personnel vers la base de données distincte en lecture seule.

6.   Le service internet ne permet pas aux transporteurs de vérifier si des ressortissants de pays tiers titulaires d’un visa de court séjour national délivré pour une ou deux entrées ont déjà utilisé le nombre d’entrées autorisées par ledit visa.

7.   La Commission adopte des actes d’exécution concernant les règles détaillées relatives aux conditions d’utilisation du service internet et les règles relatives à la protection et à la sécurité des données applicables au service internet. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

CHAPITRE II : INTRODUCTION ET UTILISATION DES DONNÉES PAR LES AUTORITÉS COMPÉTENTES

1.   Les autorités frontalières vérifient, conformément à l’article 23, si un dossier individuel antérieur a été créé dans l’EES pour le ressortissant de pays tiers, de même que l’identité de celui-ci. Lorsqu’un ressortissant de pays tiers utilise un système en libre-service pour le pré-enregistrement des données ou pour la réalisation des vérifications aux frontières, la vérification est effectuée via le système en libre-service.

2.   Dans les cas où il existe un dossier individuel antérieur pour le ressortissant de pays tiers, l’autorité frontalière procède, si nécessaire:

a)

à la mise à jour de ce dossier individuel, à savoir les données visées aux articles 16, 17 et 18 selon le cas; et

b)

à la création d’une fiche d’entrée pour chaque entrée et d’une fiche de sortie pour chaque sortie conformément aux articles 16 et 17 ou, le cas échéant, d’une fiche de refus d’entrée conformément à l’article 18.

Les fiches visées au premier alinéa, point b), du présent paragraphe sont rattachées au dossier individuel du ressortissant de pays tiers concerné.

S’il y a lieu, les données visées à l’article 19, paragraphes 1, 2, 4 et 5, sont ajoutées à la fiche d’entrée/de sortie du ressortissant de pays tiers concerné. Les documents de voyage et les identités utilisés légitimement par un ressortissant de pays tiers sont ajoutés à son dossier individuel.

Lorsqu’un dossier individuel antérieur est enregistré et que le ressortissant de pays tiers présente un document de voyage en cours de validité différent de celui qui a été enregistré précédemment, les données visées à l’article 16, paragraphe 1, point d), et à l’article 17, paragraphe 1, point b), sont également mises à jour conformément à l’article 15.

3.   Si cela s’avère nécessaire pour créer ou mettre à jour la fiche d’entrée/de sortie d’un titulaire de visa, les autorités frontalières peuvent extraire du VIS et importer dans l’EES les données prévues à l’article 16, paragraphe 2, points c) à f), du présent règlement, conformément à l’article 8 du présent règlement et à l’article 18 bis du règlement (CE) no 767/2008.

4.   En l’absence d’enregistrement antérieur d’un ressortissant de pays tiers dans l’EES, l’autorité frontalière crée un dossier individuel pour ce ressortissant de pays tiers en introduisant les données visées à l’article 16, paragraphes 1 et 6, à l’article 17, paragraphe 1, et à l’article 18, paragraphe 1, selon le cas.

5.   Lorsqu’un ressortissant de pays tiers utilise un système en libre-service pour le pré-enregistrement des données, l’article 8 bis du règlement (UE) 2016/399 s’applique. Dans ce cas, le ressortissant de pays tiers peut préenregistrer les données du dossier individuel ou, le cas échéant, les données de la fiche d’entrée/de sortie qui doivent être mises à jour. Les données sont confirmées par les autorités frontalières lorsque la décision d’autoriser ou de refuser l’entrée a été prise conformément au règlement (UE) 2016/399. Les données énumérées à l’article 16, paragraphe 2, points c) à f), du présent règlement peuvent être extraites du VIS et importées dans l’EES.

6.   Lorsqu’un ressortissant de pays tiers utilise un système en libre-service pour la réalisation des vérifications aux frontières, l’article 8 ter du règlement (UE) 2016/399 s’applique. Dans ce cas, la vérification visée au paragraphe 1 du présent article est effectuée via le système en libre-service.

7.   Lorsqu’un ressortissant de pays tiers utilise une porte électronique pour le franchissement des frontières extérieures ou des frontières intérieures lorsque les contrôles n’ont pas encore été levés, l’article 8 ter du règlement (UE) 2016/399 s’applique. Dans ce cas, l’enregistrement correspondant de la fiche d’entrée/de sortie et le rattachement de cette fiche au dossier individuel concerné sont effectués via la porte électronique.

8.   Sans préjudice de l’article 20 du présent règlement et de l’article 12, paragraphe 3, du règlement (UE) 2016/399, lorsque le court séjour d’un ressortissant de pays tiers qui est présent sur le territoire d’un État membre commence directement après un séjour sur la base d’un titre de séjour ou d’un visa de long séjour et qu’aucun dossier individuel antérieur n’a été créé, ce ressortissant de pays tiers peut demander aux autorités compétentes visées à l’article 9, paragraphe 2, du présent règlement, de créer un dossier individuel et une fiche d’entrée/de sortie en introduisant les données visées à l’article 16, paragraphes 1, 2 et 6, et à l’article 17, paragraphe 1, du présent règlement. À la place des données visées à l’article 16, paragraphe 2, point a), du présent règlement, ces autorités compétentes introduisent la date de début du court séjour et, à la place des données visées à l’article 16, paragraphe 2, point b), du présent règlement, elles introduisent le nom de l’autorité qui a introduit ces données.

1.   Lorsqu’il est nécessaire de créer un dossier individuel ou de mettre à jour l’image faciale visée à l’article 16, paragraphe 1, point d), et à l’article 17, paragraphe 1, point b), l’image faciale est prise en direct.

2.   Par dérogation au paragraphe 1, dans les cas exceptionnels où les spécifications relatives à la qualité et à la résolution prévues pour l’enregistrement dans l’EES de l’image faciale prise en direct ne peuvent pas être respectées, l’image faciale peut être extraite électroniquement de la puce du document de voyage électronique lisible à la machine (DVLM-e). En pareils cas, l’image faciale n’est insérée dans le dossier individuel qu’après une vérification électronique de la correspondance entre l’image faciale enregistrée sur la puce du DVLM-e et l’image faciale du ressortissant de pays tiers concerné prise en direct.

3.   Chaque État membre transmet à la Commission, une fois par an, un rapport concernant l’application du paragraphe 2. Ce rapport indique notamment le nombre de ressortissants de pays tiers concernés et comporte une explication des cas exceptionnels rencontrés.

4.   L’image faciale des ressortissants de pays tiers est d’une résolution et d’une qualité suffisantes pour servir à l’établissement automatisé de correspondances biométriques.

5.   Dans les deux ans suivant la mise en service de l’EES, la Commission élabore un rapport sur les normes relatives à la qualité des images faciales stockées dans le VIS et sur la question de savoir si celles-ci sont de nature à permettre l’établissement de correspondances biométriques en vue d’utiliser les images faciales stockées dans le VIS aux frontières et sur le territoire des États membres, aux fins de la vérification de l’identité des ressortissants de pays tiers soumis à l’obligation de visa, sans stocker ces images faciales dans l’EES. La Commission transmet ce rapport au Parlement européen et au Conseil. Ce rapport est accompagné, lorsque la Commission considère que cela est approprié, de propositions législatives, y compris des propositions visant à modifier le présent règlement, le règlement (CE) no 767/2008, ou les deux, en ce qui concerne l’utilisation des images faciales de ressortissants de pays tiers stockées dans le VIS aux fins visées au présent paragraphe.

1.   Aux frontières auxquelles l’EES est mis en œuvre, l’autorité frontalière crée le dossier individuel d’un ressortissant de pays tiers soumis à l’obligation de visa en introduisant les données suivantes:

a)

le nom (nom de famille); le ou les prénoms; la date de naissance; la ou les nationalités; le sexe;

b)

le type et le numéro du ou des documents de voyage, et le code à trois lettres du pays de délivrance du ou des documents de voyage;

c)

la date d’expiration de la validité du ou des documents de voyage;

d)

l’image faciale visée à l’article 15;

2.   À chaque entrée d’un ressortissant de pays tiers soumis à l’obligation de visa à une frontière à laquelle l’EES est mis en œuvre, les données ci-après sont introduites dans une fiche d’entrée/de sortie:

a)

la date et l’heure de l’entrée;

b)

le point de passage frontalier d’entrée et l’autorité qui a autorisé l’entrée;

c)

s’il y a lieu, le statut de ce ressortissant de pays tiers indiquant qu’il s’agit d’un ressortissant de pays tiers qui:

i)

est un membre de la famille d’un citoyen de l’Union auquel s’applique la directive 2004/38/CE ou d’un ressortissant de pays tiers jouissant d’un droit à la libre circulation équivalent à celui des citoyens de l’Union en vertu d’un accord entre l’Union et ses États membres, d’une part, et un pays tiers, d’autre part; et

ii)

n’est pas titulaire d’une carte de séjour en vertu de la directive 2004/38/CE ou d’un titre de séjour en vertu du règlement (CE) no 1030/2002;

d)

le numéro de la vignette visa de court séjour, y compris le code à trois lettres de l’État membre de délivrance, le type de visa de court séjour, la date de fin de la durée maximale du séjour autorisé par le visa de court séjour, qui est mise à jour à chaque entrée, et la date d’expiration de la validité du visa de court séjour s’il y a lieu;

e)

à la première entrée sur la base d’un visa de court séjour, le nombre d’entrées autorisées et la durée du séjour autorisé par le visa de court séjour, comme indiqué sur la vignette visa de court séjour;

f)

s’il y a lieu, les informations indiquant que le visa de court séjour a été délivré avec une validité territoriale limitée, en vertu de l’article 25, paragraphe 1, point b), du règlement (CE) no 810/2009;

g)

pour les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité mais qui mettent en œuvre l’EES, une notification, s’il y a lieu, indiquant que le ressortissant de pays tiers a utilisé un visa de court séjour national pour l’entrée.

La fiche d’entrée/de sortie visée au premier alinéa est rattachée au fichier individuel dudit ressortissant de pays tiers à l’aide du numéro de référence individuel créé par l’EES lors de la création de ce fichier individuel.

3.   À chaque sortie d’un ressortissant de pays tiers soumis à une obligation de visa, à une frontière à laquelle l’EES est mis en œuvre, les données ci-après sont introduites dans la fiche d’entrée/de sortie:

a)

la date et l’heure de la sortie;

b)

le point de passage frontalier de sortie.

Lorsque ledit ressortissant de pays tiers utilise un visa différent du visa enregistré dans la dernière fiche d’entrée, les données de la fiche d’entrée/de sortie énumérées au paragraphe 2, points d) à g), sont mises à jour en conséquence.

La fiche d’entrée/de sortie visée au premier alinéa est rattachée au dossier individuel dudit ressortissant de pays tiers.

4.   Lorsqu’il n’existe aucune donnée concernant la sortie immédiatement après la date d’expiration du séjour autorisé, la fiche d’entrée/de sortie est assortie d’un drapeau par l’EES et les données du ressortissant de pays tiers soumis à l’obligation de visa qui a été identifié comme ayant dépassé la durée du séjour autorisé sont incluses dans la liste visée à l’article 12.

5.   Pour créer ou mettre à jour la fiche d’entrée/de sortie d’un ressortissant de pays tiers soumis à l’obligation de visa, les données prévues au paragraphe 2, points c) à f), du présent article peuvent être extraites du VIS et importées dans l’EES par l’autorité frontalière conformément à l’article 18 bis du règlement (CE) no 767/2008.

6.   Lorsqu’un ressortissant de pays tiers bénéficie du programme national d’allègement des formalités d’un État membre conformément à l’article 8 quinquies du règlement (UE) 2016/399, l’État membre concerné introduit une notification dans le dossier individuel dudit ressortissant de pays tiers en précisant le programme national d’allègement des formalités de l’État membre concerné.

7.   Les dispositions spécifiques figurant à l’annexe II s’appliquent aux ressortissants de pays tiers qui franchissent la frontière sur la base d’un FTD en cours de validité.

1.   L’autorité frontalière crée le dossier individuel des ressortissants de pays tiers exemptés de l’obligation de visa en introduisant les données suivantes:

a)

les données prévues à l’article 16, paragraphe 1, points a), b) et c);

b)

l’image faciale visée à l’article 15;

c)

les données dactyloscopiques de la main droite, si cela est physiquement possible, et à défaut, les données dactyloscopiques correspondantes de la main gauche; les données dactyloscopiques sont d’une résolution et d’une qualité suffisantes pour servir à l’établissement automatisé de correspondances biométriques;

d)

s’il y a lieu, les données prévues à l’article 16, paragraphe 6.

2.   Pour les ressortissants de pays tiers exemptés de l’obligation de visa, l’article 16, paragraphe 2, points a), b) et c), l’article 16, paragraphe 3, points a) et b), et l’article 16, paragraphe 4, s’appliquent mutatis mutandis.

3.   Les enfants de moins de douze ans sont exemptés de l’obligation de donner leurs empreintes digitales.

4.   Les personnes dont il est physiquement impossible de relever les empreintes digitales sont exemptées de l’obligation de les donner.

Toutefois, si l’impossibilité physique est temporaire, ce fait est enregistré dans l’EES et la personne est tenue de donner ses empreintes digitales à la sortie ou lors de l’entrée suivante. Ces informations sont supprimées de l’EES une fois les empreintes digitales relevées. Les autorités frontalières ont le droit de demander des précisions sur les motifs de l’impossibilité temporaire de donner des empreintes digitales. Les États membres veillent à ce que des procédures appropriées garantissant la dignité de la personne soient en place en cas de difficultés rencontrées lors du relevé des empreintes.

5.   Lorsque la personne concernée est exemptée de l’obligation de donner ses empreintes digitales en vertu du paragraphe 3 ou 4, le champ d’information spécifique porte la mention «sans objet».

1.   Lorsque l’autorité frontalière a pris la décision, conformément à l’article 14 et à l’annexe V du règlement (UE) 2016/399, de refuser à un ressortissant de pays tiers l’entrée sur le territoire des États membres pour un court séjour, et lorsque aucun dossier antérieur n’est enregistré dans l’EES pour ce ressortissant de pays tiers, l’autorité frontalière crée un dossier individuel dans lequel elle introduit:

a)

s’il s’agit de ressortissants de pays tiers soumis à l’obligation de visa, les données alphanumériques requises en application de l’article 16, paragraphe 1, du présent règlement et, s’il y a lieu, les données visées à l’article 16, paragraphe 6, du présent règlement;

b)

s’il s’agit de ressortissants de pays tiers exemptés de l’obligation de visa, les données alphanumériques requises en application de l’article 17, paragraphe 1, du présent règlement.

2.   Lorsque le ressortissant de pays tiers se voit refuser l’entrée pour un motif correspondant au point B, D ou H de la partie B de l’annexe V du règlement (UE) 2016/399, et lorsque aucun dossier antérieur contenant des données biométriques n’est enregistré dans l’EES pour ce ressortissant de pays tiers, l’autorité frontalière crée un dossier individuel dans lequel elle introduit les données alphanumériques requises en application de l’article 16, paragraphe 1, ou de l’article 17, paragraphe 1, du présent règlement, selon le cas, ainsi que les données suivantes:

a)

s’il s’agit de ressortissants de pays tiers soumis à l’obligation de visa, l’image faciale visée à l’article 16, paragraphe 1, point d), du présent règlement;

b)

s’il s’agit de ressortissants de pays tiers exemptés de l’obligation de visa, les données biométriques requises en application de l’article 17, paragraphe 1, points b) et c), du présent règlement;

c)

s’il s’agit de ressortissants de pays tiers soumis à l’obligation de visa qui ne sont pas enregistrés dans le VIS, l’image faciale visée à l’article 16, paragraphe 1, point d), du présent règlement, et les données dactyloscopiques visées à l’article 17, paragraphe 1, point c), du présent règlement.

3.   Par dérogation au paragraphe 2 du présent article, lorsque le motif correspondant au point H de la partie B de l’annexe V du règlement (UE) 2016/399 s’applique, et que les données biométriques du ressortissant de pays tiers sont enregistrées dans le signalement SIS qui entraîne le refus d’entrée, les données biométriques du ressortissant de pays tiers ne sont pas introduites dans l’EES.

4.   Lorsque le ressortissant de pays tiers se voit refuser l’entrée pour un motif correspondant au point I de la partie B de l’annexe V du règlement (UE) 2016/399, et lorsque aucun dossier antérieur contenant des données biométriques n’est enregistré dans l’EES pour ce ressortissant de pays tiers, les données biométriques ne sont introduites dans l’EES que si l’entrée est refusée parce que le ressortissant de pays tiers est considéré comme représentant un danger pour la sécurité intérieure, y compris, le cas échéant, pour certains aspects de l’ordre public.

5.   Lorsqu’un ressortissant de pays tiers se voit refuser l’entrée pour un motif correspondant au point J de la partie B de l’annexe V du règlement (UE) 2016/399, l’autorité frontalière crée le dossier individuel dudit ressortissant de pays tiers sans ajouter de données biométriques. Si le ressortissant de pays tiers est en possession d’un DVLM-e, l’image faciale est extraite de ce document.

6.   Lorsque l’autorité frontalière a pris la décision, conformément à l’article 14 et à l’annexe V du règlement (UE) 2016/399, de refuser l’entrée d’un ressortissant de pays tiers pour un court séjour sur le territoire des États membres, les données ci-après sont introduites dans une fiche de refus d’entrée distincte:

a)

la date et l’heure du refus d’entrée;

b)

le point de passage frontalier;

c)

l’autorité qui a refusé l’entrée;

d)

le ou les points correspondant aux motifs du refus d’entrée, conformément à l’annexe V, partie B, du règlement (UE) 2016/399.

En outre, pour les ressortissants de pays tiers soumis à l’obligation de visa, les données prévues à l’article 16, paragraphe 2, points d) à g), du présent règlement sont introduites dans la fiche de refus d’entrée.

Pour créer ou mettre à jour la fiche de refus d’entrée de ressortissants de pays tiers soumis à l’obligation de visa, les données prévues à l’article 16, paragraphe 2, points d), e) et f), du présent règlement peuvent être extraites du VIS et importées dans l’EES par l’autorité frontalière compétente conformément à l’article 18 bis du règlement (CE) no 767/2008.

7.   La fiche de refus d’entrée prévue au paragraphe 6 est rattachée au dossier individuel du ressortissant de pays tiers concerné.

1.   Lorsqu’il a été décidé de retirer ou d’annuler une autorisation de court séjour ou un visa ou de prolonger la durée d’un séjour autorisé ou de proroger un visa, l’autorité compétente qui a pris cette décision ajoute les données ci-après à la dernière fiche pertinente d’entrée/de sortie:

a)

les informations relatives au statut indiquant que l’autorisation de court séjour ou le visa a été retiré ou annulé ou que la durée du séjour autorisé a été prolongée ou le visa prorogé;

b)

l’identité de l’autorité qui a retiré ou annulé l’autorisation de court séjour ou le visa ou qui a prolongé la durée du séjour autorisé ou prorogé le visa;

c)

le lieu et la date de la décision retirant ou annulant l’autorisation de court séjour ou le visa ou prolongeant la durée du séjour autorisé ou prorogeant le visa;

d)

s’il y a lieu, le nouveau numéro de vignette visa, y compris le code à trois lettres du pays de délivrance;

e)

le cas échéant, la période de prolongation de la durée du séjour autorisé;

f)

le cas échéant, la nouvelle date d’expiration du séjour autorisé ou du visa.

2.   Lorsque la durée du séjour autorisé a été prolongée conformément à l’article 20, paragraphe 2, de la convention d’application de l’accord de Schengen, l’autorité compétente qui a prolongé le séjour autorisé ajoute les données relatives à la période de prolongation du séjour autorisé à la dernière fiche pertinente d’entrée/de sortie et, le cas échéant, la mention selon laquelle le séjour autorisé a été prolongé conformément à l’article 20, paragraphe 2, point b), de ladite convention.

