Règlement32023R2117
Règlement (UE) 2023/2117
| CELEX | 32023R2117 |
| Type | Règlement |
| Date | jeudi 12 octobre 2023 |
Texte intégral
 | Journal officiel | FR Séries L |
| 2023/2117 | 13.10.2023 |
RÈGLEMENT D’EXÉCUTION (UE) 2023/2117 DE LA COMMISSION
du 12 octobre 2023
établissant les règles nécessaires et les exigences détaillées pour le fonctionnement et la gestion d’un répertoire d’informations en application du règlement (UE) 2018/1139 du Parlement européen et du Conseil
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) no 2111/2005, (CE) no 1008/2008, (UE) no 996/2010, (UE) no 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) no 216/2008 et (CE) no 552/2004 du Parlement européen et du Conseil ainsi que le règlement (CEE) no 3922/91 (1) du Conseil, et notamment son article 74, paragraphe 8,
considérant ce qui suit:
| (1) | Conformément à l’article 74 du règlement (UE) 2018/1139, les informations relatives à l’aviation civile doivent être stockées dans un répertoire électronique, établi et géré par l’Agence de l’Union européenne pour la sécurité aérienne (ci-après l’«Agence»), rassemblant les informations nécessaires pour garantir une coopération efficace entre l’Agence et les autorités nationales compétentes concernant l’exécution de leurs tâches liées à la certification, à la supervision et au contrôle de l’application en vertu dudit règlement. |
| (2) | Il est important que la Commission et les autorités nationales compétentes participent à l’établissement et à la gestion du répertoire par l’Agence. Par conséquent, le présent règlement devrait établir un mécanisme de consultation approprié afin de garantir que l’Agence consulte les États membres et la Commission avant de prendre des décisions concernant le répertoire. |
| (3) | Afin de garantir une utilisation efficace du répertoire, sa structure devrait prévoir une base de données centrale, une infrastructure de communication et une interface nécessaire pour y communiquer des informations, y rechercher des informations et accéder aux informations stockées dans le répertoire. Afin de faciliter la coopération entre les entités qui utilisent le répertoire, il devrait exister une interface unique pour les demandes directes soumises par les utilisateurs au répertoire et une interface unique pour les autorités nationales compétentes. |
| (4) | Le répertoire devrait faciliter l’intégration des autorités compétentes dans celui-ci et la communication avec celui-ci grâce à des spécifications fonctionnelles appropriées concernant l’interface, la sécurité, le réseau et les informations relatives à la configuration de l’application. |
| (5) | L’Agence devrait veiller à ce que le répertoire soit maintenu dans des conditions de fonctionnement adéquates afin d’éviter les défaillances techniques et d’assurer le fonctionnement continu du répertoire et la gestion de ses données. |
| (6) | Les informations devraient être transmises au répertoire et échangées par son intermédiaire sur la base de formats d’information communément acceptés et proposés par l’Agence, afin que les informations échangées soient comprises de la même manière par les entités communicantes. |
| (7) | Des mises à jour régulières des informations stockées dans le répertoire devraient permettre un meilleur échange de ces informations. À cet égard, l’Agence et les autorités nationales compétentes devraient élaborer une méthode pour mettre régulièrement à jour les informations stockées dans le répertoire. |
| (8) | Le présent règlement devrait également établir les exigences relatives à la classification des informations afin que les informations stockées dans le répertoire soient traitées en fonction des paramètres de respect de la vie privée, de confidentialité, d’intégrité et de disponibilité. Une réévaluation de cette classification des informations devrait être effectuée à chaque fois que l’utilisation des données change afin de s’assurer que la classification est à jour. |
| (9) | Il est important d’identifier les parties intéressées susceptibles de recevoir des informations stockées dans le répertoire et de fixer des règles détaillées pour le traitement de leurs demandes d’accès. À cette fin, le présent règlement devrait fixer les conditions nécessaires à la diffusion de ces informations aux parties intéressées. Il convient également de veiller à ce que les informations reçues par les parties intéressées soient gérées de manière confidentielle. |
| (10) | Un système de traçabilité des informations stockées dans le répertoire devrait garantir la protection contre l’accès non autorisé à ces informations et permettre le contrôle des opérations de traitement des informations, y compris des données à caractère personnel, afin de garantir l’intégrité des données et la sécurité des informations. |
| (11) | Les personnels des utilisateurs autorisés qui doivent accéder au répertoire devraient être autorisés par leur organisation conformément aux procédures documentées. Les personnels des centres aéromédicaux devraient être autorisés par leurs autorités nationales compétentes respectives. |
| (12) | Les exigences relatives à la protection des infrastructures et des données concernées devraient être élaborées dans le cadre des politiques de gestion de la sécurité. Il convient en particulier d’élaborer des mesures de gestion de la sécurité ainsi que des plans de continuité et de reprise des activités. Les utilisateurs autorisés devraient s’assurer que les mesures de sécurité nécessaires sont mises en place et qu’ils coopèrent à cet égard. |
