Source: OJ L 333, 27.12.2022, pp. 164–198Current language: FR
- Resilience of critical entities
Basic legislative acts
- CER directive
Article 14 Vérification des antécédents
Summary What does Article 14 of the CER directive say?
This article establishes the framework for background checks on personnel connected to critical entities, sitting alongside the broader resilience obligations set out in Article 13.
It gives Member States the responsibility to define the conditions under which critical entities may request background checks, covering people in sensitive roles, those with access to premises or control systems, and candidates being considered for such positions.
The article sets clear boundaries on how these checks must be conducted, requiring them to be proportionate, strictly limited to what is necessary, and processed in line with EU data protection law.
It also mandates a minimum standard for what a background check must include, and requires Member States to use the European Criminal Records Information System to obtain criminal record information from other Member States.
Important points:
- Member States are required to define the conditions under which critical entities may submit background check requests, which must be duly reasoned and take into account the Member State risk assessment.
- Background checks must be proportionate, strictly limited to what is necessary, and carried out solely to evaluate a potential security risk to the critical entity concerned.
- Member States must use the European Criminal Records Information System when obtaining criminal record information from other Member States, with central authorities required to respond within 10 working days.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les États membres précisent les conditions dans lesquelles une entité critique est autorisée, dans des cas dûment motivés et compte tenu de l’évaluation des risques d’État membre, à présenter des demandes de vérification des antécédents des personnes:
qui occupent des fonctions sensibles au sein de l’entité critique ou au bénéfice de celle-ci, notamment en ce qui concerne la résilience de l’entité critique;
qui sont autorisées à avoir un accès direct ou à distance aux locaux et aux systèmes d’information ou de contrôle de l’entité critique, y compris en lien avec sa sécurité;
dont le recrutement est envisagé à des postes répondant aux critères énoncés au point a) ou b).
Les demandes visées au paragraphe 1 du présent article sont évaluées dans un délai raisonnable et traitées conformément au droit national et aux procédures nationales, ainsi qu’au droit de l’Union pertinent et applicable, y compris le règlement (UE) 2016/679 et la directive (UE) 2016/680 du Parlement européen et du Conseil(37). Les vérifications des antécédents sont proportionnées et strictement limitées à ce qui est nécessaire. Elles sont effectuées dans le seul but d’évaluer un risque potentiel pour la sécurité de l’entité critique concernée.
À tout le moins, une vérification des antécédents visée au paragraphe 1:
corrobore l’identité de la personne qui fait l’objet d’une demande de vérification des antécédents;
vérifie les casiers judiciaires de cette personne en ce qui concerne des infractions qui seraient pertinentes pour un poste déterminé;
Lors de la vérification des antécédents, les États membres, recourent au système européen d’information sur les casiers judiciaires conformément aux procédures prévues dans la décision-cadre 2009/315/JAI et, si cela est pertinent et applicable, dans le règlement (UE) 2019/816, aux fins de l’obtention des informations issues des casiers judiciaires détenus par d’autres États membres. Les autorités centrales visées à l’article 3, paragraphe 1, de la décision-cadre 2009/315/JAI et à l’article 3, point 5, du règlement (UE) 2019/816 répondent aux demandes d’informations dans un délai de dix jours ouvrables à compter de la date de réception de la demande conformément à l’article 8, paragraphe 1, de la décision-cadre 2009/315/JAI.
Relevant recitals
Considérant 32 Background checks to mitigate insider threats
Le risque que des membres du personnel des entités critiques ou de leurs contractants utilisent de manière abusive, par exemple leurs droits d’accès au sein de l’organisation de l’entité critique pour nuire et causer un préjudice est de plus en plus préoccupant. Les États membres devraient par conséquent préciser les conditions dans lesquelles les entités critiques sont autorisées, dans des cas dûment motivés et compte tenu des évaluations des risques d’États membres, à présenter des demandes de vérification des antécédents des personnes appartenant à des catégories spécifiques de leur personnel. Il convient de veiller à ce que les autorités concernées évaluent ces demandes dans un délai raisonnable et les traitent conformément au droit national et aux procédures nationales, et au droit de l’Union pertinent et applicable, y compris en matière de protection des données à caractère personnel. Afin de confirmer l’identité d’une personne faisant l’objet d’une vérification des antécédents, il convient que les États membres exigent une preuve de son identité, comme un passeport, une carte d’identité nationale ou une forme d’identification numérique, conformément au droit applicable.
Les vérifications des antécédents devraient également comprendre une vérification des casiers judiciaires de la personne concernée. Les États membres devraient utiliser le système européen d’information sur les casiers judiciaires conformément aux procédures prévues dans la décision-cadre 2009/315/JAI du Conseil(19) et, si cela est pertinent et applicable, dans le règlement (UE) 2019/816 du Parlement européen et du Conseil(20) aux fins d’obtenir des informations provenant des casiers judiciaires détenus par d’autres États membres. Les États membres pourraient aussi, et si cela est pertinent et applicable, s’appuyer sur le système d’information Schengen de deuxième génération (SIS II) établi par le règlement (UE) 2018/1862 du Parlement européen et du Conseil(21), sur des éléments de renseignement et sur toutes autres informations objectives disponibles qui pourraient être nécessaires pour déterminer si la personne concernée convient pour le poste pour lequel l’entité critique a demandé une vérification des antécédents.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
évaluation des risques
(En. risk assessment)
Definition
résilience
(En. resilience)
Definition
entité critique
(En. critical entity)
Definition
incident
Definition
service essentiel
(En. essential service)
Definition
risque
(En. risk)
Footnote 19
Footnote 37
Footnote 20
Footnote 21