02016R0794-20220628

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 02016R0794-20220628 - EN

Document 02016R0794-20220628

Help

Consolidated text: Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI

Access initial legal act

(

Legal status of the document In force

)

28/06/2022

ELI: http://data.europa.eu/eli/reg/2016/794/2022-06-28

Date of document:: 28/06/2022
Date of effect:: 28/06/2022

Author:: Not available
Form:: Texte consolidé

Link
Link
Link: Select all documents mentioning this document
Consolidation: basic act:: 32016R0794

HTML

PDF

02016R0794 — FR — 28.06.2022 — 001.001

Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document

►B

RÈGLEMENT (UE) 2016/794 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 11 mai 2016

relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI

(JO L 135 du 24.5.2016, p. 53)

Modifié par:

		Journal officiel
		n°	page	date
►M1	RÈGLEMENT (UE) 2022/991 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 8 juin 2022	L 169	1	27.6.2022

▼B

RÈGLEMENT (UE) 2016/794 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 11 mai 2016

CHAPITRE I

DISPOSITIONS GÉNÉRALES, OBJECTIFS ET MISSIONS D'EUROPOL

Article premier

Création de l'Agence de l'Union européenne pour la coopération des services répressifs

Une agence de l'Union européenne pour la coopération des services répressifs (Europol) est instituée en vue de soutenir la coopération entre les autorités répressives au sein de l'Union.

Europol instituée par le présent règlement se substitue et succède à Europol institué par la décision 2009/371/JAI.

Article 2

Définitions

Aux fins du présent règlement, on entend par:

«autorités compétentes des États membres», l'ensemble des autorités de police et autres services répressifs existant dans les États membres qui sont compétents, en vertu du droit national, en matière de prévention et de lutte contre les infractions pénales. Les autorités compétentes comprennent également d'autres autorités publiques existant dans les États membres qui sont compétentes, en vertu du droit national, en matière de prévention et de lutte contre les infractions pénales relevant de la compétence d'Europol;

«analyse stratégique», toutes les méthodes et techniques permettant de collecter, de stocker, de traiter et d'évaluer des informations en vue d'appuyer et d'élaborer une politique pénale qui contribue à prévenir et à lutter contre la criminalité de manière efficace et effective;

«analyse opérationnelle», toutes les méthodes et techniques permettant de collecter, de stocker, de traiter et d'évaluer des informations en vue d'appuyer des enquêtes pénales;

«organes de l'Union», les institutions, organes, missions, bureaux et agences institués par le traité sur l'Union européenne et le traité sur le fonctionnement de l'Union européenne ou sur la base de ces traités;

«organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord;

«parties privées», des entités et organismes constitués en vertu du droit d'un État membre ou d'un pays tiers, notamment des entreprises et des sociétés, des associations commerciales, des organisations sans but lucratif et autres personnes morales qui ne sont pas visées au point e);

«particuliers», toute personne physique;

▼M1 —————

▼B

«destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers;

▼M1 —————

▼M1

«données administratives à caractère personnel», les données à caractère personnel traitées par Europol autres que les données opérationnelles à caractère personnel;

▼M1

«données d’enquête», les données qu’un État membre, le Parquet européen institué par le règlement (UE) 2017/1939 du Conseil ( 1 ), Eurojust ou un pays tiers est autorisé à traiter dans une enquête pénale en cours concernant un ou plusieurs États membres, conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union ou du droit national, qu’un État membre, le Parquet européen, Eurojust ou un pays tiers a transmises à Europol à l’appui d’une telle enquête pénale en cours et qui contiennent des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II;

«contenu à caractère terroriste», le contenu à caractère terroriste au sens de l’article 2, point 7), du règlement (UE) 2021/784 du Parlement européen et du Conseil ( 2 );

«matériel pédopornographique en ligne», tout matériel en ligne constituant de la pédopornographie au sens de l’article 2, point c), de la directive 2011/93/UE du Parlement européen et du Conseil ( 3 ) ou un spectacle pornographique au sens de l’article 2, point e), de ladite directive;