3.   Lorsqu’il a été décidé d’annuler, de retirer ou de proroger un visa, l’autorité chargée des visas qui a pris la décision extrait immédiatement du VIS les données prévues au paragraphe 1 du présent article et les importe directement dans l’EES conformément aux articles 13 et 14 du règlement (CE) no 767/2008.

4.   La fiche d’entrée/de sortie indique le ou les motifs de retrait ou d’annulation du court séjour, à savoir:

a)

une décision de retour adoptée en vertu de la directive 2008/115/CE du Parlement européen et du Conseil (40);

b)

toute autre décision prise par les autorités compétentes de l’État membre, conformément au droit national, entraînant le retour, l’éloignement ou le départ volontaire d’un ressortissant de pays tiers qui ne remplit pas ou ne remplit plus les conditions d’entrée ou de séjour sur le territoire des États membres.

5.   La fiche d’entrée/de sortie indique les motifs de prolongation de la durée du séjour autorisé.

6.   Lorsqu’une personne a quitté le territoire des États membres, ou en a été éloignée, en application d’une décision visée au paragraphe 4 du présent article, l’autorité compétente introduit les données, conformément à l’article 14, paragraphe 2, dans la fiche d’entrée/de sortie relative à l’entrée correspondante.

Sans préjudice de l’article 22, lorsque aucun dossier individuel n’a été créé dans l’EES pour un ressortissant de pays tiers présent sur le territoire d’un État membre, ou en l’absence de dernière fiche pertinente d’entrée/de sortie pour un tel ressortissant de pays tiers, les autorités compétentes peuvent présumer que le ressortissant de pays tiers ne remplit pas ou ne remplit plus les conditions relatives à la durée du séjour autorisé sur le territoire des États membres.

Dans le cas visé au premier alinéa du présent article, l’article 12 du règlement (UE) 2016/399 s’applique et, si cette présomption est renversée conformément à l’article 12, paragraphe 3, dudit règlement, les autorités compétentes:

a)

créent un dossier individuel pour ce ressortissant de pays tiers dans l’EES, si nécessaire;

b)

mettent à jour la dernière fiche d’entrée/de sortie en date en y ajoutant les données manquantes, conformément aux articles 16 et 17 du présent règlement; ou

c)

effacent un fichier existant lorsque l’article 35 du présent règlement le prévoit.

1.   Lorsqu’il est techniquement impossible d’introduire les données dans le système central de l’EES ou en cas de dysfonctionnement dudit système, les données visées aux articles 16 à 20 sont temporairement stockées dans l’IUN. Lorsque cela n’est pas possible, les données sont stockées localement, à titre temporaire, sous une forme électronique. Dans les deux cas, les données sont introduites dans le système central de l’EES dès qu’il a été remédié à l’impossibilité technique ou au dysfonctionnement. Les États membres prennent les mesures appropriées et mettent en place l’infrastructure, l’équipement et les ressources nécessaires pour garantir qu’un tel stockage local temporaire peut être réalisé à tout moment et pour chacun de leurs points de passage frontaliers.

2.   Sans préjudice de l’obligation d’effectuer les vérifications aux frontières prévues au règlement (UE) 2016/399, l’autorité frontalière, dans le cas exceptionnel où il est techniquement impossible d’introduire les données à la fois dans le système central de l’EES et dans l’IUN, et qu’il est techniquement impossible de stocker les données localement, à titre temporaire, sous une forme électronique, stocke manuellement les données visées aux articles 16 à 20 du présent règlement, à l’exception des données biométriques, et appose un cachet d’entrée ou de sortie sur le document de voyage du ressortissant de pays tiers. Ces données sont introduites dans le système central de l’EES dès que cela est techniquement possible.

Les États membres informent la Commission de l’apposition de cachets sur des documents de voyage dans les cas exceptionnels visés au premier alinéa du présent paragraphe. La Commission adopte des actes d’exécution concernant les règles détaillées relatives aux informations à communiquer à la Commission. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

3.   L’EES indique que les données visées aux articles 16 à 20 ont été introduites à la suite d’une procédure de secours et que le dossier individuel créé en vertu du paragraphe 2 du présent article ne contient pas de données biométriques. Les données biométriques sont introduites dans l’EES au point de passage frontalier suivant.

1.   Pendant une période de 180 jours suivant la mise en service de l’EES, afin de vérifier, à l’entrée et à la sortie, que les ressortissants de pays tiers admis pour un court séjour n’ont pas dépassé la durée maximale du séjour autorisé et, s’il y a lieu, de vérifier, à l’entrée, que les ressortissants de pays tiers n’ont pas dépassé le nombre d’entrées autorisées par le visa de court séjour délivré pour une ou deux entrées, les autorités frontalières compétentes tiennent compte des séjours effectués sur le territoire des États membres au cours des 180 jours précédant l’entrée ou la sortie de la personne, en vérifiant les cachets apposés sur les documents de voyage en plus des données d’entrée/de sortie enregistrées dans l’EES.

2.   Lorsqu’un ressortissant de pays tiers est entré sur le territoire des États membres avant la mise en service de l’EES et qu’il le quitte après la mise en service de l’EES, un dossier individuel est créé à la sortie et la date d’entrée indiquée sur le cachet apposé sur le passeport est inscrite sur la fiche d’entrée/de sortie conformément à l’article 16, paragraphe 2. Cette règle ne se limite pas aux 180 jours suivant la mise en service de l’EES comme prévu au paragraphe 1 du présent article. En cas de différence entre le cachet d’entrée et les données de l’EES, le cachet prévaut.

1.   Les autorités frontalières ont accès à l’EES pour vérifier l’identité et l’enregistrement antérieur du ressortissant de pays tiers, pour mettre à jour les données de l’EES si nécessaire ainsi que pour consulter les données dans la mesure nécessaire à la réalisation des vérifications aux frontières.

2.   Lors de l’exécution des tâches visées au paragraphe 1 du présent article, les autorités frontalières sont autorisées à effectuer des recherches à l’aide des données visées à l’article 16, paragraphe 1, points a), b) et c), et à l’article 17, paragraphe 1, point a).

En outre, pour la consultation du VIS à des fins de vérification conformément à l’article 18 du règlement (CE) no 767/2008, dans le cas des ressortissants de pays tiers soumis à l’obligation de visa, les autorités frontalières lancent une recherche dans le VIS directement à partir de l’EES en utilisant les mêmes données alphanumériques ou, s’il y a lieu, consultent le VIS conformément à l’article 18, paragraphe 2 bis, du règlement (CE) no 767/2008.

Si la recherche effectuée dans l’EES à l’aide des données mentionnées au premier alinéa du présent paragraphe montre que l’EES contient des données concernant le ressortissant de pays tiers, les autorités frontalières comparent l’image faciale du ressortissant de pays tiers prise en direct avec celle visée à l’article 16, paragraphe 1, point d), et à l’article 17, paragraphe 1, point b), du présent règlement, ou procèdent, s’il s’agit de ressortissants de pays tiers exemptés de l’obligation de visa, à la vérification des empreintes digitales par consultation de l’EES et, s’il s’agit de ressortissants de pays tiers soumis à l’obligation de visa, à la vérification des empreintes digitales directement par consultation du VIS, conformément à l’article 18 du règlement (CE) no 767/2008. Pour la vérification des empreintes digitales des titulaires d’un visa par consultation du VIS, les autorités frontalières peuvent lancer la recherche dans le VIS directement à partir de l’EES, comme le prévoit l’article 18, paragraphe 6, dudit règlement.

En cas d’échec de la vérification de l’image faciale, la vérification est effectuée à l’aide des empreintes digitales, et inversement.

3.   Si la recherche effectuée à l’aide des données visées au paragraphe 2 montre que l’EES contient des données concernant le ressortissant de pays tiers, l’autorité frontalière est autorisée à consulter les données du dossier individuel dudit ressortissant de pays tiers ainsi que la ou les fiches d’entrée/de sortie ou de refus d’entrée qui y sont rattachées.

4.   Si la recherche effectuée à l’aide des données alphanumériques visées au paragraphe 2 du présent article montre que l’EES ne contient pas de données concernant le ressortissant de pays tiers, lorsqu’une vérification portant sur celui-ci, conformément au paragraphe 2 du présent article, ne donne pas de résultat ou en cas de doute quant à l’identité du ressortissant de pays tiers, les autorités frontalières ont accès aux données aux fins d’identification conformément à l’article 27 du présent règlement.

Outre l’identification visée au premier alinéa du présent paragraphe, les dispositions suivantes s’appliquent:

a)

dans le cas des ressortissants de pays tiers soumis à l’obligation de visa, si la recherche dans le VIS à l’aide des données visées à l’article 18, paragraphe 1, du règlement (CE) no 767/2008 montre que des données du ressortissant de pays tiers sont enregistrées dans le VIS, les empreintes digitales sont vérifiées par consultation du VIS conformément à l’article 18, paragraphe 5, du règlement (CE) no 767/2008. À cette fin, l’autorité frontalière peut lancer une recherche dans le VIS à partir de l’EES, comme le prévoit l’article 18, paragraphe 6, du règlement (CE) no 767/2008. Lorsqu’une vérification portant sur un ressortissant de pays tiers, conformément au paragraphe 2 du présent article, ne donne pas de résultat, les autorités frontalières ont accès aux données du VIS aux fins d’identification conformément à l’article 20 du règlement (CE) no 767/2008;

b)

dans le cas des ressortissants de pays tiers qui ne sont pas soumis à l’obligation de visa et pour lesquels aucune donnée n’a été trouvée dans l’EES après la recherche d’identification effectuée conformément à l’article 27 du présent règlement, le VIS est consulté conformément à l’article 19 bis du règlement (CE) no 767/2008. L’autorité frontalière peut lancer une recherche dans le VIS à partir de l’EES comme le prévoit l’article 19 bis du règlement (CE) no 767/2008.

5.   Dans le cas des ressortissants de pays tiers dont les données sont déjà enregistrées dans l’EES mais dont le dossier individuel a été créé dans l’EES par un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES, et dont les données ont été introduites dans l’EES sur la base d’un visa de court séjour national, les autorités frontalières consultent le VIS conformément au paragraphe 4, deuxième alinéa, point a), lorsque, pour la première fois après la création du dossier individuel, le ressortissant de pays tiers a l’intention de franchir la frontière d’un État membre qui applique l’acquis de Schengen dans son intégralité et met en œuvre l’EES.

CHAPITRE III : UTILISATION DE L’EES PAR D’AUTRES AUTORITÉS

1.   Les autorités chargées des visas consultent l’EES aux fins de l’examen des demandes de visa et de l’adoption des décisions relatives à ces demandes, y compris les décisions d’annulation ou de retrait d’un visa délivré ou de prolongation de la durée de validité d’un tel visa, conformément au règlement (CE) no 810/2009.

En outre, les autorités chargées des visas d’un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES consultent l’EES lorsqu’elles examinent des demandes de visa de court séjour national et adoptent des décisions relatives à ces demandes, y compris des décisions d’annulation ou de retrait d’un visa de court séjour national délivré ou de prolongation de la durée de validité d’un tel visa.

2.   Les autorités chargées des visas sont autorisées à effectuer des recherches dans l’EES directement à partir du VIS à l’aide d’une ou plusieurs des données suivantes:

a)

les données visées à l’article 16, paragraphe 1, points a), b) et c);

b)

le numéro de la vignette visa de court séjour, y compris le code à trois lettres de l’État membre de délivrance, visé à l’article 16, paragraphe 2, point d);

c)

les données dactyloscopiques ou les données dactyloscopiques en combinaison avec l’image faciale.

3.   Si la recherche effectuée à l’aide des données visées au paragraphe 2 montre que l’EES contient des données concernant le ressortissant de pays tiers, les autorités chargées des visas sont autorisées à consulter les données du dossier individuel dudit ressortissant de pays tiers ainsi que les fiches d’entrée/de sortie et de refus d’entrée rattachées à ce dossier individuel. Les autorités chargées des visas sont autorisées à consulter la calculatrice automatique afin de vérifier la durée maximale restante d’un séjour autorisé. Les autorités chargées des visas sont également autorisées à consulter l’EES et la calculatrice automatique lors de l’examen de nouvelles demandes de visas et des décisions y afférentes, afin d’établir automatiquement la durée maximale du séjour autorisé.

4.   Les autorités chargées des visas d’un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES sont autorisées à effectuer des recherches dans l’EES à l’aide d’une ou plusieurs des données mentionnées au paragraphe 2. Si la recherche montre que l’EES contient des données concernant le ressortissant de pays tiers, elles sont autorisées à consulter les données du dossier individuel dudit ressortissant de pays tiers ainsi que les fiches d’entrée/de sortie et de refus d’entrée rattachées à ce dossier individuel. Les autorités chargées des visas d’un État membre qui n’applique pas encore l’acquis de Schengen dans son intégralité mais qui met en œuvre l’EES sont autorisées à consulter la calculatrice automatique afin d’établir la durée maximale restante d’un séjour autorisé. Les autorités chargées des visas sont également autorisées à consulter l’EES et la calculatrice automatique lors de l’examen de nouvelles demandes de visa et de décisions y afférentes, afin d’établir la durée maximale du séjour autorisé.

1.   Les autorités compétentes visées à l’article 8 quinquies du règlement (UE) 2016/399 consultent l’EES aux fins de l’examen des demandes d’accès aux programmes nationaux d’allègement des formalités visés audit article et l’adoption des décisions relatives à ces demandes, y compris les décisions de refus, de retrait, ou de prolongation de la durée de validité de l’accès aux programmes nationaux d’allègement des formalités, conformément audit article.

2.   Les autorités compétentes sont autorisées à effectuer des recherches à l’aide d’un ou plusieurs des éléments suivants:

a)

les données visées à l’article 16, paragraphe 1, points a), b) et c), ou les données visées à l’article 17, paragraphe 1, point a);

b)

les données dactyloscopiques ou les données dactyloscopiques en combinaison avec l’image faciale.

3.   Si la recherche effectuée à l’aide des données visées au paragraphe 2 montre que l’EES contient des données concernant le ressortissant de pays tiers, l’autorité compétente est autorisée à consulter les données du dossier individuel dudit ressortissant de pays tiers ainsi que les fiches d’entrée/de sortie et les fiches de refus d’entrée rattachées à ce dossier individuel.

1.   Afin de vérifier l’identité du ressortissant de pays tiers, ou de contrôler ou vérifier si les conditions d’entrée ou de séjour sur le territoire des États membres sont remplies, ou les deux, les autorités chargées de l’immigration des États membres sont autorisées à effectuer des recherches à l’aide des données visées à l’article 16, paragraphe 1, points a), b) et c), et à l’article 17, paragraphe 1, point a).

Si la recherche montre que l’EES contient des données concernant le ressortissant de pays tiers, les autorités chargées de l’immigration peuvent:

a)

comparer l’image faciale du ressortissant de pays tiers prise en direct avec celle visée à l’article 16, paragraphe 1, point d), et à l’article 17, paragraphe 1, point b), du présent règlement; ou

b)

vérifier les empreintes digitales des ressortissants de pays tiers exemptés de l’obligation de visa par consultation de l’EES et des ressortissants de pays tiers soumis à l’obligation de visa par consultation du VIS, conformément à l’article 19 du règlement (CE) no 767/2008.

2.   Si la recherche effectuée à l’aide des données visées au paragraphe 1 montre que l’EES contient des données concernant le ressortissant de pays tiers, les autorités chargées de l’immigration sont autorisées à consulter la calculatrice automatique, les données du dossier individuel dudit ressortissant de pays tiers, ainsi que la ou les fiches d’entrée/de sortie et toute fiche de refus d’entrée rattachées à ce dossier individuel.

3.   Si la recherche effectuée à l’aide des données visées au paragraphe 1 du présent article montre que l’EES ne contient pas de données concernant le ressortissant de pays tiers, lorsqu’une vérification portant sur celui-ci ne donne pas de résultat ou en cas de doute quant à l’identité du ressortissant de pays tiers, les autorités chargées de l’immigration ont accès aux données aux fins d’identification conformément à l’article 27.

1.   Les autorités frontalières ou les autorités chargées de l’immigration sont autorisées à effectuer des recherches à l’aide des données dactyloscopiques ou des données dactyloscopiques en combinaison avec l’image faciale, aux seules fins d’identifier tout ressortissant de pays tiers susceptible d’avoir été enregistré précédemment dans l’EES sous une identité différente ou qui ne remplit pas ou ne remplit plus les conditions d’entrée ou de séjour sur le territoire des États membres.

Si la recherche effectuée à l’aide des données dactyloscopiques ou des données dactyloscopiques en combinaison avec l’image faciale montre que l’EES ne contient pas de données concernant le ressortissant de pays tiers, un accès aux données du VIS aux fins d’identification est assuré conformément à l’article 20 du règlement (CE) no 767/2008. Aux frontières auxquelles l’EES est mis en œuvre, avant toute identification par consultation du VIS, les autorités compétentes accèdent d’abord au VIS conformément à l’article 18 ou à l’article 19 bis du règlement (CE) no 767/2008.

Lorsque les empreintes digitales dudit ressortissant de pays tiers ne peuvent pas être utilisées, ou en cas d’échec de la recherche à l’aide des données dactyloscopiques ou des données dactyloscopiques en combinaison avec l’image faciale, la recherche est effectuée à l’aide de l’ensemble ou d’une partie des données visées à l’article 16, paragraphe 1, points a), b) et c), et à l’article 17, paragraphe 1, point a).

2.   Si la recherche effectuée à l’aide des données mentionnées au paragraphe 1 montre que l’EES contient des données concernant le ressortissant de pays tiers, l’autorité compétente est autorisée à consulter les données du dossier individuel ainsi que les fiches d’entrée/de sortie et les fiches de refus d’entrée qui y sont rattachées.

Les données extraites de l’EES en application du présent chapitre ne peuvent être conservées dans des fichiers nationaux que lorsque cela est nécessaire dans un cas particulier, conformément à la finalité pour laquelle elles ont été extraites et conformément aux dispositions pertinentes du droit de l’Union, notamment en matière de protection des données, et pour une durée n’excédant pas ce qui est strictement nécessaire dans le cas concerné.

CHAPITRE IV : PROCÉDURE ET CONDITIONS D’ACCÈS À L’EES À DES FINS RÉPRESSIVES

1.   Les États membres désignent les autorités habilitées à consulter les données de l’EES aux fins de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves, ainsi qu’aux fins des enquêtes en la matière.

2.   Chaque État membre tient une liste de ses autorités désignées. Chaque État membre notifie ses autorités désignées à l’eu-LISA et à la Commission. Il peut à tout moment modifier ou remplacer sa notification.

3.   Chaque État membre désigne un point d’accès central qui a accès à l’EES. Le point d’accès central vérifie que les conditions d’accès à l’EES établies à l’article 32 sont remplies.

L’autorité désignée et le point d’accès central peuvent faire partie de la même organisation si le droit national le permet, mais le point d’accès central agit en toute indépendance des autorités désignées quand il accomplit ses missions au titre du présent règlement. Le point d’accès central est distinct des autorités désignées et ne reçoit d’elles aucune instruction concernant le résultat de ses vérifications, qu’il effectue de manière indépendante.

Les États membres peuvent désigner plusieurs points d’accès centraux afin de tenir compte de leurs structures organisationnelles et administratives dans l’accomplissement de leurs obligations constitutionnelles ou légales.

4.   Les États membres notifient leurs points d’accès centraux à l’eu-LISA et à la Commission et peuvent à tout moment modifier ou remplacer leurs notifications.

5.   Au niveau national, chaque État membre tient une liste des unités opérationnelles qui, au sein des autorités désignées, sont autorisées à demander l’accès aux données de l’EES par l’intermédiaire des points d’accès centraux.

6.   Seul le personnel dûment habilité des points d’accès centraux est autorisé à accéder à l’EES conformément aux articles 31 et 32.

1.   Europol désigne une de ses unités opérationnelles comme «autorité désignée d’Europol» et autorise celle-ci à demander l’accès à l’EES, par l’intermédiaire du point d’accès central d’Europol visé au paragraphe 2, afin de soutenir et de renforcer l’action des États membres en ce qui concerne la prévention et la détection des infractions terroristes ou d’autres infractions pénales graves, ainsi que les enquêtes en la matière.