| (13) | Les données à caractère personnel ne devraient être traitées que dans le but de garantir une coopération efficace entre l’Agence et les autorités nationales compétentes concernant l’exécution de leurs tâches liées à la certification, à la supervision et au contrôle de l’application. Le présent règlement devrait fixer des modalités relatives à la protection des données à caractère personnel stockées dans le répertoire et échangées par son intermédiaire. Ce traitement doit être conforme aux règlements (UE) 2016/679 (2) et (UE) 2018/1725 (3) du Parlement européen et du Conseil et préciser les responsabilités des entités compétentes désignées pour garantir la protection des données. |
| (14) | Il est nécessaire de déterminer et de répartir les responsabilités respectives des entités qui traitent des données à caractère personnel dans le répertoire, y compris la saisie de données à caractère personnel dans le répertoire et l’extraction de ces données. Le règlement (UE) 2018/1139 prévoit que l’Agence, en coopération avec la Commission et les autorités nationales compétentes, établit et gère un répertoire d’informations nécessaires pour garantir une coopération efficace entre l’Agence et les autorités nationales compétentes. En particulier, elles coopèrent afin d’assurer la gestion de la sécurité du répertoire. Par conséquent, elles devraient être des responsables conjoints du traitement des données à caractère personnel aux fins de la gestion du répertoire. Il est donc nécessaire de définir les responsabilités des responsables conjoints du traitement et leurs obligations spécifiques à l’égard des personnes concernées. |
| (15) | Chaque autorité nationale compétente, l’Agence et la Commission devraient être les seuls responsables des opérations de traitement des données effectuées dans leurs propres systèmes en tant qu’utilisateurs autorisés. Les opérations de traitement des données devraient être effectuées conformément aux règlements (UE) 2016/679 et (UE) 2018/1725. Étant donné que les données échangées dans le répertoire proviennent de chaque responsable du traitement, ces responsables devraient notifier à l’Agence toute violation de données à caractère personnel dans leur système qui pourrait compromettre la sécurité, la confidentialité, la disponibilité ou l’intégrité des données à caractère personnel traitées dans le répertoire. |
| (16) | L’obligation de notification mutuelle des violations de sécurité, y compris des violations de données à caractère personnel, devrait être précisée pour permettre aux responsables conjoints du traitement de détecter les incidents de sécurité et les violations de données dans les meilleurs délais. Chaque responsable du traitement devrait veiller à ce que ces violations soient signalées. |
| (17) | Si nécessaire, l’exercice des droits de la personne concernée peut être limité dans certaines conditions précises. Ces restrictions devraient être proportionnées et limitées dans leur portée et dans le temps. La personne concernée devrait pouvoir exercer ses droits à une défense efficace et à un recours juridictionnel. |
| (18) | Afin d’assurer la sécurité aérienne, l’autorité compétente peut nécessiter un accès aux dossiers antérieurs, y compris ceux contenant des données à caractère personnel, notamment un accès aux données médicales justifiant les périodes d’inaptitude antérieures ou imposant des limitations. Par conséquent, et sans préjudice de durées plus courtes prévues par le droit national, une durée de conservation maximale de 10 ans à compter de la date d’expiration du document (certificats de santé, rapports médicaux, licences, etc.), y compris tout document nécessaire aux procédures visées par le règlement (UE) 2018/1139, devrait garantir que ces données peuvent toujours être mises à la disposition des utilisateurs autorisés. |
| (19) | Les données à caractère personnel consignées dans le répertoire sont des informations essentielles qui devraient être conservées à des fins d’archivage dans l’intérêt de la sécurité aérienne et à des fins de recherche historique. Après l’expiration de la durée de conservation, ou d’une durée plus courte éventuellement prévue par le droit national, il convient de supprimer immédiatement les données à caractère personnel du répertoire. Les données à caractère personnel peuvent être conservées à des fins d’archivage dans l’intérêt public de la sécurité aérienne et à des fins de recherche historique en dehors du répertoire. |
| (20) | Afin de garantir la bonne application du présent règlement, les États membres et les entités concernées devraient disposer d’un délai suffisant pour adapter leurs procédures au nouveau cadre réglementaire avant que le présent règlement ne s’applique. Par conséquent, certaines exigences de l’annexe I devraient être applicables à des dates ultérieures en fonction de la catégorie d’objets d’information et de la date de délivrance. |
| (21) | L’Agence a élaboré un projet d’acte d’exécution pour le fonctionnement et la gestion d’un répertoire d’informations en application du règlement (UE) 2018/1139 et l’a soumis à la Commission avec l’avis no 04/2022 (4), conformément à l’article 75, paragraphe 2, point b), et à l’article 76, paragraphe 1, du règlement (UE) 2018/1139. |
| (22) | Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 29 mars 2023. |
| (23) | Les mesures prévues dans le présent règlement sont conformes à l’avis du comité pour l’application de règles de sécurité communes dans le domaine de l’aviation civile, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
CHAPITRE I
DISPOSITIONS GÉNÉRALES
Article premier
Objet
Le présent règlement établit les règles et procédures applicables au fonctionnement et à la gestion d’un répertoire d’informations nécessaires pour garantir une coopération efficace entre l’Agence et les autorités nationales compétentes concernant l’exécution de leurs tâches liées à la certification, à la supervision et au contrôle de l’application en vertu du règlement (UE) 2018/1139.