«situation de crise en ligne», la diffusion de contenus en ligne provenant d’un événement réel, en cours ou récent, qui représentent des atteintes à la vie ou à l’intégrité physique ou qui appellent à des atteintes imminentes à la vie ou à l’intégrité physique et ont pour objet ou pour effet d’intimider gravement une population, à condition qu’il existe un lien ou une suspicion raisonnable de lien avec le terrorisme ou l’extrémisme violent et que la possibilité que ces contenus se multiplient de manière exponentielle et acquièrent un caractère viral sur plusieurs services en ligne soit prévisible;

«catégorie de transferts de données à caractère personnel», un groupe de transferts de données à caractère personnel dans lequel les données sont liées à la même situation spécifique et les transferts se composent des mêmes catégories de données à caractère personnel et des mêmes catégories de personnes concernées;

«projets de recherche et d’innovation», des projets portant sur des questions régies par le présent règlement en vue de l’élaboration, de l’entraînement, de l’expérimentation et de la validation d’algorithmes pour la mise au point d’outils spécifiques, et d’autres projets de recherche et d’innovation spécifiques pertinents pour la réalisation des objectifs d’Europol.

▼B

Article 3

Objectifs

Europol appuie et renforce l'action des autorités compétentes des États membres et leur collaboration mutuelle dans la prévention de la criminalité grave affectant deux ou plusieurs États membres, du terrorisme et des formes de criminalité qui portent atteinte à un intérêt commun qui fait l'objet d'une politique de l'Union, ainsi que dans la lutte contre ceux-ci, énumérées à l'annexe I.

Outre le paragraphe 1, les objectifs d'Europol s'étendent également aux infractions pénales connexes. Sont considérées comme des infractions pénales connexes:

les infractions pénales commises pour se procurer les moyens de perpétrer des actes relevant de la compétence d'Europol;

les infractions pénales commises pour faciliter l'exécution d'actes relevant de la compétence d'Europol, ou les perpétrer;

les infractions pénales commises dans le but d'assurer l'impunité de ceux qui commettent des actes relevant de la compétence d'Europol.

Article 4

Missions

Europol est chargée des missions suivantes pour atteindre les objectifs fixés à l'article 3:

collecter, stocker, traiter, analyser et échanger des informations, y compris des éléments de renseignement criminel;

communiquer sans retard aux États membres, par l'intermédiaire des unités nationales créées ou désignées en vertu de l'article 7, paragraphe 2, toute information ou tout lien existant entre des infractions pénales qui les concernent;

coordonner, organiser et réaliser des enquêtes et des actions opérationnelles pour soutenir et renforcer les actions des autorités compétentes des États membres, qui sont menées:

conjointement avec les autorités compétentes des États membres; ou

ii)

dans le cadre d'équipes communes d'enquête, conformément à l'article 5 et, s'il y a lieu, en liaison avec Eurojust;

participer à des équipes communes d'enquête, ainsi que proposer leur constitution conformément à l'article 5;

fournir aux États membres des informations et une aide à l'analyse lors d'événements internationaux majeurs;

établir des évaluations de la menace, des analyses stratégiques et opérationnelles ainsi que des comptes rendus généraux;

développer, partager et promouvoir une expertise en ce qui concerne les méthodes de prévention de la criminalité, les procédures d'enquête et les méthodes de police techniques et scientifiques, ainsi que dispenser des conseils aux États membres;

soutenir les activités d'échange d'informations, les opérations et les enquêtes transfrontalières menées par les États membres, ainsi que les équipes communes d'enquête, notamment en fournissant un appui opérationnel, technique et financier;

▼M1

h bis)

fournir un appui administratif et financier aux unités spéciales d’intervention des États membres visées dans la décision 2008/617/JAI du Conseil ( 4 );

▼B

assurer des formations spécialisées et aider les États membres à organiser des formations, y compris par un soutien financier, dans le cadre de ses objectifs et en fonction des effectifs et des ressources budgétaires dont elle dispose, en coordination avec l'Agence de l'Union européenne pour la formation des services répressifs (CEPOL);