2.   Europol désigne en tant que point d’accès central d’Europol une unité spécialisée composée d’agents d’Europol dûment habilités. Le point d’accès central d’Europol vérifie que les conditions d’accès à l’EES établies à l’article 33 sont remplies.

Le point d’accès central d’Europol agit en toute indépendance quand il accomplit ses missions au titre du présent règlement et ne reçoit de l’autorité désignée d’Europol aucune instruction concernant le résultat de ses vérifications.

1.   Une unité opérationnelle telle qu’elle est visée à l’article 29, paragraphe 5, présente à un point d’accès central tel qu’il est visé à l’article 29, paragraphe 3, sous forme électronique ou écrite, une demande motivée d’accès aux données de l’EES. Lorsqu’il reçoit une demande d’accès, ce point d’accès central vérifie si les conditions d’accès visées à l’article 32 sont remplies. Si les conditions d’accès sont remplies, ce point d’accès central traite la demande. Les données de l’EES auxquelles l’accès est demandé sont communiquées à une unité opérationnelle telle qu’elle est visée à l’article 29, paragraphe 5, selon des modalités qui ne compromettent pas la sécurité des données.

2.   En cas d’urgence nécessitant de prévenir un danger imminent pour la vie d’une personne lié à une infraction terroriste ou à une autre infraction pénale grave, un point d’accès central tel qu’il est visé à l’article 29, paragraphe 3, traite la demande immédiatement et ne vérifie qu’a posteriori si toutes les conditions visées à l’article 32 sont remplies, y compris pour déterminer s’il s’agissait effectivement d’un cas d’urgence. Cette vérification a posteriori est effectuée sans retard indu et, en tout état de cause, au plus tard sept jours ouvrables après le traitement de la demande.

3.   S’il est établi, lors d’une vérification effectuée a posteriori, que l’accès aux données de l’EES n’était pas justifié, toutes les autorités qui ont eu accès à ces données effacent les informations consultées depuis l’EES et informent de cet effacement le point d’accès central concerné de l’État membre dans lequel la demande a été formulée.

1.   Les autorités désignées peuvent accéder à l’EES en consultation lorsque toutes les conditions suivantes sont remplies:

a)

l’accès en consultation est nécessaire aux fins de la prévention et de la détection d’une infraction terroriste ou d’une autre infraction pénale grave, ainsi qu’aux fins des enquêtes en la matière;

b)

l’accès en consultation est nécessaire et proportionné dans un cas spécifique;

c)

il existe des preuves ou des motifs raisonnables permettant de considérer que la consultation des données de l’EES contribuera à la prévention et à la détection de l’une des infractions pénales en question, ou aux enquêtes en la matière, en particulier lorsqu’il y a des motifs fondés permettant de croire que la personne soupçonnée d’avoir commis une infraction terroriste ou une autre infraction pénale grave, ou l’auteur ou la victime d’une telle infraction relève d’une catégorie couverte par le présent règlement.

2.   L’accès à l’EES en tant qu’outil destiné à identifier une personne inconnue soupçonnée d’avoir commis une infraction terroriste ou une autre infraction pénale grave, un auteur inconnu ou une personne inconnue présumée victime d’une telle infraction est autorisé lorsque, outre les conditions énumérées au paragraphe 1, les conditions suivantes sont remplies:

a)

les bases de données nationales ont déjà été interrogées; et

b)

dans le cas des recherches à l’aide d’empreintes digitales, une recherche préalable a été lancée dans le système automatisé d’identification par empreintes digitales des autres États membres prévu par la décision 2008/615/JAI, lorsque les comparaisons d’empreintes digitales sont disponibles techniquement, et cette recherche soit a été effectuée intégralement, soit n’a pas été effectuée intégralement dans les deux jours suivant son lancement.

Toutefois, les conditions supplémentaires prévues au premier alinéa, points a) et b), ne s’appliquent pas lorsqu’il existe des motifs raisonnables permettant de croire qu’une comparaison avec les systèmes des autres États membres ne permettrait pas de vérifier l’identité de la personne concernée, ou en cas d’urgence nécessitant de prévenir un danger imminent pour la vie d’une personne lié à une infraction terroriste ou à une autre infraction pénale grave. Ces motifs raisonnables sont mentionnés dans la demande électronique ou écrite adressée par l’unité opérationnelle de l’autorité désignée au point d’accès central.

Une demande de consultation du VIS au sujet de la même personne concernée peut être présentée parallèlement à une demande de consultation de l’EES, conformément aux conditions prévues dans la décision 2008/633/JAI du Conseil (41).

3.   L’accès à l’EES en tant qu’outil permettant de consulter l’historique des déplacements ou les périodes de séjour sur le territoire des États membres d’une personne connue soupçonnée d’avoir commis une infraction terroriste ou une autre infraction pénale grave, d’un auteur connu ou d’une personne connue présumée victime d’une telle infraction est autorisé lorsque les conditions énumérées au paragraphe 1 sont remplies.

4.   La consultation de l’EES à des fins d’identification conformément au paragraphe 2 est limitée aux recherches dans le dossier individuel à l’aide d’une ou plusieurs des données de l’EES suivantes:

a)

les empreintes digitales des ressortissants de pays tiers exemptés de l’obligation de visa ou des titulaires d’un FTD. Afin de lancer cette consultation de l’EES, les empreintes digitales latentes peuvent être utilisées et peuvent donc être comparées avec les empreintes digitales stockées dans l’EES;

b)

les images faciales.

La consultation de l’EES, en cas de réponse positive, permet d’accéder à toute autre donnée extraite du dossier individuel énumérée à l’article 16, paragraphes 1 et 6, à l’article 17, paragraphe 1, et à l’article 18, paragraphe 1.

5.   La consultation de l’EES concernant l’historique des déplacements du ressortissant de pays tiers concerné est limitée aux recherches à l’aide d’une ou de plusieurs des données de l’EES ci-après, dans le dossier individuel, dans les fiches d’entrée/de sortie ou dans les fiches de refus d’entrée:

a)

le nom (nom de famille); le ou les prénoms; la date de naissance; la ou les nationalités; le sexe;

b)

le type et le numéro du ou des documents de voyage, le code à trois lettres du pays de délivrance et la date d’expiration de la validité du document de voyage;

c)

le numéro de la vignette visa et la date d’expiration de la validité du visa;

d)

les empreintes digitales, y compris les empreintes digitales latentes;

e)

l’image faciale;

f)

la date et l’heure de l’entrée, l’autorité qui a autorisé l’entrée et le point de passage frontalier d’entrée;

g)

la date et l’heure de la sortie et le point de passage frontalier de sortie.

La consultation de l’EES permet, en cas de réponse positive, d’accéder aux données énumérées au premier alinéa, ainsi qu’à toute autre donnée extraite du dossier individuel, des fiches d’entrée/de sortie et des fiches de refus d’entrée, y compris les données liées au retrait ou à la prorogation d’une autorisation de court séjour conformément à l’article 19.

1.   Europol est autorisée à consulter l’EES lorsque toutes les conditions suivantes sont remplies:

a)

la consultation est nécessaire pour soutenir et renforcer l’action des États membres en vue de la prévention et de la détection des infractions terroristes ou d’autres infractions pénales graves qui relèvent du mandat d’Europol, ou des enquêtes en la matière;

b)

la consultation est nécessaire et proportionnée dans un cas spécifique;

c)

il existe des preuves ou des motifs raisonnables permettant de considérer que la consultation des données de l’EES contribuera à la prévention et à la détection de l’une des infractions pénales en question, ou aux enquêtes en la matière, en particulier lorsqu’il y a des motifs fondés permettant de croire que la personne soupçonnée d’avoir commis une infraction terroriste ou une autre infraction pénale grave, l’auteur ou la victime d’une telle infraction relève d’une catégorie couverte par le présent règlement.

2.   L’accès à l’EES en tant qu’outil destiné à identifier une personne inconnue soupçonnée d’avoir commis une infraction terroriste ou une autre infraction pénale grave, un auteur inconnu ou une personne inconnue présumée victime d’une telle infraction est autorisé lorsque les conditions énumérées au paragraphe 1 sont remplies et que la consultation en priorité des données stockées dans les bases de données qui sont techniquement et légalement accessibles par Europol n’a pas permis d’identifier la personne en question.

Une demande de consultation du VIS au sujet de la même personne concernée peut être présentée parallèlement à une demande de consultation de l’EES, conformément aux conditions prévues dans la décision 2008/633/JAI.

3.   Les conditions prévues à l’article 32, paragraphes 3, 4 et 5, s’appliquent en conséquence.

4.   L’autorité désignée d’Europol peut présenter au point d’accès central d’Europol visé à l’article 30, paragraphe 2, une demande électronique motivée de consultation de toutes les données de l’EES ou d’un ensemble spécifique de données de l’EES. Lorsqu’il reçoit une demande d’accès, le point d’accès central d’Europol vérifie si les conditions d’accès mentionnées aux paragraphes 1 et 2 du présent article sont remplies. Si toutes les conditions d’accès sont remplies, le personnel dûment autorisé du point d’accès central d’Europol traite la demande. Les données de l’EES auxquelles l’accès est demandé sont communiquées à l’autorité désignée d’Europol selon des modalités qui ne compromettent pas la sécurité des données.

5.   Europol ne traite que les informations obtenues à la suite de la consultation des données de l’EES, sous réserve de l’autorisation de l’État membre d’origine. Cette autorisation est obtenue par l’intermédiaire de l’unité nationale Europol de cet État membre.

CHAPITRE V : CONSERVATION ET MODIFICATION DES DONNÉES

1.   Chaque fiche d’entrée/de sortie ou de refus d’entrée rattachée à un dossier individuel est conservée dans le système central de l’EES pendant trois ans suivant la date de la fiche de sortie ou de refus d’entrée, selon le cas.

2.   Chaque dossier individuel ainsi que la ou les fiches d’entrée/de sortie ou de refus d’entrée qui y sont rattachées sont conservés dans le système central de l’EES pendant trois ans et un jour suivant la date de la dernière fiche de sortie ou de refus d’entrée, si aucune fiche d’entrée n’est enregistrée dans les trois ans à compter de la date de la dernière fiche de sortie ou de refus d’entrée.

3.   Si aucune fiche de sortie n’est enregistrée après la date d’expiration de la durée du séjour autorisé, les données sont conservées pendant une durée de cinq ans suivant la date d’expiration de la durée du séjour autorisé. L’EES prévient automatiquement les États membres, trois mois à l’avance, de l’effacement programmé des données relatives aux personnes ayant dépassé la durée du séjour autorisé, afin de leur permettre de prendre les mesures appropriées.

4.   Par dérogation au paragraphe 1, chaque fiche d’entrée/de sortie enregistrée pour des ressortissants de pays tiers ayant le statut visé à l’article 2, paragraphe 1, point b), est conservée dans l’EES pendant une durée maximale d’un an après la sortie de ces ressortissants de pays tiers. En l’absence de fiche de sortie, les données sont conservées pendant une période de cinq ans à compter de la date de la dernière fiche d’entrée.

5.   À l’expiration de la durée de conservation visée aux paragraphes 1 à 4, les données en question sont automatiquement effacées du système central de l’EES.

1.   L’État membre responsable a le droit de modifier les données qu’il a introduites dans l’EES, en les rectifiant, en les complétant ou en les effaçant.

2.   Si l’État membre responsable dispose d’éléments de preuve permettant de penser que des données enregistrées dans l’EES sont matériellement erronées ou incomplètes, ou que les données ont été traitées dans l’EES en violation du présent règlement, il vérifie les données concernées et, si nécessaire et sans tarder, les rectifie ou les complète dans l’EES, ou les efface de l’EES ainsi que, le cas échéant, de la liste des personnes identifiées visée à l’article 12, paragraphe 3. Les données peuvent également être vérifiées et rectifiées, complétées ou effacées à la demande de la personne concernée, conformément à l’article 52.

3.   Par dérogation aux paragraphes 1 et 2 du présent article, lorsqu’un État membre autre que l’État membre responsable dispose d’éléments de preuve permettant de penser que des données enregistrées dans l’EES sont matériellement erronées ou incomplètes, ou que les données ont été traitées dans l’EES en violation du présent règlement, il vérifie les données concernées, pour autant qu’il soit possible de le faire sans consulter l’État membre responsable et, si nécessaire et sans tarder, les rectifie ou les complète dans l’EES, ou les efface de l’EES ainsi que, le cas échéant, de la liste des personnes identifiées visée à l’article 12, paragraphe 3. Lorsqu’il s’avère impossible de vérifier les données sans consulter l’État membre responsable, il prend contact avec les autorités de l’État membre responsable dans un délai de sept jours à l’issue duquel l’État membre responsable vérifie l’exactitude des données et la licéité de leur traitement dans un délai d’un mois. Les données peuvent également être vérifiées et rectifiées, complétées ou effacées à la demande du ressortissant de pays tiers concerné, conformément à l’article 52.

4.   Lorsqu’un État membre dispose d’éléments de preuve permettant de penser que des données relatives aux visas enregistrées dans l’EES sont matériellement erronées ou incomplètes, ou que ces données ont été traitées dans l’EES en violation du présent règlement, il vérifie dans un premier temps l’exactitude de ces données en consultant le VIS et, si nécessaire, rectifie ou complète ces données dans l’EES, ou les efface de l’EES. Lorsque les données enregistrées dans le VIS sont identiques à celles enregistrées dans l’EES, il en informe immédiatement l’État membre responsable de leur introduction dans le VIS via l’infrastructure du VIS, conformément à l’article 24, paragraphe 2, du règlement (CE) no 767/2008. L’État membre responsable de l’introduction des données dans le VIS vérifie ces données et, si nécessaire, les rectifie ou les complète dans le VIS, ou les efface du VIS, immédiatement. Il informe l’État membre concerné, qui, si nécessaire et sans tarder, rectifie ou complète ces données dans l’EES, ou les efface de l’EES ainsi que, le cas échéant, de la liste des personnes identifiées visée à l’article 12, paragraphe 3.

5.   Les données relatives aux personnes identifiées visées à l’article 12 sont effacées sans tarder de la liste visée audit article et sont rectifiées ou complétées dans l’EES lorsque le ressortissant de pays tiers concerné apporte la preuve, conformément au droit national de l’État membre responsable ou de l’État membre auquel la demande a été présentée, que des événements graves et imprévisibles l’ont contraint à dépasser la durée du séjour autorisé, qu’il a obtenu un droit de séjour régulier ou qu’il y a eu une erreur. Sans préjudice de tout recours administratif ou extrajudiciaire à sa disposition, ce ressortissant de pays tiers dispose d’un droit de recours juridictionnel effectif pour garantir que les données sont rectifiées, complétées ou effacées.

6.   Lorsqu’un ressortissant de pays tiers a acquis la nationalité d’un État membre ou est entré dans le champ d’application de l’article 2, paragraphe 3, avant l’expiration de la durée applicable visée à l’article 34, son dossier individuel et les fiches d’entrée/de sortie qui sont rattachées à ce dossier individuel conformément aux articles 16 et 17, ainsi que les fiches de refus d’entrée rattachées à ce dossier individuel conformément à l’article 18, sont, sans tarder et, en tout état de cause, au plus tard cinq jours ouvrables à compter de la date à laquelle le ressortissant de pays tiers a acquis la nationalité d’un État membre ou est entré dans le champ d’application de l’article 2, paragraphe 3, avant l’expiration de la durée visée à l’article 34, effacés de l’EES, ainsi que, le cas échéant, de la liste des personnes identifiées visée à l’article 12, paragraphe 3, par:

a)

l’État membre dont le ressortissant de pays tiers a acquis la nationalité; ou

b)

l’État membre qui a délivré le titre de séjour ou la carte de séjour ou le visa de long séjour.

Lorsqu’un ressortissant de pays tiers a acquis la nationalité de l’Andorre, de Monaco ou de Saint-Marin, ou qu’il est en possession d’un passeport délivré par l’État de la Cité du Vatican, il informe de ce changement les autorités compétentes de l’État membre dans lequel il entre ensuite. Cet État membre efface sans tarder les données relatives à cette personne de l’EES. Le ressortissant de pays tiers en question dispose d’un droit de recours juridictionnel effectif pour garantir que les données sont effacées.

7.   Le système central de l’EES informe immédiatement tous les États membres de l’effacement des données de l’EES et, le cas échéant, de la liste des personnes identifiées visée à l’article 12, paragraphe 3.

8.   Lorsqu’un État membre autre que l’État membre responsable a rectifié, complété ou effacé des données conformément au présent règlement, cet État membre devient l’État membre responsable de la rectification, des ajouts ou de l’effacement des données. L’EES enregistre toutes les rectifications, tous les ajouts et tous les effacements de données.

CHAPITRE VI : DÉVELOPPEMENT, FONCTIONNEMENT ET RESPONSABILITÉS

La Commission adopte les actes d’exécution nécessaires au développement et à la mise en œuvre technique du système central de l’EES, des IUN, de l’infrastructure de communication, du service internet visé à l’article 13 et du répertoire des données visé à l’article 63, paragraphe 2, en particulier des mesures concernant:

a)

les spécifications relatives à la qualité, la résolution et l’utilisation des empreintes digitales aux fins de vérification et d’identification biométriques dans l’EES;

b)

les spécifications relatives à la qualité, la résolution et l’utilisation de l’image faciale aux fins de vérification et d’identification biométriques dans l’EES, y compris lorsque l’image faciale est prise en direct ou est extraite électroniquement du DVLM-e;

c)

l’introduction des données, conformément aux articles 16 à 20;

d)

l’accès aux données, conformément aux articles 23 à 33;

e)

la modification, l’effacement et l’effacement anticipé des données, conformément à l’article 35;

f)

la tenue des registres et l’accès à ceux-ci, conformément à l’article 46;

g)

les exigences en matière de performances, notamment les spécifications minimales relatives à l’équipement technique et les exigences de performance de l’EES en matière de données biométriques, en particulier en ce qui concerne les taux requis de fausses identifications positives, de fausses identifications négatives et d’échecs à l’enregistrement;

h)

les spécifications et conditions relatives au service internet visé à l’article 13, y compris les dispositions spécifiques concernant la protection des données lorsque celles-ci sont fournies par les transporteurs ou aux transporteurs;

i)

l’établissement et la conception de haut niveau de l’interopérabilité visée à l’article 8;

j)

les spécifications et conditions relatives au répertoire des données visé à l’article 63, paragraphe 2;

k)

l’établissement de la liste des personnes identifiées visée à l’article 12, paragraphe 3, et la procédure de mise à disposition de cette liste aux États membres;

l)

les spécifications relatives aux solutions techniques pour la connexion des points d’accès centraux, conformément aux articles 31, 32 et 33, et à la solution technique pour recueillir les données statistiques requises en vertu de l’article 72, paragraphe 8.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

En ce qui concerne l’adoption des actes d’exécution prévus au premier alinéa, point i), du présent article, le comité institué par l’article 68 du présent règlement consulte le comité VIS établi par l’article 49 du règlement (CE) no 767/2008.

1.   L’eu-LISA est responsable du développement du système central de l’EES, des IUN, de l’infrastructure de communication et du canal de communication sécurisé entre le système central de l’EES et le système central du VIS. L’eu-LISA est également responsable du développement du service internet visé à l’article 13 et du répertoire des données visé à l’article 63, paragraphe 2, conformément aux règles détaillées visées à l’article 13, paragraphe 7, et à l’article 63, paragraphe 2, et aux spécifications et conditions adoptées en vertu de l’article 36, premier alinéa, points h) et j).

L’eu-LISA définit la conception de l’architecture matérielle de l’EES, y compris son infrastructure de communication, ainsi que les spécifications techniques et leur évolution en ce qui concerne le système central de l’EES, les IUN, l’infrastructure de communication, le canal de communication sécurisé entre le système central de l’EES et le système central du VIS, le service internet visé à l’article 13 du présent règlement et le répertoire des données visé à l’article 63, paragraphe 2, du présent règlement. Ces spécifications techniques sont adoptées par le conseil d’administration de l’eu-LISA après avis favorable de la Commission. L’eu-LISA met également en œuvre tout aménagement du VIS éventuellement nécessaire à la suite de l’établissement de l’interopérabilité avec l’EES et de la mise en œuvre des modifications du règlement (CE) no 767/2008 mentionnées à l’article 61 du présent règlement.

