1. L'État membre d'origine assure la sécurité des données avant et pendant leur transmission au système central.
2. Chaque État membre adopte, pour toutes les données traitées par ses autorités compétentes en vertu du présent règlement, les mesures nécessaires, y compris un plan de sécurité, pour:
a) |
assurer la protection physique des données, notamment en élaborant des plans d'urgence pour la protection des infrastructures critiques; |
b) |
empêcher l'accès de toute personne non autorisée aux installations nationales dans lesquelles l'État membre mène des opérations conformément à l'objet d'Eurodac (contrôle à l'entrée de l'installation); |
c) |
empêcher toute lecture, copie ou modification ou tout retrait non autorisé de supports de données (contrôle des supports de données); |
d) |
empêcher la saisie non autorisée de données, ainsi que tout examen, toute modification ou tout effacement non autorisé de données à caractère personnel conservées dans Eurodac (contrôle de la conservation); |
e) |
empêcher le traitement non autorisé de données dans Eurodac ainsi que toute modification ou tout effacement non autorisé de données traitées dans Eurodac (contrôle de la saisie des données); |
f) |
veiller à ce que les personnes autorisées à avoir accès à Eurodac n'aient accès qu'aux données pour lesquelles l'autorisation a été accordée, l'accès n'étant possible qu'avec un code d'identification individuel et unique et par un mode d'accès confidentiel (contrôle de l'accès aux données); |
g) |
veiller à ce que toutes les autorités ayant un droit d'accès à Eurodac créent des profils précisant les fonctions et responsabilités des personnes autorisées à avoir accès aux données, à les saisir, à les actualiser, à les effacer et à effectuer des recherches dans les données, et à ce que ces profils, ainsi que toute autre information utile que ces autorités peuvent demander à des fins de contrôle, soient mises sans tarder à la disposition des autorités nationales de contrôle visées à l'article 28 de la directive 95/46/CE et à l'article 25 de la décision-cadre 2008/977/JAI, à la demande de celles-ci (profils personnels); |
h) |
garantir qu'il soit possible de vérifier et de déterminer à quelles autorités les données à caractère personnel peuvent être transmises au moyen de matériel de transmission de données (contrôle de la transmission); |
i) |
garantir qu'il soit possible de vérifier et de déterminer quelles données ont été traitées dans Eurodac, à quel moment, par qui et dans quel but (contrôle de l'enregistrement des données); |
j) |
empêcher toute lecture, copie ou modification ou tout effacement non autorisé de données à caractère personnel pendant la transmission de ces données en provenance ou à destination d'Eurodac ou pendant le transport de supports de données, en particulier grâce à des techniques de cryptage adaptées (contrôle du transport); |
k) |
contrôler l'efficacité des mesures de sécurité visées au présent paragraphe et prendre les mesures d'organisation en matière de contrôle interne qui sont nécessaires pour garantir le respect du présent règlement (autocontrôle) et pour détecter automatiquement, dans un délai de 24 heures, tous les événements significatifs survenant dans l'application des mesures énumérées aux points b) à j) qui peuvent signaler un incident de sécurité. |
3. Les États membres informent l'agence des incidents de sécurité détectés dans leurs systèmes. L'agence informe les États membres, Europol et le Contrôleur européen de la protection des données en cas d'incidents de sécurité. Les États membres concernés, l'agence et Europol collaborent en cas d'incident de sécurité.
4. L'agence prend les mesures nécessaires à la réalisation des objectifs fixés au paragraphe 2 en ce qui concerne le fonctionnement d'Eurodac, y compris l'adoption d'un plan de sécurité.