Article 2
Définitions
1. Aux fins du présent règlement, les définitions du règlement (UE) 2018/1139, du règlement (UE) 2016/679, du règlement (UE) 2018/1725, des règlements d’exécution (UE) 2019/947 (5) et (UE) 2021/664 (6) de la Commission s’appliquent.
2. De plus, on entend par:
| a) | «utilisateurs autorisés», la Commission, l’Agence, les autorités nationales compétentes et toute autorité compétente des États membres chargée d’enquêter sur les accidents et incidents dans l’aviation civile, conformément à l’article 74, paragraphe 6, première phrase, du règlement (UE) 2018/1139; |
| b) | «interface», le point où des systèmes indépendants et souvent sans rapport entre eux se connectent et agissent ou communiquent les uns avec les autres; |
| c) | «personnels autorisés», les personnels des utilisateurs autorisés ayant reçu l’accès au répertoire; |
| d) | «catégorie d’objets d’information», le type d’informations relevant du champ d’application de l’article 74, paragraphe 1, du règlement (UE) 2018/1139 devant être échangées et consultées par les utilisateurs autorisés; |
| e) | «objet d’information», un élément d’information échangé individuellement, qui correspond toujours à la catégorie d’objets d’information et est compatible avec son format d’information; |
| f) | «format d’information», une structure prédéfinie de la catégorie d’objets d’information consistant en un ensemble de champs correspondant à des types détaillés de contenu dans chaque catégorie d’objets d’information et à des vocabulaires composés d’ensembles limités de valeurs autorisées associées à chaque champ; |
| g) | «partie intéressée», les autorités publiques des institutions, organes et organismes de l’Union européenne et les autorités publiques des États membres, les personnes physiques et morales qui font l’objet d’un objet d’information tel que défini à l’annexe I du présent règlement et les entités qualifiées accréditées en vertu de l’article 69 du règlement (UE) 2018/1139. |
CHAPITRE II
ÉTABLISSEMENT, GESTION ET MAINTENANCE DU RÉPERTOIRE
Article 3
Établissement du répertoire
1. Le répertoire est composé d’une interface de stockage, d’une interface d’échange et d’une interface d’accès utilisateur.
2. L’interface de stockage visée au paragraphe 1 se compose comme suit:
| a) | une base de données centrale contenant les informations visées à l’article 74, paragraphe 1, du règlement (UE) 2018/1139, englobant à la fois les informations existantes et les informations nouvelles; et |
| b) | un historique des modifications apportées aux informations et leur statut actuel/archivé. |
3. L’interface d’échange visée au paragraphe 1 se compose comme suit:
| a) | une infrastructure de communication qui contient des interfaces de programmation (API) sécurisées pour l’émission, la modification, l’interrogation/la lecture et l’archivage d’informations entre les systèmes des utilisateurs autorisés et le répertoire; et |
| b) | des règles de vérification de la qualité des informations qui garantissent la cohérence, l’intégrité et l’exactitude des informations stockées. |
4. L’interface d’accès utilisateur visée au paragraphe 1 permet de rechercher et de lire en ligne et en toute sécurité les informations stockées. Elle n’est accessible qu’au personnel autorisé.
5. L’Agence élabore la documentation nécessaire à l’appui de l’intégration des utilisateurs autorisés dans le répertoire. Cette documentation comprend:
| a) | des normes API et des mécanismes d’échange; |
| b) | des informations relatives à la sécurité, au réseau et à la configuration de l’application nécessaires pour communiquer avec le répertoire; |
| c) | des règles spécifiant la structure et le contenu valides des informations échangées avec le répertoire. |
6. L’Agence prévoit également un environnement d’essai dans lequel les utilisateurs autorisés peuvent tester la fonctionnalité et les performances de l’interface d’échange entre leurs systèmes et le répertoire.
Article 4
Gestion du répertoire
1. L’Agence est responsable de la gestion opérationnelle du répertoire et stocke les informations dans le répertoire de manière sécurisée.
2. Les utilisateurs autorisés transmettent et échangent les informations par l’intermédiaire du répertoire au moyen des interfaces et assurent une connexion en ligne sécurisée entre leur(s) système(s) et le répertoire.
3. Avant de prendre une décision concernant la gestion opérationnelle du répertoire ou de la rendre publique, l’Agence consulte la Commission et les autorités nationales compétentes.
4. Les personnels autorisés des examinateurs aéromédicaux et des centres aéromédicaux nationaux transmettent et échangent les informations consignées dans le répertoire par l’intermédiaire de leurs autorités nationales compétentes, conformément à l’article 10, paragraphe 4, du présent règlement.