L’eu-LISA développe et met en œuvre le système central de l’EES, les IUN, l’infrastructure de communication, le canal de communication sécurisé entre le système central de l’EES et le système central du VIS, ainsi que le service internet visé à l’article 13 et le répertoire des données visé à l’article 63, paragraphe 2, dès que possible après l’adoption par la Commission des mesures prévues à l’article 36.

Le développement consiste en l’élaboration et la mise en œuvre des spécifications techniques, la réalisation d’essais et la coordination générale du projet.

Lors du développement et de la mise en œuvre du système central de l’EES, des IUN, de l’infrastructure de communication, du canal de communication sécurisé entre le système central de l’EES et le système central du VIS, du site internet visé à l’article 13 et du ficher de données visé à l’article 63, paragraphe 2, les tâches de l’eu-LISA sont également les suivantes:

a)

elle procède à une analyse des risques pour la sécurité;

b)

elle suit les principes de respect de la vie privée dès la conception et de respect de la vie privée par défaut tout au long du cycle de développement de l’EES;

c)

elle procède à une analyse des risques pour la sécurité en ce qui concerne l’interopérabilité avec le VIS visée à l’article 8 et détermine les mesures de sécurité requises pour la mise en œuvre de l’interopérabilité avec le VIS.

2.   Pendant la phase de conception et de développement, un conseil de gestion du programme, composé d’un maximum de dix membres, est créé. Il est constitué de sept membres nommés par le conseil d’administration de l’eu-LISA parmi ses membres ou membres suppléants, du président du groupe consultatif de l’EES visé à l’article 69, d’un membre représentant l’eu-LISA désigné par son directeur exécutif et d’un membre désigné par la Commission. Les membres nommés par le conseil d’administration de l’eu-LISA sont choisis uniquement parmi les États membres qui sont pleinement liés, en vertu du droit de l’Union, par les instruments législatifs régissant le développement, la création, le fonctionnement et l’utilisation de tous les systèmes d’information à grande échelle gérés par l’eu-LISA et qui respectent les conditions énoncées à l’article 66, paragraphe 2.

Le conseil de gestion du programme se réunit régulièrement et au moins trois fois par trimestre. Il veille à la bonne gestion de la phase de conception et de développement de l’EES ainsi qu’à la cohérence entre les projets de l’EES aux niveaux central et national.

Le conseil de gestion du programme présente chaque mois au conseil d’administration de l’eu-LISA des rapports écrits sur l’état d’avancement du projet. Le conseil de gestion du programme n’a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter les membres du conseil d’administration de l’eu-LISA.

Le conseil d’administration de l’eu-LISA définit le règlement intérieur du conseil de gestion du programme, qui comprend notamment des règles sur:

a)

sa présidence;

b)

les lieux de réunion;

c)

la préparation des réunions;

d)

l’admission d’experts aux réunions;

e)

les plans de communication assurant l’information exhaustive des membres du conseil d’administration de l’eu-LISA non participants.

La présidence du conseil de gestion du programme est exercée par un État membre qui est pleinement lié, en vertu du droit de l’Union, par les instruments législatifs régissant le développement, la création, le fonctionnement et l’utilisation de tous les systèmes d’information à grande échelle gérés par l’eu-LISA.

Tous les frais de voyage et de séjour exposés par les membres du conseil de gestion du programme sont pris en charge par l’eu-LISA et l’article 10 du règlement intérieur de l’eu LISA s’applique mutatis mutandis. Le secrétariat du conseil de gestion du programme est assuré par l’eu-LISA.

Pendant la phase de conception et de développement, le groupe consultatif de l’EES visé à l’article 69 est composé des gestionnaires de projets de l’EES au niveau national et est présidé par l’eu-LISA. Il se réunit régulièrement et au moins trois fois par trimestre jusqu’à la mise en service de l’EES. Après chaque réunion, il rend compte au conseil de gestion du programme. Il fournit l’expertise technique nécessaire à l’appui des tâches du conseil de gestion du programme et suit l’état de préparation des États membres.

3.   L’eu-LISA est responsable de la gestion opérationnelle du système central de l’EES, des IUN et du canal de communication sécurisé entre le système central de l’EES et le système central du VIS. Elle veille, en coopération avec les États membres, à ce que la meilleure technologie disponible, sous réserve d’une analyse coûts/avantages, soit utilisée en permanence pour le système central de l’EES, les IUN, l’infrastructure de communication, le canal de communication sécurisé entre le système central de l’EES et le système central du VIS, le service internet visé à l’article 13 et le répertoire des données visé à l’article 63, paragraphe 2. L’eu-Lisa est également responsable de la gestion opérationnelle de l’infrastructure de communication entre le système central de l’EES et les IUN, du service internet visé à l’article 13 et du répertoire des données visé à l’article 63, paragraphe 2.

La gestion opérationnelle de l’EES comprend toutes les tâches nécessaires au fonctionnement de l’EES 24 heures sur 24, 7 jours sur 7, conformément au présent règlement, en particulier les travaux de maintenance et les perfectionnements techniques indispensables pour que l’EES fonctionne à un niveau satisfaisant de qualité opérationnelle, notamment quant au temps de réponse pour l’interrogation du système central de l’EES par les autorités frontalières, conformément aux spécifications techniques.

4.   Sans préjudice de l’article 17 du statut des fonctionnaires de l’Union européenne et du régime applicable aux autres agents de l’Union, prévus par le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (42), l’eu-LISA veille à ce que les membres de son personnel qui sont appelés à travailler avec des données de l’EES ou avec des données stockées dans l’EES appliquent des règles appropriées en matière de secret professionnel ou d’autres obligations de confidentialité équivalentes. Cette obligation continue de s’appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leurs activités.

1.   Chaque État membre est responsable:

a)

de l’intégration de l’infrastructure frontalière nationale existante et de sa connexion à l’IUN;

b)

de l’organisation, de la gestion, du fonctionnement et de la maintenance de son infrastructure frontalière nationale existante et de sa connexion à l’EES aux fins de l’article 6, à l’exception de l’article 6, paragraphe 2;

c)

de l’organisation des points d’accès centraux et de leur connexion à l’IUN à des fins répressives;

d)

de la gestion et des modalités de l’accès à l’EES du personnel dûment autorisé et du personnel dûment habilité des autorités nationales compétentes, conformément au présent règlement, ainsi que de l’établissement d’une liste de ce personnel et de ses qualifications et de la mise à jour régulière de cette liste.

2.   Chaque État membre désigne une autorité nationale qui donne l’accès à l’EES aux autorités compétentes visées à l’article 9, paragraphe 2. Chaque État membre connecte cette autorité nationale à l’IUN. Chaque État membre connecte à l’IUN ses points d’accès centraux respectifs visés à l’article 29.

3.   Chaque État membre applique des procédures automatisées pour le traitement des données de l’EES.

4.   Les États membres veillent à ce que la performance technique de l’infrastructure de contrôle aux frontières, sa disponibilité, la durée des vérifications aux frontières et la qualité des données soient étroitement surveillées afin de garantir le respect de l’ensemble des exigences en vue du bon fonctionnement de l’EES et de l’efficacité de la procédure de vérification aux frontières.

5.   Avant d’être autorisé à traiter des données stockées dans l’EES, le personnel des autorités ayant un droit d’accès à l’EES reçoit une formation appropriée concernant notamment les règles en matière de sécurité et de protection des données ainsi que les droits fondamentaux pertinents.

6.   Les États membres ne traitent pas les données figurant dans l’EES ou extraites de l’EES à des fins autres que celles prévues par le présent règlement.

7.   Europol assume les responsabilités prévues au paragraphe 1, point d), et aux paragraphes 3, 5 et 6. Il connecte le point d’accès central d’Europol à l’EES et est responsable de cette connexion.

1.   En ce qui concerne le traitement de données à caractère personnel dans l’EES, chaque État membre désigne l’autorité qui doit être considérée comme le responsable du traitement au sens de l’article 4, point 7), du règlement (UE) 2016/679 et qui assume la responsabilité centrale du traitement des données par ledit État membre. Chaque État membre communique les coordonnées de cette autorité à la Commission.

Chaque État membre veille à la licéité du traitement des données collectées et enregistrées dans l’EES; il veille, en particulier, à ce que seul le personnel dûment autorisé ait accès aux données pour l’exécution de ses tâches. L’État membre responsable s’assure notamment que les données sont:

a)

collectées de manière licite et dans le plein respect de la dignité humaine du ressortissant de pays tiers concerné;

b)

enregistrées dans l’EES de manière licite;

c)

exactes et à jour lors de leur transmission à l’EES.

2.   L’eu-LISA veille à ce que l’EES soit géré conformément au présent règlement et aux actes d’exécution visés à l’article 36. En particulier, l’eu-LISA:

a)

prend les mesures nécessaires pour assurer la sécurité du système central de l’EES et de l’infrastructure de communication entre ledit système et l’IUN, sans préjudice des responsabilités incombant aux États membres;

b)

fait en sorte que seul le personnel dûment autorisé ait accès aux données traitées dans l’EES.

3.   L’eu-LISA informe le Parlement européen, le Conseil et la Commission, ainsi que le Contrôleur européen de la protection des données, des mesures qu’elle prend, en vertu du paragraphe 2, en vue de la mise en service de l’EES.

1.   Un État membre peut conserver, dans son système national d’entrée/de sortie ou dans des fichiers nationaux équivalents, les données alphanumériques qu’il a introduites dans l’EES conformément aux finalités de l’EES et dans le respect absolu du droit de l’Union.

2.   Les données ne peuvent être conservées dans les systèmes nationaux d’entrée/de sortie ou dans des fichiers nationaux équivalents plus longtemps qu’elles ne le sont dans l’EES.

3.   Toute utilisation de données non conforme au paragraphe 1 est considérée comme une utilisation abusive en vertu du droit national de chaque État membre et du droit de l’Union.

4.   Le présent article ne saurait être interprété comme exigeant un quelconque aménagement technique de l’EES. Les États membres peuvent conserver des données conformément au présent article à leurs propres frais et risques et en utilisant leurs propres moyens techniques.

1.   Les données stockées dans l’EES ne peuvent être transférées à un pays tiers, une organisation internationale ou une entité privée quelconque, ni être mises à leur disposition.

2.   Par dérogation au paragraphe 1 du présent article, les données visées à l’article 16, paragraphe 1, et à l’article 17, paragraphe 1, points a), b) et c), du présent règlement peuvent être transférées à un pays tiers ou à une organisation internationale figurant à l’annexe I du présent règlement par les autorités frontalières ou les autorités chargées de l’immigration, dans des cas individuels, si cela est nécessaire pour prouver l’identité de ressortissants de pays tiers aux seules fins du retour, uniquement lorsque l’une des conditions ci-après est remplie:

a)

la Commission a adopté une décision constatant un niveau de protection adéquat des données à caractère personnel dans ce pays tiers, conformément à l’article 45, paragraphe 3, du règlement (UE) 2016/679;

b)

des garanties appropriées, au sens de l’article 46 du règlement (UE) 2016/679, ont été prévues, par exemple au moyen d’un accord de réadmission qui est en vigueur entre l’Union ou un État membre et ce pays tiers concerné; ou

c)

l’article 49, paragraphe 1, point d), du règlement (UE) 2016/679 s’applique.

3.   Les données visées à l’article 16, paragraphe 1, et à l’article 17, paragraphe 1, points a), b) et c), du présent règlement peuvent être transférées conformément au paragraphe 2 du présent article uniquement lorsque l’ensemble des conditions suivantes sont remplies:

a)

le transfert des données est effectué conformément aux dispositions pertinentes du droit de l’Union, en particulier celles relatives à la protection des données, y compris le chapitre V du règlement (UE) 2016/679, et celles relatives aux accords de réadmission, et au droit national de l’État membre qui transfère les données;

b)

le pays tiers ou l’organisation internationale a accepté de ne traiter les données qu’aux fins pour lesquelles elles ont été transmises; et

c)

une décision de retour adoptée conformément à la directive 2008/115/CE a été prise à l’égard du ressortissant de pays tiers concerné, pour autant que l’exécution de cette décision de retour ne soit pas suspendue et qu’aucun recours susceptible d’entraîner la suspension de son exécution n’ait été formé.

4.   Les transferts de données à caractère personnel à des pays tiers ou à des organisations internationales effectués en vertu du paragraphe 2 ne portent pas atteinte aux droits des demandeurs et des bénéficiaires d’une protection internationale, notamment en ce qui concerne le non-refoulement.

5.   Les données à caractère personnel obtenues dans le système central de l’EES par un État membre ou par Europol à des fins répressives ne peuvent être transférées à un pays tiers, à une organisation internationale ou à une entité privée établie ou non dans l’Union, ni être mises à leur disposition. Cette interdiction s’applique aussi si ces données font l’objet d’un traitement ultérieur au niveau national ou entre États membres conformément à la directive (UE) 2016/680.

6.   Par dérogation au paragraphe 5 du présent article, les données visées à l’article 16, paragraphe 1, points a), b) et c), à l’article 16, paragraphe 2, points a) et b), à l’article 16, paragraphe 3, points a) et b), et à l’article 17, paragraphe 1, point a), peuvent être transférées par l’autorité désignée à un pays tiers dans des cas individuels, uniquement lorsque l’ensemble des conditions suivantes sont remplies:

a)

il s’agit d’un cas d’urgence exceptionnel, lorsqu’il existe:

i)

un danger imminent lié à une infraction terroriste; ou

ii)

un danger imminent pour la vie d’une personne et ce danger est lié à une infraction pénale grave;

b)

le transfert de données est nécessaire aux fins de la prévention et de la détection, sur le territoire des États membres ou dans le pays tiers concerné, d’une telle infraction terroriste ou infraction pénale grave ou aux fins des enquêtes en la matière;

c)

l’autorité désignée a accès à de telles données conformément à la procédure et aux conditions prévues aux articles 31 et 32;

d)

le transfert est effectué conformément aux conditions applicables prévues par la directive (UE) 2016/680, en particulier son chapitre V;

e)

le pays tiers a présenté une demande écrite ou électronique dûment motivée; et

f)

le pays tiers requérant garantit de manière réciproque la communication aux États membres qui mettent en œuvre l’EES de toute information relative à des fiches d’entrée/de sortie qu’il détient.

Lorsqu’un transfert est effectué en vertu du premier alinéa du présent paragraphe, ce transfert est documenté et la documentation est, sur demande, mise à la disposition de l’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680, et comporte la date et l’heure du transfert, des informations sur l’autorité compétente destinataire, la justification du transfert et les données à caractère personnel transférées.

1.   Les données visées à l’article 16, paragraphe 1, points a), b) et c), à l’article 16, paragraphe 2, points a) et b), à l’article 16, paragraphe 3, points a) et b), et à l’article 17, paragraphe 1, point a), peuvent, dans des cas individuels, être transférées par une autorité désignée à un État membre qui ne met pas encore en œuvre l’EES et à un État membre auquel le présent règlement ne s’applique pas, uniquement lorsque l’ensemble des conditions suivantes sont remplies:

a)

il s’agit d’un cas d’urgence exceptionnel, lorsqu’il existe:

i)

un danger imminent lié à une infraction terroriste; ou

ii)

une infraction pénale grave;

b)

le transfert de données est nécessaire aux fins de la prévention et de la détection d’une telle infraction terroriste ou infraction pénale grave, ou aux fins des enquêtes en la matière;

c)

l’autorité désignée a accès à de telles données conformément à la procédure et aux conditions prévues aux articles 31 et 32;

d)

la directive (UE) 2016/680 s’applique;

e)

une demande écrite ou électronique dûment motivée a été présentée; et

f)

l’État membre requérant garantit de manière réciproque la communication aux États membres qui mettent en œuvre l’EES de toute information relative à des fiches d’entrée/de sortie qu’il détient.

Lorsqu’un transfert est effectué en vertu du premier alinéa du présent paragraphe, ce transfert est documenté et la documentation est, sur demande, mise à la disposition de l’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680, et comporte la date et l’heure du transfert, des informations sur l’autorité compétente destinataire, la justification du transfert et les données à caractère personnel transférées.

2.   Lorsque des données sont fournies en application du présent article, les mêmes conditions que celles prévues à l’article 43, paragraphe 1, à l’article 45, paragraphes 1 et 3, à l’article 48 et à l’article 58, paragraphe 4, s’appliquent mutatis mutandis.

1.   L’État membre responsable assure la sécurité des données avant et pendant leur transmission à l’IUN. Chaque État membre assure la sécurité des données qu’il reçoit de l’EES.

2.   Chaque État membre adopte, en ce qui concerne son infrastructure frontalière nationale, les mesures nécessaires, y compris un plan de sécurité, un plan de continuité des activités et un plan de rétablissement après sinistre, afin:

a)

d’assurer la protection physique des données, notamment en élaborant des plans d’urgence pour la protection des infrastructures critiques;

b)

d’empêcher l’accès de toute personne non autorisée aux systèmes de traitement de données et aux installations nationales utilisés par l’État membre pour effectuer des opérations conformément aux finalités de l’EES;

c)

d’empêcher toute lecture, copie ou modification ou tout retrait non autorisés de supports de données;

d)

d’empêcher l’introduction non autorisée de données et le contrôle, la modification ou l’effacement non autorisés de données à caractère personnel stockées;

e)

d’empêcher l’utilisation de systèmes de traitement automatisé de données par des personnes non autorisées au moyen de matériel de transmission de données;

f)

d’empêcher le traitement non autorisé de données dans l’EES ainsi que toute modification ou tout effacement non autorisés de données traitées dans l’EES;

g)

de garantir que les personnes autorisées à avoir accès à l’EES n’ont accès qu’aux données couvertes par leur autorisation d’accès, uniquement grâce à l’attribution d’identifiants individuels et uniques et à des modes d’accès confidentiels;

h)

de s’assurer que toutes les autorités ayant un droit d’accès à l’EES créent des profils décrivant les fonctions et responsabilités des personnes autorisées à introduire les données, à les modifier, à les effacer, à les consulter et à faire des recherches à l’aide de ces données, et qu’elles communiquent ces profils aux autorités de contrôle;

i)

de garantir la possibilité de vérifier et d’établir à quels organismes les données à caractère personnel peuvent être transmises au moyen de matériel de transmission de données;

j)

de garantir la possibilité de vérifier et d’établir quelles données ont été traitées dans l’EES, ainsi qu’à quel moment, par qui et dans quel but elles ont été traitées;

k)

d’empêcher toute lecture, copie, modification ou tout effacement non autorisés de données à caractère personnel pendant leur transmission à partir de l’EES ou vers celui-ci, ou durant le transport de supports de données, en particulier au moyen de techniques de cryptage adaptées;

l)

de garantir le rétablissement des systèmes installés en cas d’interruption;

m)

de garantir la fiabilité en veillant à ce que toute erreur survenant dans le fonctionnement de l’EES soit dûment signalée;

n)

de contrôler l’efficacité des mesures de sécurité visées au présent paragraphe et de prendre les mesures organisationnelles nécessaires en matière de contrôle interne pour assurer le respect du présent règlement.

3.   En ce qui concerne le fonctionnement de l’EES, l’eu-LISA prend les mesures nécessaires à la réalisation des objectifs énoncés au paragraphe 2, y compris l’adoption d’un plan de sécurité, d’un plan de continuité des activités et d’un plan de rétablissement après sinistre. L’eu-LISA assure aussi la fiabilité en veillant à ce que des mesures techniques nécessaires soient mises en place pour que les données à caractère personnel puissent être rétablies en cas de corruption due à un dysfonctionnement de l’EES.

4.   L’eu-LISA et les États membres coopèrent afin d’assurer une approche harmonisée en matière de sécurité des données, sur la base d’un processus de gestion des risques pour la sécurité englobant l’ensemble de l’EES.