▼M1

coopérer avec les organes de l’Union institués sur la base du titre V du traité sur le fonctionnement de l’Union européenne, avec l’OLAF et l’Agence de l’Union européenne pour la cybersécurité (ENISA) instituée par le règlement (UE) 2019/881 du Parlement européen et du Conseil ( 5 ), en particulier par des échanges d’informations et la fourniture d’une aide à l’analyse dans des domaines relevant de leurs compétences respectives;

▼B

fournir des informations et un appui aux structures et aux missions de gestion des crises de l'UE instituées sur la base du traité sur l'Union européenne, dans le cadre des objectifs d'Europol énoncés à l'article 3;

développer des centres d'expertise spécialisée de l'Union pour lutter contre certaines formes de criminalité relevant des objectifs d'Europol, notamment le Centre européen de lutte contre la cybercriminalité;

▼M1

soutenir les actions des États membres en matière de prévention des formes de criminalité énumérées à l’annexe I qui sont facilitées, favorisées ou commises à l’aide de l’internet, et de lutte contre ces phénomènes, y compris en:

aidant les autorités compétentes des États membres, à leur demande, à répondre aux cyberattaques supposées être d’origine criminelle;

ii)

coopérant avec les autorités compétentes des États membres en ce qui concerne les injonctions de retrait, conformément à l’article 14 du règlement (UE) 2021/784; et

iii)

signalant les contenus en ligne aux fournisseurs de services en ligne concernés pour qu’ils examinent sur une base volontaire la compatibilité de ces contenus avec leurs propres conditions générales;

▼M1

aider les États membres à identifier les personnes dont les activités criminelles relèvent des formes de criminalité énumérées à l’annexe I et qui constituent un risque élevé en matière de sécurité;

faciliter des enquêtes conjointes, coordonnées et considérées comme une priorité portant sur les personnes visées au point r);

aider les États membres à traiter les données fournies à Europol par des pays tiers ou des organisations internationales sur les personnes impliquées dans le terrorisme ou dans la criminalité grave et proposer l’introduction éventuelle par les États membres, laissée à leur discrétion et sous réserve de la vérification et de l’analyse de ces données, de signalements pour information concernant des ressortissants de pays tiers dans l’intérêt de l’Union (ci-après dénommés «signalements pour information») dans le système d’information Schengen (SIS), conformément au règlement (UE) 2018/1862 du Parlement européen et du Conseil ( 6 );

soutenir la mise en œuvre du mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen prévu par le règlement (UE) no 1053/2013, dans le cadre des objectifs d’Europol, en fournissant une expertise et des analyses, s’il y a lieu;

surveiller proactivement les activités de recherche et d’innovation qui sont pertinentes pour la réalisation des objectifs d’Europol et contribuer à ces activités, en soutenant les activités connexes des États membres et en mettant en œuvre ses propres activités de recherche et d’innovation, y compris des projets pour l’élaboration, l’entraînement, l’expérimentation et la validation d’algorithmes pour la mise au point d’outils spécifiques destinés aux autorités répressives, et diffuser les résultats de ces activités aux États membres conformément à l’article 67;

contribuer à la création de synergies entre les activités de recherche et d’innovation des organes de l’Union qui sont pertinentes pour la réalisation des objectifs d’Europol, y compris par l’intermédiaire du pôle d’innovation de l’Union européenne pour la sécurité intérieure, et en étroite coopération avec les États membres;

soutenir, à leur demande, les mesures des États membres visant à faire face aux situations de crise en ligne, notamment en fournissant aux parties privées les informations nécessaires pour identifier les contenus en ligne concernés;

soutenir les mesures des États membres visant à lutter contre la diffusion en ligne de matériel pédopornographique en ligne;

coopérer, conformément à l’article 12 de la directive (UE) 2019/1153 du Parlement européen et du Conseil ( 7 ), avec les cellules de renseignement financier (CRF) instituées en vertu de la directive (UE) 2015/849 du Parlement européen et du Conseil ( 8 ), par l’intermédiaire de l’unité nationale Europol compétente ou, si cela est autorisé par l’État membre concerné, par le biais de contacts directs avec les CRF, notamment par des échanges d’informations et la fourniture d’analyses aux États membres en vue de soutenir les enquêtes transfrontières sur les activités de blanchiment de capitaux des organisations criminelles transnationales et sur le financement du terrorisme;