Article 5
Maintenance du répertoire
1. L’Agence assure la maintenance du répertoire et veille à ce qu’il fonctionne correctement en ce qui concerne le respect de la vie privée, la confidentialité, l’intégrité et la disponibilité.
2. L’Agence sauvegarde systématiquement le répertoire et ses données.
CHAPITRE III
RÈGLES RELATIVES AUX INFORMATIONS STOCKÉES DANS LE RÉPERTOIRE
Article 6
Formats et standards des informations
1. Les utilisateurs autorisés transmettent, mettent à jour régulièrement et échangent des informations par l’intermédiaire du répertoire sur la base de formats d’information communément acceptés et proposés par l’Agence.
2. Les formats d’information sont standardisés par catégorie d’information. Les utilisateurs autorisés ne transmettent les objets d’information au répertoire que dans le format d’information propre à cette catégorie d’information.
3. La liste des catégories d’objets d’information figure à l’annexe I.
Article 7
Classification des informations
1. L’Agence, en coopération avec la Commission et les autorités nationales compétentes, classe les catégories d’objets d’information en fonction des mentions suivantes:
| a) | respect de la vie privée: données à caractère non personnel, données à caractère personnel non sensibles ou données à caractère personnel sensibles; |
| b) | confidentialité; aucune incidence, incidence limitée, incidence importante, incidence catastrophique; |
| c) | intégrité; aucune incidence, incidence limitée, incidence importante, incidence catastrophique; |
| d) | disponibilité: aucune incidence, incidence limitée, incidence importante, incidence catastrophique. |
2. Les définitions détaillées des mentions visées au paragraphe 1 figurent à l’annexe II.
3. L’Agence, en coopération avec la Commission et les autorités nationales compétentes, réévalue, chaque fois qu’elle le juge nécessaire, la classification des informations afin de s’assurer qu’elle est toujours appropriée compte tenu de l’évolution de l’utilisation des informations.
Article 8
Modalités de diffusion des informations
1. L’Agence peut, à la demande d’une partie intéressée, fournir à cette dernière les informations contenues dans le répertoire, sous réserve des conditions spécifiques d’utilisation énoncées dans le présent article.
2. Une demande de diffusion des informations contenues dans le répertoire est présentée sous une forme et selon des modalités établies par l’Agence.
3. Lorsqu’elle reçoit une demande, l’Agence vérifie:
| a) | que la demande émane d’une partie intéressée; et |
| b) | que la partie intéressée démontre que les informations demandées sont strictement nécessaires à ses propres activités. |
4. L’Agence évalue si la demande est justifiée et, si les conditions énoncées au paragraphe 5 sont remplies, elle fournit à la partie intéressée les informations demandées.
5. L’Agence ne fournit les informations demandées à la partie intéressée que dans les conditions suivantes:
| a) | la partie intéressée n’a pas accès à l’intégralité du contenu du répertoire; |
| b) | les informations sont strictement nécessaires aux activités de la partie intéressée; |
| c) | aucune donnée à caractère personnel n’est diffusée à moins que ces données ne concernent la partie intéressée elle-même ou que cette diffusion soit strictement nécessaire à l’exécution des activités de la partie intéressée. |
6. L’Agence met à la disposition des utilisateurs autorisés une liste actualisée des demandes reçues et des suites qu’elle leur a réservées.
7. La partie intéressée:
| a) | n’utilise les informations qu’aux fins précisées dans le formulaire de demande; |
| b) | ne divulgue pas les informations reçues sans l’autorisation des utilisateurs autorisés; |
| c) | prend les mesures nécessaires pour assurer la confidentialité des informations reçues. |
Article 9
Enregistrement des opérations de traitement des données
1. L’Agence veille à ce que toutes les opérations de traitement des données soient enregistrées. Les registres fournissent les informations suivantes:
| a) | la finalité de la demande d’accès au répertoire; |
| b) | l’identification de l’utilisateur autorisé qui extrait les données; |
| c) | la date et l’heure exacte des opérations de traitement des données; |
| d) | l’identification du personnel autorisé à effectuer la recherche. |
2. L’Agence n’utilise les registres des opérations de traitement des données que pour contrôler la légalité de l’accès aux informations et pour garantir l’intégrité et la sécurité des données. Les registres contiennent les données strictement nécessaires à cette fin, dans le respect du principe de minimisation des données énoncé à l’article 89 du règlement (UE) 2016/679 et à l’article 13 du règlement (UE) 2018/1725. Les registres sont effacés après la fin de la procédure de contrôle ou au plus tard après un an.
3. Sur demande, la Commission et les autorités nationales compétentes se voient accorder l’accès aux registres afin d’évaluer la légalité de l’accès aux informations, de contrôler la légalité des opérations de traitement des données et de garantir l’intégrité et la sécurité des données.
Article 10
Accès au répertoire
1. Les utilisateurs autorisés veillent à ce que seul le personnel autorisé ait accès au répertoire.
2. Les utilisateurs autorisés veillent à ce que leur personnel ait accès aux informations sur la base des mentions relatives au respect de la vie privée et de la confidentialité de la catégorie d’objets d’information conformément à l’article 7.