1.   Tout événement ayant ou pouvant avoir un impact sur la sécurité de l’EES et susceptible d’entraîner des dommages ou des pertes au niveau des données stockées dans l’EES est considéré comme un incident de sécurité, en particulier lorsque des données peuvent avoir été consultées sans autorisation ou que la disponibilité, l’intégrité et la confidentialité de données ont été ou peuvent avoir été compromises.

2.   Les incidents de sécurité sont gérés de telle sorte qu’une réponse rapide, efficace et idoine y soit apportée.

3.   Sans préjudice de la notification et de la communication d’une violation de données à caractère personnel conformément à l’article 33 du règlement (UE) 2016/679, à l’article 30 de la directive (UE) 2016/680, ou aux deux, les États membres notifient les incidents de sécurité à la Commission, à l’eu-LISA et au Contrôleur européen de la protection des données. En cas d’incident de sécurité concernant le système central de l’EES, l’eu-LISA en informe la Commission et le Contrôleur européen de la protection des données.

4.   Les informations relatives à un incident de sécurité ayant ou pouvant avoir un impact sur le fonctionnement de l’EES ou sur la disponibilité, l’intégrité et la confidentialité des données sont communiquées aux États membres et consignées conformément au plan de gestion des incidents qui doit être élaboré par l’eu-LISA.

5.   Les États membres concernés et l’eu-LISA coopèrent en cas d’incident de sécurité.

1.   Toute personne ou tout État membre ayant subi un dommage matériel ou immatériel du fait d’une opération de traitement illicite ou de toute action non conforme au présent règlement a le droit d’obtenir réparation de l’État membre responsable du dommage subi. Cet État membre est exonéré, partiellement ou totalement, de cette responsabilité s’il prouve que le fait générateur du dommage ne lui est nullement imputable.

2.   Si le non-respect, par un État membre, des obligations qui lui incombent au titre du présent règlement cause un dommage à l’EES, cet État membre en est tenu pour responsable, sauf si l’eu-LISA ou un autre État membre participant à l’EES n’a pas pris de mesures raisonnables pour prévenir le dommage ou en atténuer les effets.

3.   Les actions en réparation intentées à l’encontre d’un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par les dispositions du droit national de l’État membre défendeur.

1.   L’eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le cadre de l’EES. Ces registres comprennent les éléments suivants:

a)

la finalité de l’accès visé à l’article 9, paragraphe 2;

b)

la date et l’heure;

c)

les données transmises conformément aux articles 16 à 19;

d)

les données utilisées à des fins d’interrogation conformément aux articles 23 à 27; et

e)

la dénomination de l’autorité qui a introduit ou extrait les données.

2.   En ce qui concerne les consultations énumérées à l’article 8, un registre de chaque opération de traitement de données effectuée dans l’EES et le VIS est conservé conformément au présent article et à l’article 34 du règlement (CE) no 767/2008. En particulier, l’eu-LISA veille à ce que le registre pertinent des opérations de traitement de données concernées soit conservé lorsque les autorités compétentes lancent une opération de traitement de données directement d’un système à l’autre.

3.   Outre les paragraphes 1 et 2, chaque État membre tient un registre du personnel dûment autorisé à traiter les données de l’EES.

4.   Ces registres ne peuvent être utilisés que pour contrôler la protection des données, y compris la vérification de l’admissibilité d’une demande et de la licéité du traitement des données, et pour garantir la sécurité des données conformément à l’article 43. Ces registres sont protégés par des mesures appropriées empêchant tout accès non autorisé et sont effacés un an après l’expiration de la durée de conservation prévue à l’article 34, sauf s’ils sont nécessaires à des procédures de contrôle déjà engagées.

Les États membres veillent à ce que chaque autorité habilitée à avoir accès aux données de l’EES prenne les mesures nécessaires pour se conformer au présent règlement et coopère, en tant que de besoin, avec les autorités de contrôle.

Les États membres prennent les mesures nécessaires pour que toute utilisation de données introduites dans l’EES d’une manière non conforme au présent règlement soit passible de sanctions effectives, proportionnées et dissuasives conformément au droit national, à l’article 84 du règlement (UE) 2016/679 et à l’article 57 de la directive (UE) 2016/680.

1.   Le règlement (CE) no 45/2001 s’applique au traitement de données à caractère personnel effectué par l’eu-LISA sur la base du présent règlement.

2.   Le règlement (UE) 2016/679 s’applique au traitement de données à caractère personnel effectué par les autorités nationales sur la base du présent règlement, à l’exception du traitement effectué aux fins visées à l’article 1er, paragraphe 2, du présent règlement.

3.   La directive (UE) 2016/680 s’applique au traitement de données à caractère personnel effectué par les autorités désignées des États membres, sur la base du présent règlement, aux fins visées à l’article 1er, paragraphe 2, du présent règlement.

4.   Le règlement (UE) 2016/794 s’applique au traitement de données à caractère personnel effectué par Europol sur la base du présent règlement.

CHAPITRE VII : DROITS ET CONTRÔLE EN MATIÈRE DE PROTECTION DES DONNÉES

1.   Sans préjudice du droit à l’information établi à l’article 13 du règlement (UE) 2016/679, l’État membre responsable fournit les informations ci-après aux ressortissants de pays tiers dont les données doivent être enregistrées dans l’EES:

a)

le fait que les États membres et Europol peuvent avoir accès à l’EES à des fins répressives;

b)

l’obligation incombant aux ressortissants de pays tiers exemptés de l’obligation de visa et aux titulaires d’un FTD de se soumettre à un relevé d’empreintes digitales;

c)

l’obligation incombant à tous les ressortissants de pays tiers faisant l’objet d’un enregistrement dans l’EES de se soumettre à un enregistrement de leur image faciale;

d)

le caractère obligatoire de la collecte des données pour l’examen des conditions d’entrée;

e)

le fait que l’entrée sera refusée à tout ressortissant de pays tiers qui refuse de fournir les données biométriques demandées aux fins d’enregistrement, de vérification ou d’identification dans l’EES;

f)

le droit de recevoir des informations quant à la durée maximale restante de leur séjour autorisé, conformément à l’article 11, paragraphe 3;

g)

le fait que les données à caractère personnel stockées dans l’EES peuvent être transférées à un pays tiers ou une organisation internationale figurant à l’annexe I aux fins du retour, ou à un pays tiers conformément à l’article 41, paragraphe 6, et aux États membres conformément à l’article 42;

h)

l’existence du droit de demander au responsable du traitement l’accès aux données les concernant, du droit de demander que des données inexactes les concernant soient rectifiées, que des données à caractère personnel les concernant qui sont incomplètes soient complétées, que des données à caractère personnel les concernant qui ont fait l’objet d’un traitement illicite soient effacées ou que le traitement de ces données soit limité, ainsi que du droit d’obtenir des informations sur les procédures à suivre pour exercer ces droits, y compris les coordonnées du responsable du traitement et des autorités de contrôle ou, s’il y a lieu, du Contrôleur européen de la protection des données, qui peuvent être saisis des plaintes relatives à la protection des données à caractère personnel;

i)

le fait que les données de l’EES seront accessibles à des fins de gestion des frontières et de facilitation, et que tout dépassement de la durée du séjour autorisé entraînera automatiquement l’ajout de leurs données à la liste des personnes identifiées visée à l’article 12, paragraphe 3, ainsi que les conséquences possibles d’un tel dépassement;

j)

la durée de conservation des fiches d’entrée/de sortie, des fiches de refus d’entrée et des dossiers individuels fixée en vertu de l’article 34;

k)

le droit des personnes ayant dépassé la durée du séjour autorisé d’obtenir que leurs données à caractère personnel soient effacées de la liste des personnes identifiées visée à l’article 12, paragraphe 3, et soient rectifiées dans l’EES lorsque ces personnes apportent la preuve que des événements graves et imprévisibles les ont contraintes à dépasser la durée du séjour autorisé;

l)

le droit de déposer une plainte auprès des autorités de contrôle.

2.   Les informations mentionnées au paragraphe 1 du présent article sont fournies par écrit, par tout moyen approprié, sous une forme concise, transparente, compréhensible et aisément accessible, et sont mises à disposition, en des termes clairs et simples, dans une version linguistique que la personne concernée comprend ou dont on peut raisonnablement supposer qu’elle la comprend, afin de garantir que les ressortissants de pays tiers sont informés de leurs droits, au moment de la création du dossier individuel de la personne concernée conformément à l’article 16, 17 ou 18.

3.   La Commission met également en place un site internet sur lequel figurent les informations visées au paragraphe 1.

4.   La Commission adopte des actes d’exécution concernant l’élaboration des informations visées au paragraphe 1 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

5.   La Commission communique les informations visées au paragraphe 1 du présent article dans un document type. Le document type est élaboré de telle manière que les États membres peuvent y ajouter des informations spécifiques les concernant. Ces informations propres aux États membres portent au moins sur les droits de la personne concernée, sur la possibilité d’une assistance de la part des autorités de contrôle, ainsi que sur les coordonnées des services du responsable du traitement et du délégué à la protection des données et des autorités de contrôle. La Commission adopte des actes d’exécution concernant les spécifications et conditions relatives au site internet visé au paragraphe 3 du présent article. Ces actes d’exécution sont adoptés avant la mise en service de l’EES en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

La Commission, en coopération avec les autorités de contrôle et le Contrôleur européen de la protection des données, accompagne la mise en service de l’EES d’une campagne d’information visant à faire connaître au public et, en particulier, aux ressortissants de pays tiers les objectifs de l’EES, les données stockées dans l’EES, les autorités disposant d’un droit d’accès et les droits des personnes concernées. Ces campagnes d’information sont menées régulièrement.

1.   Les demandes de ressortissants de pays tiers relatives aux droits prévus aux articles 15 à 18 du règlement (UE) 2016/679 peuvent être adressées à l’autorité compétente de tout État membre.

L’État membre responsable ou l’État membre auquel la demande a été présentée répond à de telles demandes dans un délai de quarante-cinq jours à compter de la réception de la demande.

2.   Si une demande visant à faire rectifier, compléter, ou effacer des données à caractère personnel ou à en faire limiter le traitement est adressée à un État membre autre que l’État membre responsable, les autorités de l’État membre auquel la demande a été présentée vérifient l’exactitude des données et la licéité de leur traitement dans l’EES dans un délai de trente jours à compter de la réception de la demande lorsque cette vérification peut se faire sans consulter l’État membre responsable. Dans le cas contraire, l’État membre auquel la demande a été présentée prend contact, dans un délai de sept jours, avec les autorités de l’État membre responsable et ce dernier vérifie l’exactitude des données et la licéité de leur traitement dans un délai de trente jours à compter de cette prise de contact.

3.   S’il apparaît que les données enregistrées dans l’EES sont matériellement erronées ou incomplètes ou qu’elles y ont été enregistrées de façon illicite, l’État membre responsable ou, le cas échéant, l’État membre auquel la demande a été présentée rectifie, complète ou efface les données à caractère personnel ou en limite le traitement conformément à l’article 35. L’État membre responsable ou, le cas échéant, l’État membre auquel la demande a été présentée confirme par écrit et sans tarder à la personne concernée qu’il a pris des mesures pour rectifier, compléter ou effacer les données à caractère personnel concernant cette personne ou pour en limiter le traitement.

S’il apparaît que les données relatives aux visas enregistrées dans l’EES sont matériellement erronées ou incomplètes ou qu’elles y ont été enregistrées de façon illicite, l’État membre responsable ou, le cas échéant, l’État membre auquel la demande a été présentée vérifie dans un premier temps l’exactitude de ces données en consultant le VIS et, si nécessaire, les modifie dans l’EES. Si les données enregistrées dans le VIS sont identiques à celles de l’EES, l’État membre responsable ou, le cas échéant, l’État membre auquel la demande a été présentée prend contact, dans un délai de sept jours, avec les autorités de l’État membre qui est responsable de l’introduction de ces données dans le VIS. L’État membre responsable de l’introduction des données dans le VIS vérifie, dans un délai de trente jours à compter de cette prise de contact, l’exactitude des données relatives aux visas et la licéité de leur traitement dans l’EES et informe l’État membre responsable ou l’État membre auquel la demande a été présentée qui, si nécessaire et sans tarder, rectifie ou complète les données à caractère personnel de la personne concernée ou limite le traitement de ces données dans l’EES, ou efface ces données de l’EES ainsi que, le cas échéant, de la liste de personnes identifiées visée à l’article 12, paragraphe 3.

4.   Si l’État membre responsable ou, le cas échéant, l’État membre auquel la demande a été présentée n’est pas d’avis que les données enregistrées dans l’EES sont matériellement erronées ou incomplètes ou qu’elles y ont été enregistrées de façon illicite, il adopte une décision administrative indiquant par écrit et sans tarder au ressortissant de pays tiers concerné les raisons pour lesquelles il n’est pas disposé à rectifier, compléter ou effacer les données à caractère personnel le concernant ou à en limiter le traitement.

5.   L’État membre qui a adopté la décision administrative conformément au paragraphe 4 du présent article communique également au ressortissant de pays tiers concerné des précisions quant aux mesures qu’il peut prendre s’il n’accepte pas l’explication fournie. Cela comprend des informations sur les modalités de recours ou de plainte devant les autorités ou les juridictions compétentes de cet État membre, ainsi que sur toute aide dont la personne concernée peut disposer en vertu des lois, réglementations et procédures de cet État membre, y compris de la part de l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679.

6.   Toute demande présentée au titre des paragraphes 1 et 2 comporte les informations minimales nécessaires à l’identification du ressortissant de pays tiers concerné. Des empreintes digitales peuvent être requises à cet effet, uniquement dans des cas dûment justifiés et en cas de doute sérieux quant à l’identité du demandeur. Ces informations sont utilisées exclusivement pour permettre au ressortissant de pays tiers d’exercer les droits visés au paragraphe 1 et sont ensuite immédiatement effacées.

7.   Lorsqu’une personne a présenté une demande conformément au paragraphe 1 du présent article, l’autorité compétente de l’État membre responsable ou de l’État membre auquel la demande a été présentée consigne, dans un document écrit, la présentation de cette demande. Ce document contient des informations sur la manière dont ladite demande a été gérée et sur l’autorité qui l’a traitée. L’autorité compétente met ce document dans un délai de sept jours à la disposition de l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679.

1.   Les autorités compétentes des États membres coopèrent activement afin de faire respecter les droits prévus à l’article 52.

2.   Dans chaque État membre, l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 assiste et conseille, sur demande, la personne concernée dans l’exercice de son droit à faire rectifier, compléter ou effacer les données à caractère personnel la concernant ou à en faire limiter le traitement, conformément au règlement (UE) 2016/679.

Afin d’atteindre les objectifs visés au premier alinéa, l’autorité de contrôle de l’État membre responsable qui a transmis les données et l’autorité de contrôle de l’État membre auquel la demande a été présentée coopèrent entre elles.

1.   Sans préjudice des articles 77 et 79 du règlement (UE) 2016/679, dans chaque État membre, toute personne a le droit de former un recours ou de déposer une plainte devant les autorités ou les juridictions compétentes de l’État membre qui lui a refusé le droit d’accès aux données la concernant ou le droit de faire rectifier, compléter ou effacer ces données prévu à l’article 52 et à l’article 53, paragraphe 2, du présent règlement. Le droit de former un tel recours ou de déposer une telle plainte vaut également lorsque les demandes d’accès, ou les demandes visant à faire rectifier, compléter ou effacer des données n’ont pas reçu de réponse dans les délais prévus à l’article 52 ou n’ont jamais été traitées par le responsable du traitement.

2.   L’assistance de l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 demeure acquise pendant toute la durée de la procédure.

1.   Chaque État membre veille à ce que l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 contrôle en toute indépendance la licéité du traitement, effectué par l’État membre en question, des données à caractère personnel visées aux chapitres II, III, V et VI du présent règlement, y compris de leur transmission à partir de l’EES et vers celui-ci.

2.   L’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 veille à ce qu’un audit des opérations de traitement des données dans le cadre des infrastructures frontalières nationales, répondant aux normes internationales applicables en matière d’audit, soit réalisé tous les trois ans au minimum à compter de la mise en service de l’EES. Les résultats de l’audit peuvent être pris en compte dans les évaluations menées dans le cadre du mécanisme créé par le règlement (UE) no 1053/2013 du Conseil (43). L’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 publie chaque année le nombre de demandes visant à faire rectifier, compléter ou effacer des données, ou à en faire limiter le traitement, les mesures prises par la suite et le nombre de rectifications, d’ajouts, d’effacements auxquels il a été procédé et de limites apportées au traitement, en réponse aux demandes des personnes concernées.

3.   Les États membres veillent à ce que leur autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 dispose de ressources suffisantes pour s’acquitter des tâches qui lui sont confiées dans le cadre du présent règlement et puisse demander conseil à des personnes ayant des connaissances suffisantes en matière de données biométriques.

4.   Les États membres communiquent toutes les informations demandées par l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 et lui fournissent, en particulier, les informations relatives aux activités menées conformément à l’article 38, à l’article 39, paragraphe 1, et à l’article 43. Les États membres donnent à l’autorité de contrôle instituée conformément à l’article 51, paragraphe 1, du règlement (UE) 2016/679 accès à leurs registres visés à l’article 46 et lui permettent d’accéder, à tout moment, à l’ensemble de leurs locaux liés à l’EES.

1.   Le Contrôleur européen de la protection des données est chargé de contrôler les activités de traitement des données à caractère personnel menées par l’eu-LISA concernant l’EES et de veiller à ce que ces activités soient effectuées conformément au règlement (CE) no 45/2001 et au présent règlement.

2.   Le Contrôleur européen de la protection des données veille à ce que soit réalisé, tous les trois ans au minimum, un audit des activités de traitement des données à caractère personnel menées par l’eu-LISA, répondant aux normes internationales applicables en matière d’audit. Un rapport d’audit est communiqué au Parlement européen, au Conseil, à la Commission, à l’eu-LISA et aux autorités de contrôle. L’eu-LISA a la possibilité de formuler des observations avant l’adoption du rapport.

3.   L’eu-LISA fournit au Contrôleur européen de la protection des données les renseignements qu’il demande et lui donne accès à tous les documents et à ses registres visés à l’article 46 et lui permet, à tout moment, d’accéder à l’ensemble de ses locaux.

1.   Les autorités de contrôle et le Contrôleur européen de la protection des données, agissant chacun dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités respectives et assurent une surveillance coordonnée de l’EES et des infrastructures frontalières nationales.

2.   Les autorités de contrôle et le Contrôleur européen de la protection des données échangent les informations utiles, s’assistent mutuellement pour mener les audits et inspections, examinent les difficultés concernant l’interprétation ou l’application du présent règlement, analysent les problèmes pouvant se poser dans l’exercice du contrôle indépendant ou dans l’exercice des droits de la personne concernée, formulent des propositions harmonisées en vue de trouver des solutions communes aux éventuels problèmes et assurent la sensibilisation aux droits en matière de protection des données, selon les besoins.

3.   Aux fins du paragraphe 2, les autorités de contrôle et le Contrôleur européen de la protection des données se réunissent au moins deux fois par an dans le cadre du comité européen de la protection des données établi par le règlement (UE) 2016/679 (ci-après dénommé «comité européen de la protection des données»). Le coût de ces réunions et leur organisation sont pris en charge par ledit comité. Le règlement intérieur est adopté lors de la première réunion. D’autres méthodes de travail sont mises au point conjointement, selon les besoins.

4.   Un rapport d’activités conjoint est transmis tous les deux ans par le Comité européen de la protection des données au Parlement européen, au Conseil, à la Commission et à l’eu-LISA. Ce rapport comporte un chapitre sur chaque État membre, établi par les autorités de contrôle de l’État membre concerné.

1.   Chaque État membre veille à ce que les dispositions législatives, réglementaires et administratives nationales qu’il a adoptées en application de la directive (UE) 2016/680 s’appliquent aussi à la consultation de l’EES par ses autorités nationales conformément à l’article 1er, paragraphe 2, du présent règlement, y compris pour ce qui est des droits des personnes dont les données sont ainsi consultées.

2.   L’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680 contrôle la licéité des consultations de données à caractère personnel effectuées par les États membres conformément au chapitre IV du présent règlement, y compris de leur transmission à partir de l’EES et vers celui-ci. L’article 55, paragraphes 3 et 4, du présent règlement s’applique en conséquence.

3.   Le traitement de données à caractère personnel par Europol en application du présent règlement est effectué conformément au règlement (UE) 2016/794 et est contrôlé par le Contrôleur européen de la protection des données.

4.   Les données à caractère personnel consultées dans l’EES conformément au chapitre IV ne sont traitées qu’à des fins de prévention et de détection du cas précis pour lequel les données ont été demandées par un État membre ou par Europol, ou aux fins des enquêtes sur ce cas.

5.   Le système central de l’EES, les autorités désignées, les points d’accès centraux, ainsi qu’Europol établissent des relevés des recherches effectuées afin de permettre à l’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680 et au Contrôleur européen de la protection des données de contrôler que le traitement des données respecte les règles de l’Union et les règles nationales en matière de protection des données. Si ce n’est à cette fin, les données à caractère personnel ainsi que les relevés des recherches sont effacés de tous les fichiers nationaux et de ceux d’Europol après trente jours, à moins que ces données et relevés ne soient nécessaires aux fins de l’enquête pénale précise en cours pour laquelle ils avaient été demandés par un État membre ou par Europol.

1.   Chaque État membre et Europol veillent à ce que toutes les opérations de traitement de données résultant de demandes d’accès aux données de l’EES conformément au chapitre IV soient consignées dans un registre ou fassent l’objet d’une documentation, à des fins de vérification de la recevabilité de la demande, et de contrôle de la licéité du traitement des données et de l’intégrité et de la sécurité des données, ainsi qu’à des fins d’autocontrôle.

2.   Le registre ou la documentation mentionnent dans tous les cas:

a)

l’objet précis de la demande d’accès aux données de l’EES, notamment l’infraction terroriste ou l’autre infraction pénale grave dont il est question et, dans le cas d’Europol, l’objet précis de la demande d’accès;

b)

les motifs raisonnables invoqués pour ne pas effectuer de comparaisons avec d’autres États membres au titre de la décision 2008/615/JAI conformément à l’article 32, paragraphe 2, point b), du présent règlement;

c)

la référence du fichier national;

d)

la date et l’heure exacte de la demande d’accès adressée au système central de l’EES par le point d’accès central;

e)

la dénomination de l’autorité ayant demandé l’accès pour consultation;

f)

le cas échéant, le recours à la procédure d’urgence visée à l’article 31, paragraphe 2, du présent règlement, et la décision prise en ce qui concerne la vérification a posteriori;

g)

les données utilisées pour consultation;

h)

conformément aux règles nationales ou au règlement (UE) 2016/794, l’identifiant unique de l’agent qui a effectué la recherche et celui de l’agent qui a ordonné la recherche.

3.   Les registres et la documentation ne sont utilisés que pour contrôler la licéité du traitement des données et pour garantir l’intégrité et la sécurité des données. Seuls les registres qui ne contiennent pas de données à caractère personnel peuvent être utilisés aux fins du suivi et de l’évaluation prévus à l’article 72 du présent règlement. L’autorité de contrôle instituée conformément à l’article 41, paragraphe 1, de la directive (UE) 2016/680, qui est chargée de vérifier la recevabilité de la demande et de contrôler la licéité du traitement des données ainsi que l’intégrité et la sécurité des données, se voit octroyer l’accès à ces registres à sa demande aux fins de l’accomplissement des tâches qui lui incombent.

CHAPITRE VIII : MODIFICATIONS D’AUTRES INSTRUMENTS DE L’UNION

L’article 20 de la convention d’application de l’accord de Schengen est modifié comme suit:

1)

Le paragraphe 2 est remplacé par le texte suivant:

«2.   Le paragraphe 1 ne fait pas obstacle au droit de chaque Partie Contractante de prolonger au-delà de 90 jours sur toute période de 180 jours le séjour d’un étranger sur son territoire:

a)

dans des circonstances exceptionnelles; ou

b)

conformément à un accord bilatéral conclu antérieurement à l’entrée en vigueur de la présente Convention et notifié à la Commission conformément au paragraphe 2 quinquies.»

2)

Les paragraphes suivants sont insérés:

«2 bis.   Le séjour d’un étranger sur le territoire d’une Partie Contractante peut être prolongé par application d’un accord bilatéral en vertu du paragraphe 2, point b), sur demande de l’étranger introduite auprès des autorités compétentes de cette Partie Contractante à l’entrée ou au cours du séjour de l’étranger au plus tard le dernier jour ouvrable de son séjour de 90 jours sur toute période de 180 jours.

Lorsque l’étranger n’a pas introduit de demande au cours de son séjour de 90 jours sur toute période de 180 jours, son séjour peut être prolongé en vertu d’un accord bilatéral conclu par une Partie Contractante et son séjour au-delà du séjour de 90 jours sur toute période de 180 jours précédant ladite prolongation peut être présumé licite par les autorités compétentes de cette Partie Contractante pour autant que l’étranger en question présente des éléments de preuve crédibles établissant qu’au cours de cette période, il n’a séjourné que sur le territoire de cette Partie Contractante.

2 ter.   Lorsque le séjour est prolongé en vertu du paragraphe 2 du présent article, les autorités compétentes de la Partie Contractante concernée introduisent les données relatives à la prolongation dans la dernière fiche pertinente d’entrée/de sortie rattachée au dossier individuel de l’étranger contenu dans le système d’entrée/de sortie créé par le règlement (UE) 2017/2226 du Parlement européen et du Conseil (*1). Ces données sont introduites conformément à l’article 19 dudit règlement.

2 quater.   Lorsque le séjour est prolongé en vertu du paragraphe 2, l’étranger concerné n’est autorisé à séjourner que sur le territoire de cette Partie Contractante et à sortir aux frontières extérieures de cette Partie Contractante.

L’autorité compétente qui a prolongé le séjour informe l’étranger concerné de ce que la prolongation du séjour n’autorise l’étranger concerné à séjourner que sur le territoire de cette Partie Contractante et qu’il devra sortir aux frontières extérieures de cette Partie Contractante.

2 quinquies.   Au plus tard le 30 mars 2018, les Parties Contractantes notifient à la Commission le texte de leurs accords bilatéraux pertinents applicables visés au paragraphe 2, point b). Si une Partie Contractante cesse d’appliquer l’un de ces accords bilatéraux, elle le notifie à la Commission. La Commission publie au Journal officiel de l’Union européenne des informations relatives à ces accords bilatéraux, dont au minimum les États membres et pays tiers concernés et les droits que ces accords bilatéraux confèrent aux étrangers, ainsi que toute modification qui y serait apportée.

(*1)  Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) no 767/2008 et (UE) no 1077/2011 (JO L 327 du 9.12.2017, p. 20).»"

Le règlement (CE) no 767/2008 est modifié comme suit:

1)

À l’article 10, le paragraphe 1 est modifié comme suit: mars

a)

le point suivant est inséré:

«d bis)

s’il y a lieu, les informations indiquant que le visa a été délivré avec une validité territoriale limitée, en application de l’article 25, paragraphe 1, point b), du règlement (CE) no 810/2009;»

b)

le point suivant est ajouté:

«l)

s’il y a lieu, le statut de la personne indiquant que le ressortissant de pays tiers est un membre de la famille d’un citoyen de l’Union auquel s’applique la directive 2004/38/CE du Parlement européen et du Conseil (*2) ou d’un ressortissant de pays tiers jouissant d’un droit à la libre circulation équivalent à celui des citoyens de l’Union en vertu d’un accord entre l’Union et ses États membres, d’une part, et un pays tiers, d’autre part.

(*2)  Directive 2004/38/CE du Parlement européen et du Conseil du 29 avril 2004 relative au droit des citoyens de l’Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres, modifiant le règlement (CEE) no 1612/68 et abrogeant les directives 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE et 93/96/CEE (JO L 158 du 30.4.2004, p. 77).»"

2)

À l’article 13, le paragraphe suivant est ajouté:

«3.   Lorsqu’une décision a été prise d’annuler ou de retirer un visa, l’autorité chargée des visas qui a pris cette décision extrait et exporte immédiatement, du VIS vers le système d’entrée/de sortie créé par le règlement (UE) 2017/2226 du Parlement européen et du Conseil (*3), les données énumérées à l’article 19, paragraphe 1, dudit règlement.

(*3)  Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) no 767/2008 et (UE) no 1077/2011 (JO L 327, du 9.12.2017, p. 20).»"

3)

À l’article 14, le paragraphe suivant est ajouté:

«3.   L’autorité chargée des visas qui a décidé de prolonger la durée de validité, la durée de séjour prévue dans un visa délivré, ou les deux, extrait et exporte immédiatement, du VIS vers l’EES, les données énumérées à l’article 19, paragraphe 1, du règlement (UE) 2017/2226.».

4)

L’article 15 est modifié comme suit:

a)

au paragraphe 2, les points b) et c) sont remplacés par le texte suivant:

«b)

le nom (nom de famille), le ou les prénoms; la date de naissance; la ou les nationalités; le sexe;

c)

le type et le numéro du document de voyage; le code à trois lettres du pays de délivrance du document de voyage; et la date d’expiration de la validité du document de voyage;»

b)

les paragraphes suivants sont ajoutés:

«4.   Pour les besoins de consultation de l’EES aux fins de l’examen des demandes de visa et de l’adoption des décisions y afférentes conformément à l’article 24 du règlement (UE) 2017/2226, l’autorité compétente chargée des visas est autorisée à effectuer des recherches dans l’EES directement à partir du VIS à l’aide d’une ou de plusieurs des données mentionnées audit article.

5.   Lorsque la recherche à l’aide des données visées au paragraphe 2 du présent article montre que le VIS ne contient aucune donnée concernant le ressortissant de pays tiers ou en cas de doute quant à l’identité du ressortissant de pays tiers, l’autorité compétente chargée des visas a accès aux données aux fins d’identification conformément à l’article 20.»

5)

Au chapitre III, l’article suivant est inséré:

«Article 17 bis

Interopérabilité avec l’EES

1.   Dès la mise en service de l’EES prévue à l’article 66, paragraphe 1, du règlement (UE) 2017/2226, l’interopérabilité entre l’EES et le VIS est établie afin d’améliorer l’efficacité et la rapidité des vérifications aux frontières. À cet effet, l’eu-LISA établit un canal de communication sécurisé entre le système central de l’EES et le système central du VIS. La consultation directe entre l’EES et le VIS n’est possible que si elle est prévue à la fois par le présent règlement et par le règlement (UE) 2017/2226. L’extraction des données relatives aux visas depuis le VIS, leur exportation dans l’EES et la mise à jour des données du VIS dans l’EES constituent un processus automatisé une fois que l’opération en question est lancée par l’autorité concernée.

2.   L’interopérabilité permet aux autorités chargées des visas utilisant le VIS de consulter l’EES à partir du VIS:

a)

lors de l’examen des demandes de visa et des décisions y afférentes conformément à l’article 24 du règlement (UE) 2017/2226 et à l’article 15, paragraphe 4, du présent règlement;

b)

afin d’extraire et d’exporter directement du VIS vers l’EES les données relatives aux visas en cas d’annulation, de retrait ou de prorogation d’un visa, conformément à l’article 19 du règlement (UE) 2017/2226 et aux articles 13 et 14 du présent règlement.

3.   L’interopérabilité permet aux autorités frontalières utilisant l’EES de consulter le VIS à partir de l’EES afin:

a)

d’extraire directement du VIS les données relatives aux visas et de les importer dans l’EES afin de permettre la création ou la mise à jour dans l’EES d’une fiche d’entrée/de sortie ou d’une fiche de refus d’entrée d’un titulaire de visa conformément aux articles 14, 16 et 18 du règlement (UE) 2017/2226 et à l’article 18 bis du présent règlement;

b)

d’extraire directement du VIS les données relatives aux visas et de les importer dans l’EES en cas d’annulation, de retrait ou de prorogation d’un visa conformément à l’article 19 du règlement (UE) 2017/2226 et aux articles 13 et 14 du présent règlement;

c)

de vérifier l’authenticité et la validité du visa, le respect des conditions d’entrée sur le territoire des États membres énoncées à l’article 6 du règlement (UE) 2016/399 du Parlement européen et du Conseil (*4), ou les deux, conformément à l’article 18, paragraphe 2, du présent règlement;

d)

de vérifier si les ressortissants de pays tiers exemptés de l’obligation de visa pour lesquels aucun dossier individuel n’est enregistré dans l’EES étaient enregistrés précédemment dans le VIS, conformément à l’article 23 du règlement (UE) 2017/2226 et à l’article 19 bis du présent règlement;

e)

de vérifier, lorsque l’identité d’un titulaire de visa est vérifiée à l’aide des empreintes digitales, l’identité d’un titulaire de visa à l’aide de ses empreintes digitales par consultation du VIS, conformément à l’article 23, paragraphes 2 et 4, du règlement (UE) 2017/2226, et à l’article 18, paragraphe 6, du présent règlement.

4.   En ce qui concerne l’utilisation du service internet de l’EES visé à l’article 13 du règlement (UE) 2017/2226, le VIS met à jour quotidiennement la base de données distincte en lecture seule visée à l’article 13, paragraphe 5, dudit règlement, au moyen d’une extraction à sens unique des sous-ensembles minimaux nécessaires de données du VIS.

5.   Conformément à l’article 36 du règlement (UE) 2017/2226, la Commission adopte les mesures nécessaires à l’établissement et à la conception de haut niveau de l’interopérabilité. Afin d’établir l’interopérabilité avec l’EES, l’instance gestionnaire élabore les développements et les adaptations requis du VIS central, de l’interface nationale de chaque État membre et de l’infrastructure de communication entre le VIS central et les interfaces nationales. Les États membres adaptent et développent les infrastructures nationales.

(*4)  Règlement (UE) 2016/399 du Parlement européen et du Conseil du 9 mars 2016 concernant un code de l’Union relatif au régime de franchissement des frontières par les personnes (code frontières Schengen) (JO L 77 du 23.3.2016, p. 1).»"

6)

L’article 18 est remplacé par le texte suivant:

«Article 18

Accès aux données à des fins de vérification aux frontières auxquelles l’EES est mis en œuvre

1.   Aux seules fins de vérifier l’identité du titulaire de visa, l’authenticité, la validité temporelle et territoriale et le statut du visa ou si les conditions d’entrée sur le territoire des États membres énoncées à l’article 6 du règlement (UE) 2016/399 sont remplies, ou les deux, les autorités compétentes pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre ont accès au VIS pour effectuer des recherches à l’aide des données suivantes:

a)

le nom (nom de famille), le ou les prénoms; la date de naissance; la ou les nationalités; le sexe; le type et le numéro du ou des documents de voyage; le code en trois lettres du pays de délivrance du ou des documents de voyage; et la date d’expiration de la validité du ou des documents de voyage; ou

b)

le numéro de la vignette visa.

2.   Uniquement aux fins visées au paragraphe 1 du présent article, lorsqu’une recherche est lancée dans l’EES en vertu de l’article 23, paragraphe 2, du règlement (UE) 2017/2226, l’autorité frontalière compétente lance une recherche dans le VIS directement à partir de l’EES à l’aide des données visées au paragraphe 1, point a), du présent article.

3.   Par dérogation au paragraphe 2 du présent article, lorsqu’une recherche est lancée dans l’EES en vertu de l’article 23, paragraphe 2 ou 4, du règlement (UE) 2017/2226, l’autorité frontalière compétente peut effectuer une recherche dans le VIS sans faire appel à l’interopérabilité avec l’EES lorsque des circonstances particulières l’exigent, notamment lorsqu’il est plus approprié, en raison de la situation particulière d’un ressortissant de pays tiers, d’effectuer la recherche à l’aide des données visées au paragraphe 1, point b), du présent article ou lorsqu’il est techniquement impossible, à titre temporaire, de consulter les données de l’EES, ou encore en cas de dysfonctionnement de l’EES.

4.   Si la recherche effectuée à l’aide des données énumérées au paragraphe 1 montre que le VIS contient des données relatives à un ou plusieurs visas délivrés ou prorogés, en cours de validité temporelle et territoriale pour le franchissement des frontières, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre est autorisée à consulter les données ci-après contenues dans le dossier de demande concerné et dans le ou les dossiers de demande liés au sens de l’article 8, paragraphe 4, uniquement aux fins visées au paragraphe 1 du présent article:

a)

les informations relatives au statut du visa et les données extraites du formulaire de demande visées à l’article 9, points 2) et 4);

b)

les photographies;

c)

les données visées aux articles 10, 13 et 14 qui ont été saisies concernant le ou les visas délivrés, annulés ou retirés ou dont la durée de validité a été prolongée.

En outre, en ce qui concerne les titulaires de visas pour lesquels il n’est juridiquement pas obligatoire ou factuellement pas possible de communiquer certaines données, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre reçoit une notification relative au champ ou aux champs d’information spécifiques concernés, qui doivent porter la mention «sans objet».

5.   Si la recherche effectuée à l’aide des données énumérées au paragraphe 1 du présent article montre que le VIS contient des données sur la personne mais qu’aucun visa valable n’est enregistré, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre est autorisée à consulter les données ci-après figurant dans le ou les dossiers de demande ainsi que dans le ou les dossiers de demande liés en vertu de l’article 8, paragraphe 4, uniquement aux fins visées au paragraphe 1 du présent article:

a)

les informations relatives au statut du visa et les données extraites du formulaire de demande, visées à l’article 9, points 2) et 4);

b)

les photographies;

c)

les données visées aux articles 10, 13 et 14 qui ont été saisies concernant le ou les visas délivrés, annulés ou retirés ou dont la durée de validité a été prolongée.

6.   Outre la consultation effectuée en vertu du paragraphe 1 du présent article, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre vérifie l’identité de la personne par consultation du VIS, si la recherche effectuée à l’aide des données énumérées au paragraphe 1 du présent article montre que le VIS contient des données sur cette personne et que l’une des conditions suivantes est remplie:

a)

l’identité de la personne ne peut être vérifiée par consultation de l’EES conformément à l’article 23, paragraphe 2, du règlement (UE) 2017/2226, parce que:

i)

le titulaire du visa n’est pas encore enregistré dans l’EES;

ii)

l’identité est vérifiée, au point de passage frontalier concerné, à l’aide des empreintes digitales conformément à l’article 23, paragraphe 2, du règlement (UE) 2017/2226;

iii)

il existe un doute quant à l’identité du titulaire du visa;

iv)

pour toute autre raison;

b)

l’identité de la personne peut être vérifiée par consultation de l’EES, mais l’article 23, paragraphe 5, du règlement (UE) 2017/2226 s’applique.

Les autorités compétentes pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre vérifient les empreintes digitales du titulaire du visa par rapport à celles qui sont enregistrées dans le VIS. En ce qui concerne les titulaires de visa dont les empreintes digitales ne peuvent être utilisées, la recherche visée au paragraphe 1 n’est effectuée qu’à l’aide des données alphanumériques prévues au paragraphe 1.

7.   Aux fins de la vérification des empreintes digitales par consultation du VIS prévue au paragraphe 6, l’autorité compétente peut lancer une recherche dans le VIS à partir de l’EES.

8.   En cas d’échec de la vérification concernant le titulaire du visa ou le visa, ou de doute quant à l’identité du titulaire du visa ou à l’authenticité du visa ou du document de voyage, le personnel dûment autorisé des autorités compétentes pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre a accès aux données conformément à l’article 20, paragraphes 1 et 2.»

7)

L’article suivant est inséré:

«Article 18 bis

Extraction de données du VIS pour créer ou mettre à jour une fiche d’entrée/de sortie ou une fiche de refus d’entrée d’un titulaire de visa dans l’EES

Uniquement aux fins de la création ou de la mise à jour d’une fiche d’entrée/de sortie ou d’une fiche de refus d’entrée d’un titulaire de visa dans l’EES conformément à l’article 14, paragraphe 2, et aux articles 16 et 18 du règlement (UE) 2017/2226, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre est autorisée à extraire du VIS et à importer dans l’EES les données stockées dans le VIS et énumérées à l’article 16, paragraphe 2, points c) à f), dudit règlement.»