3. Les utilisateurs autorisés établissent et maintiennent:
| a) | une liste du personnel autorisé; |
| b) | les procédures relatives à l’accès au répertoire; ces procédures sont conformes aux exigences légales appliquées à l’accès et au traitement des informations prévues par le droit de l’Union et le droit national. Les utilisateurs autorisés documentent les conditions d’accès du personnel autorisé au répertoire. |
4. Les examinateurs aéromédicaux et les centres aéromédicaux veillent à ce que seul le personnel autorisé par leur autorité nationale compétente ait accès au répertoire.
Article 11
Gestion de la sécurité du répertoire
1. L’Agence protège l’infrastructure du répertoire et ses informations, et élabore:
| a) | un plan de gestion de la sécurité; |
| b) | un plan de continuité des activités; |
| c) | un plan de reprise des activités. |
2. L’Agence empêche le traitement non autorisé des informations et toute lecture, copie, modification, retrait ou suppression non autorisés des informations contenues dans le répertoire ou lors de la diffusion vers le répertoire ou à partir de celui-ci ou lors de la transmission, notamment au moyen de techniques de cryptage appropriées.
3. L’Agence veille à ce que les personnes autorisées à avoir accès au répertoire n’aient accès qu’aux informations couvertes par leur autorisation d’accès, uniquement au moyen d’identifiants individuels et selon des modes d’accès confidentiels.
4. Les utilisateurs autorisés gèrent la sécurité de leurs informations avant et pendant la transmission au répertoire et protègent leur infrastructure en veillant:
| a) | à l’établissement d’interfaces entre leurs systèmes et le répertoire; |
| b) | à l’exploitation et à la maintenance des interfaces; |
| c) | à la formation appropriée du personnel autorisé à la sécurité des informations, à la législation applicable en matière de protection des données et aux droits fondamentaux avant qu’il ne soit autorisé à traiter les informations stockées dans le répertoire. |
5. Les utilisateurs autorisés coopèrent pour assurer la gestion de la sécurité du répertoire.
CHAPITRE IV
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
Article 12
Traitement des données à caractère personnel stockées dans le répertoire
1. Les données à caractère personnel stockées dans le répertoire ne sont traitées que pour assurer la coopération entre les utilisateurs autorisés, nécessaire à l’exécution de leurs tâches liées à la certification, à la supervision et au contrôle de l’application. Le traitement est limité à ce qui est nécessaire à l’exécution de leurs tâches et à ce qui est strictement nécessaire et proportionné aux objectifs poursuivis.
2. Les données à caractère personnel sont accessibles et traitées conformément aux spécifications techniques du répertoire.
3. Les obligations de protection des données dès la conception et par défaut sont prises en considération tant au moment de la détermination des moyens de traitement qu’au moment du traitement lui-même.
4. L’Agence procède à des examens réguliers pour s’assurer de l’efficacité de toutes les garanties mises en œuvre en matière de protection des données.
Article 13
Responsabilité conjointe des données à caractère personnel traitées dans le répertoire
1. Les utilisateurs autorisés sont les responsables conjoints du traitement des données à caractère personnel stockées dans le répertoire.
2. Chaque responsable conjoint du traitement est responsable du respect des critères de classification des informations pour chaque objet d’information traité dans le répertoire.
Article 14
Répartition des responsabilités entre les responsables conjoints du traitement
1. La Commission est chargée des tâches suivantes:
| a) | assurer la mise en place, le fonctionnement et l’administration du répertoire; |
| b) | assurer la gestion continue du répertoire, en particulier les droits d’accès ainsi que la sécurité et la confidentialité des données à caractère personnel traitées dans le répertoire, conformément aux articles 4, 5, 9 et 12; |
| c) | communiquer toute violation de données à caractère personnel au sein du répertoire aux utilisateurs autorisés, au Contrôleur européen de la protection des données et, le cas échéant, aux personnes concernées, conformément à l’article 34 du règlement (UE) 2018/1725; |
| d) | définir et mettre en œuvre les moyens techniques permettant aux personnes concernées d’exercer leurs droits conformément au règlement (UE) 2018/1725; |
2. Les autorités nationales compétentes et la Commission sont chargées des tâches suivantes:
| a) | traiter les données à caractère personnel dans le répertoire conformément aux interfaces de stockage, d’échange et d’accès utilisateur visées à l’article 3 et aux exigences de sécurité définies à l’article 12, paragraphe 4; |
| b) | assurer la sécurité de tout traitement de données à caractère personnel en dehors du répertoire lorsque ces données sont traitées aux fins du traitement par l’intermédiaire du répertoire ou en relation avec celui-ci; |
| c) | désigner le personnel autorisé qui aura accès au dépôt conformément à l’article 11 et le communiquer à l’Agence; |
| d) | faire office de point de contact pour les personnes concernées relevant de leur responsabilité en tant que responsables uniques du traitement, y compris lorsqu’elles exercent leurs droits, en utilisant si nécessaire les moyens techniques fournis par l’Agence conformément au paragraphe 1, point d), ou par l’intermédiaire des canaux de communication désignés au point 3; |
| e) | notifier à l’Agence tout incident de sécurité, y compris les violations de données à caractère personnel, susceptible de compromettre la sécurité, la confidentialité, la disponibilité ou l’intégrité des données à caractère personnel transmises et/ou stockées dans le répertoire; |
| f) | notifier toute violation de données à caractère personnel traitées dans le répertoire aux autorités de contrôle compétentes respectives et, le cas échéant, aux personnes concernées, conformément aux articles 33 et 34 du règlement (UE) 2016/679 et à l’article 34 du règlement (UE) 2018/1725, selon le cas. |
3. Chaque responsable conjoint du traitement désigne:
| a) | un point de contact avec une boîte fonctionnelle pour la communication entre eux; |
| b) | un point de contact pour aider les personnes concernées à exercer leurs droits conformément à la législation applicable en matière de protection des données. |
4. Lorsqu’un responsable conjoint du traitement reçoit une demande d’une personne concernée qui ne relève pas de sa responsabilité, il la transmet rapidement au responsable conjoint du traitement compétent. Sur demande, les responsables conjoints du traitement se prêtent mutuellement assistance pour le traitement des demandes des personnes concernées et se répondent dans les meilleurs délais, et au plus tard dans les 15 jours qui suivent la réception d’une demande d’assistance.
5. Si, afin de s’acquitter des obligations qui lui incombent en application des articles 33 et 34 du règlement (UE) 2016/679 ou de l’article 34 du règlement (UE) 2018/1725, un responsable du traitement a besoin de s’informer auprès d’un autre responsable du traitement, il adresse une demande spécifique à la boîte fonctionnelle visée au paragraphe 3, point a). L’autre responsable du traitement met tout en œuvre pour fournir les informations demandées.
Article 15
Restrictions
1. Les responsables du traitement ne peuvent restreindre l’exercice des droits des personnes concernées que dans la mesure et pour la durée strictement nécessaires à la sauvegarde de la sécurité de l’aviation civile. L’exercice des droits des personnes concernées ne peut être restreint que dans les situations suivantes:
| a) | les enquêtes, inspections ou activités de suivi en cours visées à l’article 75, paragraphe 2, point e), du règlement (UE) 2018/1139 et effectuées par l’Agence dans le cadre de ses responsabilités, ou par les autorités compétentes comme le prévoit le droit national ou le droit de l’Union; |
| b) | les procédures en cours devant la Cour de justice de l’Union européenne ou toute autre juridiction compétente en vertu du droit national ou international; |
2. lorsque la Commission et l’Agence sont les responsables du traitement, elles peuvent également restreindre l’exercice des droits des personnes concernées uniquement dans la mesure et pour la durée strictement nécessaires à la sauvegarde de la sécurité de l’aviation civile, dans le cas d’enquêtes de sécurité informatique en cours ayant une incidence directe ou indirecte sur le fonctionnement du répertoire.
3. Toutes les restrictions font l’objet d’une évaluation de la nécessité et de la proportionnalité et sont limitées dans leur portée et dans le temps.
4. La personne concernée dont l’exercice des droits est restreint est informée des motifs et de l’étendue de la restriction.
Article 16
Durée de conservation des données à caractère personnel
1. Les utilisateurs autorisés:
| a) | conservent les données à caractère personnel au sein du répertoire pendant une durée maximale de 10 ans à compter de la date d’expiration du document ou de la date à laquelle il n’est plus valide, y compris tout document nécessaire aux procédures visées par le règlement (UE) 2018/1139, à moins qu’une durée différente ne soit requise par le droit national. |
| b) | suppriment les données à caractère personnel du répertoire dès que la durée de conservation est écoulée. |
2. Le répertoire dispose des moyens techniques nécessaires pour permettre:
| a) | l’effacement automatisé des données à caractère personnel à l’expiration de la durée de conservation; |
| b) | la pseudonymisation automatisée, ou d’autres solutions techniques d’effet équivalent, des données à caractère personnel stockées à des fins d’archivage. |
Article 17
Traitement à des fins d’archivage et de recherche historique dans l’intérêt de la sécurité aérienne
1. À l’issue de la durée de conservation, l’Agence peut conserver les données à caractère personnel du répertoire dans un registre distinct à des fins d’archivage et de recherche historique.