8)

L’article suivant est inséré:

«Article 19 bis

Utilisation du VIS avant la création, dans l’EES, des dossiers individuels de ressortissants de pays tiers exemptés de l’obligation de visa

1.   Pour vérifier si une personne a été enregistrée précédemment dans le VIS, les autorités compétentes pour effectuer les vérifications aux points de passage aux frontières extérieures en vertu du règlement (UE) 2016/399 consultent le VIS avant la création, dans l’EES, du dossier individuel de ressortissants de pays tiers exemptés de l’obligation de visa comme prévu à l’article 17 du règlement (UE) 2017/2226.

2.   Aux fins du paragraphe 1 du présent article, lorsque l’article 23, paragraphe 4, du règlement (UE) 2017/2226 s’applique et que la recherche visée à l’article 27 dudit règlement montre que l’EES ne contient pas de données concernant un ressortissant de pays tiers, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre est autorisée à effectuer une recherche dans le VIS à l’aide des données suivantes: le nom (nom de famille); le ou les prénoms; la date de naissance; la ou les nationalités; le sexe; le type et le numéro du document de voyage; le code à trois lettres du pays de délivrance du document de voyage; et la date d’expiration de la validité du document de voyage.

3.   Uniquement aux fins visées au paragraphe 1 du présent article, lorsqu’une recherche est lancée dans l’EES en application de l’article 23, paragraphe 4, du règlement (UE) 2017/2226, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre peut lancer une recherche dans le VIS directement à partir de l’EES en utilisant les données alphanumériques prévues au paragraphe 2 du présent article.

4.   En outre, si la recherche à l’aide des données visées au paragraphe 2 montre que le VIS contient des données sur le ressortissant de pays tiers, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre vérifie les empreintes digitales du ressortissant de pays tiers par rapport à celles qui sont enregistrées dans le VIS. Cette autorité peut lancer la vérification à partir de l’EES. En ce qui concerne les ressortissants de pays tiers dont les empreintes digitales ne peuvent pas être utilisées, la recherche est effectuée seulement à l’aide des données alphanumériques prévues au paragraphe 2.

5.   Si la recherche effectuée à l’aide des données énumérées au paragraphe 2 du présent article et la vérification effectuée au titre du paragraphe 4 du présent article montrent que le VIS contient des données sur la personne, l’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre est autorisée à consulter les données ci-après contenues dans le ou les dossiers de demande concernés ainsi que dans le ou les dossiers de demande liés au sens de l’article 8, paragraphe 4, uniquement aux fins visées au paragraphe 1 du présent article:

a)

les informations relatives au statut du visa et les données extraites du formulaire de demande, visées à l’article 9, points 2) et 4);

b)

les photographies;

c)

les données visées aux articles 10, 13 et 14 et qui ont été saisies concernant le ou les visas délivrés, annulés ou retirés ou les visas dont la durée de validité a été prolongée.

6.   En cas d’échec de la vérification prévue au paragraphe 4 ou 5 du présent article, ou de doute quant à l’identité de la personne ou l’authenticité du document de voyage, le personnel dûment autorisé des autorités compétentes pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre a accès aux données conformément à l’article 20, paragraphes 1 et 2. L’autorité compétente pour effectuer les vérifications aux frontières auxquelles l’EES est mis en œuvre peut lancer à partir de l’EES l’identification visée à l’article 20.»

9)

À l’article 20, paragraphe 1, le premier alinéa est remplacé par le texte suivant:

«1.   Uniquement aux fins de l’identification de toute personne qui pourrait avoir été enregistrée précédemment dans le VIS ou qui ne remplirait pas ou ne remplirait plus les conditions d’entrée, de séjour ou de résidence sur le territoire des États membres, les autorités compétentes pour vérifier, aux frontières auxquelles l’EES est mis en œuvre ou sur le territoire des États membres, si les conditions d’entrée, de séjour ou de résidence sur le territoire des États membres sont remplies sont autorisées à effectuer des recherches dans le VIS à l’aide des empreintes digitales de cette personne.»

10)

À l’article 26, le paragraphe suivant est inséré:

«3 bis.   À partir du 30 juin 2018, l’instance gestionnaire est responsable des tâches visées au paragraphe 3.»

11)

L’article 34 est modifié comme suit:

a)

le paragraphe 1 est remplacé par le texte suivant:

«1.   Chaque État membre et l’instance gestionnaire établissent des relevés de toutes les opérations de traitement de données effectuées dans le VIS. Ces relevés indiquent:

a)

l’objet de l’accès visé à l’article 6, paragraphe 1, et aux articles 15 à 22;

b)

la date et l’heure;

c)

le type de données transmises conformément aux articles 9 à 14;

d)

le type de données utilisées à des fins d’interrogation conformément à l’article 15, paragraphe 2, à l’article 17, à l’article 18, paragraphes 1 et 6, à l’article 19, paragraphe 1, à l’article 19 bis, paragraphes 2 et 4, à l’article 20, paragraphe 1, à l’article 21, paragraphe 1, et à l’article 22, paragraphe 1; et

e)

la dénomination de l’autorité qui a saisi ou extrait les données.

En outre, chaque État membre établit des relevés du personnel dûment autorisé à saisir ou à extraire les données.»

b)

le paragraphe suivant est inséré:

«1 bis.   Pour les opérations énumérées à l’article 17 bis, un relevé de chaque opération de traitement de données effectuée dans le VIS et l’EES est établi conformément au présent article et à l’article 46 du règlement (UE) 2017/2226.»

Le règlement (CE) no 1077/2011 est modifié comme suit:

1)

À l’article 1er, le paragraphe 2 est remplacé par le texte suivant:

«2.   L’agence est chargée de la gestion opérationnelle du système d’information Schengen de deuxième génération (SIS II), du système d’information sur les visas (VIS), d’Eurodac et du système d’entrée/de sortie créé par le règlement (UE) 2017/2226 du Parlement européen et du Conseil (*5) (EES).

(*5)  Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) no 767/2008 et (UE) no 1077/2011 (JO L 327 du 9.12.2017, p. 20).»."

2)

L’article suivant est inséré:

«Article 5 bis

Tâches liées à l’EES

En ce qui concerne l’EES, l’agence s’acquitte:

a)

des tâches qui lui sont confiées en vertu du règlement (UE) 2017/2226;

b)

des tâches liées à la formation relative à l’utilisation technique de l’EES.»

3)

À l’article 7, les paragraphes 5 et 6 sont remplacés par le texte suivant:

«5.   Les tâches liées à la gestion opérationnelle de l’infrastructure de communication peuvent être confiées à des entités ou organismes extérieurs de droit privé, conformément au règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil (*6). Dans ce cas, le fournisseur de réseau est tenu de respecter les mesures de sécurité visées au paragraphe 4 du présent article et n’a aucunement accès aux données opérationnelles du SIS II, du VIS, d’Eurodac ou de l’EES, ni aux échanges SIRENE relatifs au SIS II.

6.   Sans préjudice des contrats existants concernant le réseau du SIS II, du VIS, d’Eurodac et de l’EES, la gestion des clés de chiffrement reste de la compétence de l’agence et ne peut être confiée à aucune entité extérieure de droit privé.

(*6)  Règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif aux règles financières applicables au budget général de l’Union et abrogeant le règlement (CE, Euratom) no 1605/2002 du Conseil (JO L 298 du 26.10.2012, p. 1).»"

4)

À l’article 8, le paragraphe 1 est remplacé par le texte suivant:

«1.   L’agence suit les progrès de la recherche présentant de l’intérêt pour la gestion opérationnelle du SIS II, du VIS, d’Eurodac, de l’EES et d’autres systèmes d’information à grande échelle.»

5)

À l’article 12, le paragraphe 1 est modifié comme suit:

a)

le point suivant est inséré:

«s bis)

adopte les rapports sur le développement de l’EES, au titre de l’article 72, paragraphe 2, du règlement (UE) 2017/2226.»

b)

le point t) est remplacé par le texte suivant:

«t)

adopte les rapports sur le fonctionnement technique du SIS II au titre de l’article 50, paragraphe 4, du règlement (CE) no 1987/2006 et de l’article 66, paragraphe 4, de la décision 2007/533/JAI, sur le fonctionnement technique du VIS au titre de l’article 50, paragraphe 3, du règlement (CE) no 767/2008 et de l’article 17, paragraphe 3, de la décision 2008/633/JAI et sur le fonctionnement technique de l’EES au titre de l’article 72, paragraphe 4, du règlement (UE) 2017/2226.»

c)

le point v) est remplacé par le texte suivant:

«v)

formule des observations sur les rapports établis par le Contrôleur européen de la protection des données concernant les audits réalisés au titre de l’article 45, paragraphe 2, du règlement (CE) no 1987/2006, de l’article 42, paragraphe 2, du règlement (CE) no 767/2008, de l’article 31, paragraphe 2, du règlement (UE) no 603/2013 et de l’article 56, paragraphe 2, du règlement (UE) 2017/2226 et veille à ce qu’il soit donné dûment à la suite de ces audits;»

d)

le point suivant est inséré:

«x bis)

publie des statistiques relatives à l’EES conformément à l’article 63 du règlement (UE) 2017/2226;»

e)

le point suivant est inséré:

«z bis)

veille à la publication annuelle de la liste des autorités compétentes au titre de l’article 65, paragraphe 2, du règlement (UE) 2017/2226;»

6)

À l’article 15, le paragraphe 4 est remplacé par le texte suivant:

«4.   Europol et Eurojust peuvent assister aux réunions du conseil d’administration en tant qu’observateurs lorsqu’une question concernant le SIS II, liée à l’application de la décision 2007/533/JAI, figure à l’ordre du jour. Europol peut également assister aux réunions du conseil d’administration en tant qu’observateur lorsqu’une question concernant le VIS, liée à l’application de la décision 2008/633/JAI, lorsqu’une question concernant Eurodac, liée à l’application du règlement (UE) no 603/2013, ou lorsqu’une question concernant l’EES, liée à l’application du règlement (UE) 2017/2226, est à l’ordre du jour.»

7)

L’article 17 est modifié comme suit:

a)

au paragraphe 5, le point g) est remplacé par le texte suivant:

«g)

sans préjudice de l’article 17 du statut, fixe les exigences de confidentialité à respecter pour se conformer à l’article 17 du règlement (CE) no 1987/2006, à l’article 17 de la décision 2007/533/JAI, à l’article 26, paragraphe 9, du règlement (CE) no 767/2008, à l’article 4, paragraphe 4, du règlement (UE) no 603/2013, ainsi qu’à l’article 37, paragraphe 4, du règlement (UE) 2017/2226;»

b)

au paragraphe 6, le point suivant est ajouté:

«k)

les rapports sur l’état d’avancement du développement de l’EES visés à l’article 72, paragraphe 2, du règlement (UE) 2017/2226.»

8)

L’article 19 est modifié comme suit:

a)

au paragraphe 1, le point suivant est inséré:

«d bis)

le groupe consultatif sur l’EES;»

b)

le paragraphe 3 est remplacé par le texte suivant:

«Europol et Eurojust peuvent chacun désigner un représentant au sein du groupe consultatif sur le SIS II. Europol peut également désigner un représentant au sein des groupes consultatifs sur le VIS, sur Eurodac et sur l’EES.»

CHAPITRE IX : DISPOSITIONS FINALES

1.   Le personnel dûment autorisé des autorités compétentes des États membres, de la Commission et de l’eu-LISA est autorisé à consulter les données énumérées ci-après, uniquement aux fins de l’établissement de rapports et de statistiques, sans que l’identification individuelle ne soit permise et conformément aux garanties liées à la non-discrimination visées à l’article 10, paragraphe 2:

a)

les informations relatives au statut du visa;

b)

la nationalité, le sexe et l’année de naissance du ressortissant de pays tiers;

c)

la date et le point de passage frontalier de l’entrée dans un État membre et la date et le point de passage frontalier de la sortie d’un État membre;

d)

le type de document de voyage et le code à trois lettres du pays de délivrance;

e)

le nombre de personnes identifiées comme ayant dépassé la durée du séjour autorisé visées à l’article 12, les nationalités des personnes identifiées comme ayant dépassé la durée du séjour autorisé et le point de passage frontalier d’entrée;

f)

les données introduites au sujet de toute autorisation de séjour retirée ou de tout séjour dont la durée de validité a été prolongée;

g)

le code à trois lettres de l’État membre de délivrance du visa, le cas échéant;

h)

le nombre de personnes exemptées de l’obligation de donner leurs empreintes digitales en vertu de l’article 17, paragraphes 3 et 4;

i)

le nombre de ressortissants de pays tiers auxquels l’entrée a été refusée, la nationalité de ces ressortissants, le type de frontière (terrestre, aérienne ou maritime) du point de passage frontalier auquel l’entrée a été refusée et les raisons pour lesquelles l’entrée leur a été refusée conformément à l’article 18, paragraphe 6, point d).

Le personnel dûment autorisé de l’Agence européenne de garde-frontières et de garde-côtes créée par le règlement (UE) 2016/1624 du Parlement européen et du Conseil (44) est autorisé à consulter les données visées au premier alinéa du présent paragraphe aux fins de l’analyse des risques et de l’évaluation de la vulnérabilité visées aux articles 11 et 13 dudit règlement.

2.   Aux fins du paragraphe 1 du présent article, l’eu-LISA crée, met en œuvre et héberge sur ses sites techniques, à un niveau central, un répertoire des données contenant les données mentionnées au paragraphe 1 du présent article. Ce répertoire des données ne permet pas d’identifier des individus mais permet aux autorités énumérées au paragraphe 1 du présent article d’obtenir des rapports et statistiques personnalisables sur les entrées et sorties, les refus d’entrée et les dépassements de la durée du séjour autorisé par les ressortissants de pays tiers, afin d’améliorer l’efficacité des vérifications aux frontières, d’aider les consulats à traiter les demandes de visa et de favoriser l’élaboration, au niveau de l’Union, d’une politique en matière de migration fondée sur des données concrètes. Ce répertoire des données contient également des statistiques journalières sur les données visées au paragraphe 4. L’accès à ce répertoire des données est accordé de manière sécurisée via TESTA, moyennant un contrôle de l’accès et des profils d’utilisateur spécifiques utilisés exclusivement aux fins de l’élaboration de rapports et de statistiques. Les modalités précises de l’utilisation de ce répertoire des données et les règles relatives à la protection et à la sécurité des données applicables à ce répertoire sont adoptées en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

3.   Les procédures mises en place par l’eu-LISA pour assurer le suivi du développement et du fonctionnement de l’EES, mentionnées à l’article 72, paragraphe 1, incluent la possibilité de produire régulièrement des statistiques aux fins de ce suivi.

4.   Chaque trimestre, l’eu-LISA publie des statistiques sur l’EES, en indiquant notamment le nombre, la nationalité, l’âge, le sexe, la durée de séjour et le point de passage frontalier d’entrée des personnes ayant dépassé la durée du séjour autorisé, des ressortissants de pays tiers auxquels l’entrée a été refusée, y compris les motifs du refus, et des ressortissants de pays tiers dont l’autorisation de séjour a été retirée ou prorogée, ainsi que le nombre de ressortissants de pays tiers exemptés de l’obligation de donner leurs empreintes digitales.

5.   À la fin de chaque année, des statistiques sont compilées dans un rapport annuel pour l’année écoulée. Les statistiques présentent une ventilation des données par État membre. Le rapport est publié et transmis au Parlement européen, au Conseil, à la Commission, à l’Agence européenne de garde-frontières et de garde-côtes, au Contrôleur européen de la protection des données et aux autorités de contrôle nationales.

6.   L’eu-LISA fournit à la Commission, à sa demande, des statistiques relatives à certains aspects spécifiques ayant trait à la mise en œuvre du présent règlement, ainsi que les statistiques visées au paragraphe 3.

1.   Les coûts afférents à la création et au fonctionnement du système central de l’EES, de l’infrastructure de communication, de l’IUN, du service internet et du répertoire des données visé à l’article 63, paragraphe 2, sont à la charge du budget général de l’Union.

2.   Les coûts afférents à l’intégration de l’infrastructure frontalière nationale existante et à sa connexion avec l’IUN, ainsi qu’à l’hébergement de l’IUN, sont à la charge du budget général de l’Union.

Les coûts suivants ne sont pas admissibles:

a)

coûts afférents au bureau de gestion de projet des États membres (réunions, missions, locaux);

b)

hébergement des systèmes d’information nationaux (espace, mise en œuvre, électricité, refroidissement);

c)

fonctionnement des systèmes d’information nationaux (contrats conclus avec les opérateurs et contrats d’appui);

d)

personnalisation des systèmes de vérification et de police aux frontières existants pour les systèmes d’entrée/de sortie nationaux;

e)

gestion des projets relatifs aux systèmes d’entrée/de sortie nationaux;

f)

conception, développement, mise en œuvre, fonctionnement et maintenance des réseaux de communication nationaux;

g)

systèmes de contrôle automatisé aux frontières, systèmes en libre-service et portes électroniques.

3.   Les coûts afférents aux points d’accès centraux visés aux articles 29 et 30 sont à la charge de chaque État membre et d’Europol, respectivement. Les coûts afférents à la connexion de ces points d’accès centraux à l’IUN et à l’EES sont à la charge de chaque État membre et d’Europol, respectivement.

4.   Chaque État membre et Europol mettent en place et gèrent, à leurs propres frais, l’infrastructure technique nécessaire à la mise en œuvre du chapitre IV, et prennent en charge les coûts résultant de l’accès à l’EES à cette fin.

1.   Les États membres notifient à la Commission le nom de l’autorité qui est considérée comme responsable du traitement, conformément à l’article 39.

2.   Les États membres notifient à la Commission et à l’eu-LISA le nom des autorités compétentes visées à l’article 9, paragraphe 2, qui bénéficient d’un accès pour introduire, rectifier, compléter, effacer, consulter des données ou effectuer des recherches dans celles-ci. Au plus tard trois mois après la mise en service de l’EES conformément à l’article 66, l’eu-LISA publie au Journal officiel de l’Union européenne une liste consolidée desdites autorités. Les États membres notifient aussi sans tarder toute modification y afférente. En cas de telles modifications, l’eu-LISA publie une fois par an une version consolidée mise à jour desdites informations.

3.   Les États membres notifient à la Commission et à l’eu-LISA leurs autorités désignées et leurs points d’accès centraux visés à l’article 29 et notifient sans tarder toute modification y afférente.

4.   Europol notifie à la Commission et à l’eu-LISA l’autorité qu’elle a désignée et son point d’accès central visés à l’article 30 et notifie sans tarder toute modification y afférente.

5.   L’eu-LISA informe la Commission des résultats concluants des essais visés à l’article 66, paragraphe 1, point b).

6.   La Commission publie les informations visées aux paragraphes 1, 3 et 4 au Journal officiel de l’Union européenne. En cas de modifications apportées à celles-ci, la Commission publie une fois par an une version consolidée mise à jour desdites informations. La Commission gère un site internet public mis à jour en permanence contenant les informations en question.

1.   La Commission décide de la date à laquelle l’EES doit être mis en service, une fois les conditions suivantes remplies:

a)

les mesures prévues à l’article 36 et à l’article 50, paragraphes 4 et 5, ont été adoptées;

b)

L’eu-LISA a déclaré que les essais complets de l’EES qu’elle doit mener en coopération avec les États membres étaient concluants;

c)

les États membres ont validé les aménagements techniques et juridiques nécessaires pour recueillir et transmettre à l’EES les données visées aux articles 16 à 20 et les ont notifiés à la Commission;

d)

les États membres ont adressé à la Commission les notifications visées à l’article 65, paragraphes 1, 2 et 3.