2. Ces données à caractère personnel sont limitées à ce qui est strictement nécessaire pour atteindre les objectifs d’archivage et de recherche dans l’intérêt de la sécurité aérienne et en respectant le principe de minimisation des données énoncé à l’article 89 du règlement (UE) 2016/679 et à l’article 13 du règlement (UE) 2018/1725
3. L’Agence élabore un protocole d’accès au registre. Les articles 4, 5 et 9 à 12 s’appliquent à ce registre.
CHAPITRE V
DISPOSITIONS FINALES
Article 18
Entrée en vigueur et application
1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
2. Les chapitres I et II s’appliquent à partir du 1er avril 2025.
3. Les exigences concernant les objets d’information délivrés après l’entrée en vigueur du présent règlement sont applicables:
| a) | à partir du 1er janvier 2027 pour la catégorie groupe A de l’annexe I; |
| b) | à partir du 1er janvier 2028 pour la catégorie groupe B de l’annexe I; |
| c) | à partir du 1er janvier 2029 pour la catégorie groupe C de l’annexe I; |
4. Les exigences relatives aux objets d’information valables et délivrés avant l’entrée en vigueur du présent règlement, énumérés à l’annexe I, sont applicables à partir du 1er janvier 2029.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 12 octobre 2023.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 212 du 22.8.2018, p. 1.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(3) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(4) https://www.easa.europa.eu/document-library/opinions
(5) Règlement d’exécution (UE) 2019/947 de la Commission du 24 mai 2019 concernant les règles et procédures applicables à l’exploitation d’aéronefs sans équipage à bord (JO L 152 du 11.6.2019, p. 45).
(6) Règlement d’exécution (UE) 2021/664 de la Commission du 22 avril 2021 relatif à un cadre réglementaire pour l’U-space (JO L 139 du 23.4.2021, p. 161).
ANNEXE I
LISTE DES OBJETS D’INFORMATION
| Objets d’information | Groupes prioritaires |
| Licences | |
| Licence de pilote | A |
| Validation de la licence de pilote | A |
| Licence de contrôleur de la circulation aérienne | A |
| Licence de maintenance d’aéronefs | B |
| Certificats — Organisations | |
| Certificat de prestataire de services GTA/SNA | B |
| Certificat d’exploitant d’aérodrome | B |
| Certificat de transporteur aérien (AOC) | B |
| Certificat d’équipement d’aérodrome | B |
| Certificat de navigabilité (CofA) | B |
| Certificat de qualification des simulateurs d’entraînement au vol | C |
| Certificat allégé d’exploitant d’UAS (LUC) | A |
| Certificat d’exploitant d’UAS | C |
| Certificat de prestataire de services U-space (USSP) | B |
| Certificat de prestataire de services d’informations communes | B |
| Certificats — Personnel | |
| Certificat d’aptitude théorique de télépilote | C |
| Certificat d’examinateur | A |
| Certificat d’instructeur | A |
| Certificat de centre d’évaluation des compétences linguistiques | C |
| Certificats — Produits/équipements | |
| Certificat de type (TC) | B |
| Certificat de type supplémentaire (STC) | B |
| Certificat de type restreint (RTC) | B |
| Fiche de caractéristiques du certificat de type | C |
| Certificat acoustique | C |
| Certificat acoustique restreint | C |
| Certificat d’examen de navigabilité (ARC) | C |
| Certificat de navigabilité restreint (RCofA) | C |
| Approbation de changements majeurs/mineurs | C |
| Approbation pour la conception d’une réparation majeure/mineure | C |
| Certificat de systèmes GTA/SNA et composants GTA/SNA | B |
| Certificats — Médicaux | |
| Certificat d’examinateur aéromédical | A |
| Certificat de centre aéromédical (AeMC) | A |
| Certificat d’examinateur aéromédical de contrôleur de la circulation aérienne (ATCO) | A |
| Certificat médical de contrôleur de la circulation aérienne (ATCO) | A |
| Formulaire de demande de certificat médical de pilote | A |
| Formulaires d’examen médical pour pilote et certificats médicaux à l’appui | A |
| Certificat médical de pilote | A |
| Déclarations | |
| Déclaration de prestataire de services d’information de vol (FIS) | B |
| Déclaration de prestataire de services de gestion d’aire de trafic (AMS) | B |
| Déclaration de prestataire de services d’assistance en escale | B |
| Systèmes GTA/SNA et composants GTA/SNA — déclaration | B |
| Systèmes GTA/SNA et composants GTA/SNA — déclaration de conformité | B |
| Déclaration d’opérateur en tant que fournisseur de formation technique STS | C |
| Déclaration NCC et SPO d’exploitant d’aéronefs | C |
| Déclaration d’exploitation d’UAS selon un STS | A |
| Certificats et rapports | |
| Certificat de membre d’équipage de cabine | C |
| Rapport médical de membre d’équipage de cabine | C |
| Exemptions | |
| Durée d’exemption (cumulée) supérieure à huit mois — décision | B |
| Durée d’exemption (cumulée) supérieure à huit mois — notification | B |
| Durée d’exemption (cumulée) supérieure à huit mois — recommandation | B |
| Durée d’exemption (cumulée) jusqu’à huit mois — notification | A |
| Exemption de la détention d’un certificat GTA/SNA en tant que prestataire — décision | C |
| Exemption de la détention d’un certificat GTA/SNA en tant que prestataire — notification | C |
| Exemption de la détention d’un certificat GTA/SNA en tant que prestataire | C |
| Agréments | |
| Autorisation de vol — agrément des conditions de vol | A |
| Autorisation de vol | A |
| Agrément du rapport du «maintenance review board» (MRB) | C |
| Examens théoriques (ECQB) | C |
| Agrément d’organisme chargé de tâches combinées de navigabilité (CAOA) — (Partie CAO) | B |
| Agrément d’organisme de gestion du maintien de la navigabilité (CAMAO) | B |
| Maintenance Organisation approvals (MOA) — Part M Subpart F Formulaire 3-MF de l’AESA | B |
| Agrément d’organisme de maintenance (MOA) (Partie 145) | B |
| Agrément d’organisme chargé de la formation à la maintenance (MTOA) (Partie 147) | B |
| Lettre d’agrément production hors agrément d’organisme de production | C |
| Agrément d’organisme de production (POA) | B |
| Autre procédure d’agrément d’organisme de conception (APDOA) | C |
| Agrément d’organisme de conception (DOA) | B |
| Agrément de conception ou de production d’équipements GTA/SNA | B |
| Organismes de formation des contrôleurs de la circulation aérienne (ATCO) | B |
| Agrément d’organisme de formation des membres d’équipage de cabine (CCTO) | C |
| Agrément d’organisme de formation (ATO) (pilote) | C |
| Organisme de formation déclaré (DTO) pour pilote | C |
| Agrément d’organisme de formation aux inspections au sol (RITO) | B |
| Décisions | |
| Consentement à appliquer des dispositions spécifiques du règlement de base aux activités répertoriées – décision | C |
| Validité et reconnaissance des certificats et des déclarations | C |
| Décision d’exemption des dispositions du règlement de base pour les aérodromes | C |
| Responsabilité conjointe pour les tâches relatives aux exploitants d’aéronefs exerçant des activités de transport aérien commercial | C |
| Proposition de modification d’acte d’exécution/d’acte délégué | C |
| Accréditation en tant qu’entité qualifiée | C |
| Proposition de régime individuel de spécification de temps de vol (IFTSS) | C |
| Notifications des plans concernant les limitations des temps de vol (FTL) | C |
| Confirmation par l’exploitant de l’acceptabilité des mesures d’atténuation actualisées et du respect des conditions locales en cas d’opérations transfrontières | C |
| Enregistrement de l’exploitant d’UAS | A |
| Décision d’un État membre sur la désignation d’un prestataire unique de services d’informations communes | B |
| Mesures | |
| Mesure immédiate prise en réaction à un grave problème de sécurité (décision) | B |
| Mesure immédiate prise en réaction à un grave problème de sécurité (recommandation) | B |
| Mesure immédiate prise en réaction à un grave problème de sécurité (notification) | B |
| Bulletins d’information sur les zones de conflit (CZIB) — Mesures | B |
| Consentement (article 2, paragraphe 6) à appliquer des dispositions spécifiques du règlement de base aux activités répertoriées (notification) | C |
| Consentement à appliquer des dispositions spécifiques du règlement de base pour les activités répertoriées (recommandation) | C |
| Refus d’exempter des catégories d’aéronefs de certaines dispositions du règlement de base | C |
| Autres | |
| Exploitant aérien — spécifications des opérations | C |
| Autorisation de l’exploitant d’un pays tiers (TCO) | B |
| Opérations commerciales spécialisées à haut risque — autorisation | B |
| Enregistrement d’un dispositif certifié d’UAS | A |
| Autorisation de spécification technique européenne (ETSOA) | C |
| Écart par rapport à la spécification technique européenne (ETSO) | C |
| Proposition de modification d’acte d’exécution/d’acte délégué — notification | B |
| Proposition de modification d’acte d’exécution/d’acte délégué — recommandation | B |
| Liste des États membres et des organisations ayant transféré des responsabilités, réattribué des tâches (conformément aux articles 64 et 65) et autorité compétente responsable après réattribution | C |
| Consignes de navigabilité (AD), consignes de sécurité, bulletins d’information sur la sécurité (SIB) | C |
| Projet de recommandations pour répondre aux lettres d’État de l’OACI | C |
| Liste de contrôle de conformité aux normes et pratiques recommandées (SARP) de l’OACI | C |
| Recommandations pour répondre aux lettres d’État de l’OACI | C |
| Demandes d’autres moyens de mise en conformité | C |
ANNEXE II
CLASSIFICATION DES INFORMATIONS
Définitions détaillées des mentions conformément à l’article 7, paragraphe 2
| a) | Le RESPECT DE LA VIE PRIVÉE est évalué selon les catégories suivantes:
|
| b) | La CONFIDENTIALITÉ est classée selon les niveaux suivants:
|
| c) | L’INTÉGRITÉ est classée selon les niveaux suivants:
|
| d) | La DISPONIBILITÉ est classée selon les niveaux suivants:
|
ELI: http://data.europa.eu/eli/reg_impl/2023/2117/oj
ISSN 1977-0693 (electronic edition)