2.   L’EES est mis en œuvre par:

a)

les États membres qui appliquent l’acquis de Schengen dans son intégralité; et

b)

les États membres qui n’appliquent pas encore l’acquis de Schengen dans son intégralité, mais pour lesquels toutes les conditions suivantes sont remplies:

i)

la vérification conformément aux procédures d’évaluation de Schengen applicables a été réalisée avec succès;

ii)

les dispositions de l’acquis de Schengen relatives au SIS ont été mises en application conformément au traité d’adhésion correspondant; et

iii)

les dispositions de l’acquis de Schengen relatives au VIS qui sont nécessaires pour la mise en œuvre de l’EES conformément au présent règlement ont été mises en application conformément au traité d’adhésion correspondant.

3.   Un État membre auquel le paragraphe 2 ne s’applique pas est connecté à l’EES dès que les conditions visées au paragraphe 1, points b), c) et d), et au paragraphe 2, point b), sont remplies. La Commission fixe la date de mise en service de l’EES dans ces États membres.

4.   La Commission informe le Parlement européen et le Conseil des résultats des essais effectués conformément au paragraphe 1, point b).

5.   La décision de la Commission visée aux paragraphes 1 et 3 est publiée au Journal officiel de l’Union européenne.

6.   Les États membres et Europol commencent à utiliser l’EES à partir de la date fixée par la Commission conformément au paragraphe 1 ou, le cas échéant, au paragraphe 3.

Le présent règlement n’affecte pas les règles particulières applicables aux villes de Ceuta et Melilla, définies dans la déclaration du Royaume d’Espagne relative aux villes de Ceuta et Melilla figurant dans l’acte final de l’accord d’adhésion du Royaume d’Espagne à la convention d’application de l’accord de Schengen du 14 juin 1985.

1.   La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.   Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

L’eu-LISA crée un groupe consultatif chargé de lui apporter son expertise en rapport avec l’EES, notamment dans le contexte de l’élaboration de son programme de travail et de son rapport d’activité annuels. Durant la phase de conception et de développement de l’EES, l’article 37, paragraphe 2, s’applique.

L’eu-LISA s’acquitte des tâches liées à la fourniture d’une formation relative à l’utilisation technique de l’EES conformément au règlement (UE) no 1077/2011.

La Commission, en étroite coopération avec les États membres, l’eu-LISA et les autres agences concernées, met à disposition un manuel pratique sur la mise en œuvre et la gestion de l’EES. Le manuel pratique contient des orientations techniques et opérationnelles, des recommandations et des bonnes pratiques. La Commission adopte le manuel pratique sous la forme d’une recommandation.

1.   L’eu-LISA veille à ce que des procédures soient mises en place pour suivre le développement de l’EES par rapport aux objectifs fixés en matière de planification et de coûts et suivre le fonctionnement de l’EES par rapport aux objectifs fixés en matière de résultats techniques, de coût-efficacité, de sécurité et de qualité du service.

2.   Au plus tard le 30 juin 2018, et tous les six mois par la suite pendant la phase de développement de l’EES, l’eu-LISA présente un rapport au Parlement européen et au Conseil sur l’état d’avancement du développement du système central de l’EES, des interfaces uniformes et de l’infrastructure de communication entre le système central de l’EES et les interfaces uniformes. Ce rapport contient des informations détaillées sur les coûts encourus et sur tout risque susceptible d’avoir une incidence sur les coûts globaux de l’EES qui sont à la charge du budget général de l’Union conformément à l’article 64, paragraphe 1, et à l’article 64, paragraphe 2, premier alinéa. Une fois l’EES développé, l’eu-LISA présente un rapport au Parlement européen et au Conseil, qui explique en détail la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et justifie les éventuels écarts.

3.   Aux fins de la maintenance technique, l’eu-LISA a accès aux informations nécessaires concernant les opérations de traitement de données effectuées dans l’EES.

4.   Deux ans après la mise en service de l’EES, puis tous les deux ans par la suite, l’eu-LISA présente au Parlement européen, au Conseil et à la Commission un rapport sur le fonctionnement technique de l’EES, y compris sur sa sécurité.

5.   Trois ans après la mise en service de l’EES, puis tous les quatre ans, la Commission réalise une évaluation globale de l’EES. Cette évaluation globale comprend:

a)

une évaluation de l’application du présent règlement;

b)

un examen des résultats obtenus par rapport aux objectifs fixés et de l’impact sur les droits fondamentaux;

c)

une évaluation permettant de déterminer si les principes de base de l’EES restent valables;

d)

une évaluation de l’adéquation des données biométriques requises pour assurer le bon fonctionnement de l’EES;

e)

une évaluation de l’utilisation de cachets dans les circonstances exceptionnelles visées à l’article 21, paragraphe 2;

f)

une évaluation de la sécurité de l’EES;

g)

une évaluation de toute conséquence ayant une incidence disproportionnée sur la fluidité du trafic aux points de passage frontaliers ou un impact sur le budget de l’Union.

Les évaluations comprennent les éventuelles recommandations nécessaires. La Commission transmet le rapport d’évaluation au Parlement européen, au Conseil, au Contrôleur européen de la protection des données et à l’Agence des droits fondamentaux de l’Union européenne créée par le règlement (CE) no 168/2007 du Conseil (45).

Ces évaluations comprennent également une évaluation du recours aux dispositions visées à l’article 60, en ce qui concerne à la fois la fréquence - nombre de ressortissants de pays tiers y ayant recours par État membre, nationalité de ces personnes et durée moyenne de leur séjour - et les effets concrets, et tient compte de toute évolution de la politique de l’Union en matière de visas. Le premier rapport d’évaluation peut prévoir des options en vue d’abandonner progressivement les dispositions visées à l’article 60 et de les remplacer par un instrument de l’Union. Il est assorti, au besoin, d’une proposition législative modifiant les dispositions visées à l’article 60.

6.   Les États membres et Europol fournissent à l’eu-LISA et à la Commission les informations nécessaires à l’établissement des rapports visés aux paragraphes 4 et 5, dans le respect des indicateurs quantitatifs prédéfinis par la Commission, l’eu-LISA ou les deux. Ces informations ne peuvent porter préjudice aux méthodes de travail ni comprendre des indications sur les sources, les membres du personnel ou les enquêtes des autorités désignées.

7.   L’eu-LISA fournit à la Commission les informations nécessaires pour élaborer les évaluations globales visées au paragraphe 5.

8.   Tout en respectant les dispositions du droit national relatives à la publication d’informations sensibles, chaque État membre et Europol établissent des rapports annuels sur l’efficacité de l’accès aux données de l’EES à des fins répressives, comportant des informations et des statistiques sur:

a)

la question de savoir si la consultation effectuée avait pour objet une identification ou une fiche d’entrée/de sortie, et le type d’infraction terroriste ou d’infraction pénale grave qui a conduit à la consultation;

b)

les motifs invoqués pour étayer la suspicion que la personne concernée relève du présent règlement;

c)

les motifs invoqués pour ne pas lancer la consultation des systèmes automatisés d’identification par empreintes digitales des autres États membres, prévus par la décision 2008/615/JAI, conformément à l’article 32, paragraphe 2, point b), du présent règlement;

d)

le nombre de demandes d’accès à l’EES à des fins répressives;

e)

le nombre et le type de cas dans lesquels l’accès à l’EES à des fins répressives a permis une identification positive;

f)

le nombre et le type de cas dans lesquels les procédures d’urgence visées à l’article 31, paragraphe 2, et à l’article 32, paragraphe 2, deuxième alinéa, ont été utilisées, y compris les cas dans lesquels l’urgence n’a pas été validée par la vérification a posteriori effectuée par le point d’accès central.

Une solution technique est mise à la disposition des États membres afin de faciliter la collecte des données énumérées au premier alinéa du présent paragraphe en vue de générer les statistiques visées au présent paragraphe. La Commission adopte des actes d’exécution concernant les spécifications de la solution technique. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 68, paragraphe 2.

Les rapports annuels des États membres et d’Europol sont transmis à la Commission au plus tard le 30 juin de l’année suivante.

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Il est applicable à partir de la date décidée par la Commission conformément à l’article 66, paragraphe 1, du présent règlement, à l’exception des dispositions suivantes, lesquelles s’appliquent à partir du 29 décembre 2017: les articles 5, 36, 37, 38, 43 et 51 du présent règlement; l’article 61, point 5), du présent règlement en ce qui concerne l’article 17 bis, paragraphe 5, du règlement (CE) no 767/2008; l’article 61, point 10), du présent règlement en ce qui concerne l’article 26, paragraphe 3 bis, du règlement (CE) no 767/2008; et les articles 62, 64, 65, 66, 68, 69 et 70 et l’article 72, paragraphe 2, du présent règlement.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.

Fait à Bruxelles, le 30 novembre 2017.

Par le Parlement européen

Le président

A. TAJANI

Par le Conseil

Le président

M. MAASIKAS

(1)  JO C 487 du 28.12.2016, p. 66.

(2)  Position du Parlement européen du 25 octobre 2017 (non encore parue au Journal officiel) et décision du Conseil du 20 novembre 2017.

(3)  Décision 2004/512/CE du Conseil du 8 juin 2004 portant création du système d’information sur les visas (VIS) (JO L 213 du 15.6.2004, p. 5).

(4)  Règlement (CE) no 1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II) (JO L 381 du 28.12.2006, p. 4).

(5)  Règlement (UE) 2016/399 du Parlement européen et du Conseil du 9 mars 2016 concernant un code de l’Union relatif au régime de franchissement des frontières par les personnes (code frontières Schengen) (JO L 77 du 23.3.2016, p. 1).

(6)  Règlement (UE) no 1077/2011 du Parlement européen et du Conseil du 25 octobre 2011 portant création d’une agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (JO L 286 du 1.11.2011, p. 1).

(7)  Règlement (CE) no 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d’information sur les visas (VIS) et l’échange de données entre les États membres sur les visas de court séjour (règlement VIS) (JO L 218 du 13.8.2008, p. 60).

(8)  Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6).

(9)  Décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d’arrêt européen et aux procédures de remise entre États membres (JO L 190 du 18.7.2002, p. 1).

(10)  Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).

(11)  Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

(12)  Décision 2008/615/JAI du Conseil du 23 juin 2008 relative à l’approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière (JO L 210 du 6.8.2008, p. 1).

(13)  Directive 2004/38/CE du Parlement européen et du Conseil du 29 avril 2004 relative au droit des citoyens de l’Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres, modifiant le règlement (CEE) no 1612/68 et abrogeant les directives 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE et 93/96/CEE (JO L 158 du 30.4.2004, p. 77).

(14)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(15)  Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(16)  Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(17)  JO L 239 du 22.9.2000, p. 19.

(18)  Règlement (UE) no 515/2014 du Parlement européen et du Conseil du 16 avril 2014 portant création, dans le cadre du Fonds pour la sécurité intérieure, de l’instrument de soutien financier dans le domaine des frontières extérieures et des visas et abrogeant la décision no 574/2007/CE (JO L 150 du 20.5.2014, p. 143).

(19)  Décision 2000/365/CE du Conseil du 29 mai 2000 relative à la demande du Royaume-Uni de Grande-Bretagne et d’Irlande du Nord de participer à certaines dispositions de l’acquis de Schengen (JO L 131 du 1.6.2000, p. 43).

(20)  Décision 2002/192/CE du Conseil du 28 février 2002 relative à la demande de l’Irlande de participer à certaines dispositions de l’acquis de Schengen (JO L 64 du 7.3.2002, p. 20).

(21)  JO L 176 du 10.7.1999, p. 36.

(22)  Décision 1999/437/CE du Conseil du 17 mai 1999 relative à certaines modalités d’application de l’accord conclu par le Conseil de l’Union européenne et la République d’Islande et le Royaume de Norvège sur l’association de ces États à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (JO L 176 du 10.7.1999, p. 31).

(23)  JO L 53 du 27.2.2008, p. 52.

(24)  Décision 2008/146/CE du Conseil du 28 janvier 2008 relative à la conclusion, au nom de la Communauté européenne, de l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (JO L 53 du 27.2.2008, p. 1).

(25)  Décision 2008/149/JAI du Conseil du 28 janvier 2008 relative à la conclusion, au nom de l’Union européenne, de l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (JO L 53 du 27.2.2008, p. 50).

(26)  JO L 160 du 18.6.2011, p. 21.

(27)  Décision 2011/350/UE du Conseil du 7 mars 2011 relative à la conclusion, au nom de l’Union européenne, du protocole entre l’Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l’adhésion de la Principauté de Liechtenstein à l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen en ce qui concerne la suppression des contrôles aux frontières intérieures et la circulation des personnes (JO L 160 du 18.6.2011, p. 19).

(28)  Décision 2011/349/UE du Conseil du 7 mars 2011 relative à la conclusion, au nom de l’Union européenne, du protocole entre l’Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l’adhésion de la Principauté de Liechtenstein à l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen, notamment en ce qui concerne la coopération judiciaire en matière pénale et la coopération policière (JO L 160 du 18.6.2011, p. 1).

(29)  Décision 2010/365/UE du Conseil du 29 juin 2010 sur l’application à la République de Bulgarie et à la Roumanie des dispositions de l’acquis de Schengen relatives au système d’information Schengen (JO L 166 du 1.7.2010, p. 17).

(30)  Décision (UE) 2017/733 du Conseil du 25 avril 2017 sur l’application en République de Croatie des dispositions de l’acquis de Schengen relatives au système d’information Schengen (JO L 108 du 26.4.2017, p. 31).

(31)  Décision (UE) 2017/1908 du Conseil du 12 octobre 2017 concernant la mise en application en République de Bulgarie et en Roumanie de certaines dispositions de l’acquis de Schengen relatives au système d’information sur les visas (JO L 269 du 19.10.2017, p. 39).

(32)  Règlement (CE) no 1030/2002 du Conseil du 13 juin 2002 établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers (JO L 157 du 15.6.2002, p. 1).

(33)  Directive 2014/66/UE du Parlement européen et du Conseil du 15 mai 2014 établissant les conditions d’entrée et de séjour des ressortissants de pays tiers dans le cadre d’un transfert temporaire intragroupe (JO L 157 du 27.5.2014, p. 1).

(34)  Directive (UE) 2016/801 du Parlement européen et du Conseil du 11 mai 2016 relative aux conditions d’entrée et de séjour des ressortissants de pays tiers à des fins de recherche, d’études, de formation, de volontariat et de programmes d’échange d’élèves ou de projets éducatifs et de travail au pair (JO L 132 du 21.5.2016, p. 21).

(35)  Directive 2013/32/UE du Parlement européen et du Conseil du 26 juin 2013 relative à des procédures communes pour l’octroi et le retrait de la protection internationale (JO L 180 du 29.6.2013, p. 60).

(36)  Règlement (CE) no 377/2004 du Conseil du 19 février 2004 relatif à la création d’un réseau d’officiers de liaison «Immigration» (JO L 64 du 2.3.2004, p. 1).

(37)  Règlement (CE) no 810/2009 du Parlement européen et du Conseil du 13 juillet 2009 établissant un code communautaire des visas (code des visas) (JO L 243 du 15.9.2009, p. 1).

(38)  Décision 2008/602/CE de la Commission du 17 juin 2008 définissant l’architecture physique ainsi que les caractéristiques des interfaces nationales et de l’infrastructure de communication entre le système central d’information sur les visas et les interfaces nationales pour la phase de développement (JO L 194 du 23.7.2008, p. 3).

(39)  Règlement (CE) no 693/2003 du Conseil du 14 avril 2003 portant création d’un document facilitant le transit (FTD) et d’un document facilitant le transit ferroviaire (FRTF) et modifiant les instructions consulaires communes et le manuel commun (JO L 99 du 17.4.2003, p. 8).

(40)  Directive 2008/115/CE du Parlement européen et du Conseil du 16 décembre 2008 relative aux normes et procédures communes applicables dans les États membres au retour des ressortissants de pays tiers en séjour irrégulier (JO L 348 du 24.12.2008, p. 98).

(41)  Décision 2008/633/JAI du Conseil du 23 juin 2008 concernant l’accès en consultation au système d’information sur les visas (VIS) par les autorités désignées des États membres et par l’Office européen de police (Europol) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu’aux fins des enquêtes en la matière (JO L 218 du 13.8.2008, p. 129).

(42)  JO L 56 du 4.3.1968, p. 1.

(43)  Règlement (UE) no 1053/2013 du Conseil du 7 octobre 2013 portant création d’un mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen et abrogeant la décision du comité exécutif du 16 septembre 1998 concernant la création d’une commission permanente d’évaluation et d’application de Schengen (JO L 295 du 6.11.2013, p. 27).

(44)  Règlement (UE) 2016/1624 du Parlement européen et du Conseil du 14 septembre 2016 relatif au corps européen de garde-frontières et de garde-côtes, modifiant le règlement (UE) 2016/399 du Parlement européen et du Conseil et abrogeant le règlement (CE) no 863/2007 du Parlement européen et du Conseil, le règlement (CE) no 2007/2004 du Conseil et la décision 2005/267/CE du Conseil (JO L 251 du 16.9.2016, p. 1).

(45)  Règlement (CE) no 168/2007 du Conseil du 15 février 2007 portant création d’une Agence des droits fondamentaux de l’Union européenne (JO L 53 du 22.2.2007, p. 1).

ANNEXES

LISTE DES ORGANISATIONS INTERNATIONALES VISÉES À L’ARTICLE 41, PARAGRAPHE 2

1.

Les organisations des Nations unies (comme le HCR);

2.

l’Organisation internationale pour les migrations (OIM);

3.

le Comité international de la Croix-Rouge.

DISPOSITIONS SPÉCIFIQUES APPLICABLES AUX RESSORTISSANTS DE PAYS TIERS QUI FRANCHISSENT LA FRONTIÈRE SUR LA BASE D’UN FTD EN COURS DE VALIDITÉ

1.

Par dérogation à l’article 16, paragraphes 1 à 3, du présent règlement, pour les ressortissants de pays tiers qui franchissent une frontière sur la base d’un FTD en cours de validité, les autorités frontalières:

a)

créent ou mettent à jour le dossier individuel de ces personnes, qui contient les données visées à l’article 17, paragraphe 1, points a), b) et c), du présent règlement. En outre, le dossier individuel indique que le ressortissant de pays tiers concerné est titulaire d’un FTD. Cette indication a automatiquement pour effet d’ajouter, dans la fiche d’entrée/de sortie, une référence aux entrées multiples que comporte un FTD;

b)

introduisent dans une fiche d’entrée/de sortie, pour chaque entrée effectuée sur la base d’un FTD en cours de validité, les données mentionnées à l’article 16, paragraphe 2, points a), b) et c), du présent règlement, ainsi qu’une mention précisant que l’entrée a été effectuée sur la base d’un FTD.

Aux fins du calcul de la durée maximale du transit, la date et l’heure d’entrée sont considérées comme le point de départ de cette durée. La date et l’heure d’expiration du transit autorisé est calculée automatiquement par l’EES, conformément à l’article 3, paragraphe 2, du règlement (CE) no 693/2003.

2.

En outre, lors de la première entrée sur la base d’un FTD, la date d’expiration de la validité du FTD est introduite dans la fiche d’entrée/de sortie.

3.

L’article 16, paragraphes 3 et 4, s’applique mutatis mutandis aux ressortissants de pays tiers titulaires d’un FTD.

4.

Aux fins des vérifications aux frontières auxquelles l’EES est mis en œuvre et sur le territoire des États membres, les ressortissants de pays tiers qui franchissent la frontière sur la base d’un FTD en cours de validité sont soumis mutatis mutandis aux vérifications et identifications prévues aux articles 23 et 26 du présent règlement et à l’article 19 bis du règlement (CE) no 767/2008 qui sont applicables aux ressortissants de pays tiers qui ne sont pas soumis à l’obligation de visa.

5.

Les points 1 à 4 ne s’appliquent pas aux ressortissants de pays tiers qui franchissent la frontière sur la base d’un FTD, pour autant que l’ensemble des conditions suivantes soient remplies:

a)

effectuent un transit en train; et

b)

ils ne débarquent pas du train sur le territoire d’un État membre.

×

* Requis