Afin qu’un État membre informe, dans un délai de douze mois suivant la proposition d’Europol relative à l’introduction éventuelle d’un signalement pour information visé au premier alinéa, point t), les autres États membres et Europol des résultats de la vérification et de l’analyse des données et de l’introduction éventuelle d’un signalement dans le SIS, un mécanisme de rapport périodique est mis en place.

Les États membres informent Europol de tout signalement pour information introduit dans le SIS et de toute réponse positive à ces signalements pour information et peuvent informer, par l’intermédiaire d’Europol, le pays tiers ou l’organisation internationale qui a fourni les données donnant lieu à l’introduction du signalement pour information des réponses positives à un tel signalement pour information, conformément à la procédure établie dans le règlement (UE) 2018/1862.

▼B

Europol fournit des analyses stratégiques et des évaluations de la menace afin d'aider le Conseil et la Commission à établir les priorités stratégiques et opérationnelles de l'Union aux fins de la lutte contre la criminalité. ►M1 Europol fournit également un appui pour la mise en œuvre opérationnelle de ces priorités, notamment dans le cadre de la plateforme pluridisciplinaire européenne contre les menaces criminelles (EMPACT), y compris en facilitant et en fournissant un appui administratif, logistique, financier et opérationnel aux activités opérationnelles et stratégiques menées par les États membres. ◄

Europol fournit des analyses stratégiques et des évaluations de la menace pour contribuer à une utilisation efficace et rationnelle des ressources disponibles au niveau national et de l'Union pour les activités opérationnelles, et fournir un appui à ces dernières. ►M1 Europol fournit également des analyses des évaluations de la menace fondées sur les informations qu’elle détient concernant les tendances et phénomènes criminels afin d’aider la Commission et les États membres à réaliser leurs évaluations des risques. ◄

Europol joue le rôle d'office central de répression du faux-monnayage de l'euro conformément à la décision 2005/511/JAI du Conseil ( 9 ). Europol facilite également la coordination des mesures prises par les autorités compétentes des États membres ou dans le cadre d'équipes communes d'enquête, s'il y a lieu en liaison avec des organes de l'Union et les autorités de pays tiers, afin de lutter contre le faux-monnayage de l'euro.

▼M1

4 bis.

Europol aide les États membres et la Commission à déterminer les principaux thèmes de recherche.

Europol aide la Commission à établir et à mettre en œuvre les programmes-cadres de l’Union pour les activités de recherche et d’innovation pertinentes pour la réalisation des objectifs d’Europol.

Le cas échéant, Europol peut diffuser les résultats de ses activités de recherche et d’innovation dans le cadre de sa contribution à la création de synergies entre les activités de recherche et d’innovation des organes de l’Union compétents conformément au paragraphe 1, premier alinéa, point w).

Europol prend toutes les mesures nécessaires pour éviter les conflits d’intérêts. Europol ne reçoit aucun financement au titre d’un programme-cadre de l’Union donné lorsqu’elle aide la Commission à déterminer les principaux thèmes de recherche et à établir et mettre en œuvre ledit programme-cadre.

Lors de la conception et de la conceptualisation des activités de recherche et d’innovation concernant des questions régies par le présent règlement, Europol peut, s’il y a lieu, consulter le Centre commun de recherche de la Commission.

4 ter.

Europol soutient les États membres dans le filtrage, en ce qui concerne les implications attendues pour la sécurité, de cas spécifiques d’investissements directs étrangers dans l’Union au titre du règlement (UE) 2019/452 du Parlement européen et du Conseil ( 10 ) qui concernent des entreprises qui fournissent des technologies, y compris des logiciels, utilisées par Europol aux fins de la prévention des formes de criminalité qui relèvent des objectifs d’Europol et des enquêtes en la matière.

▼M1

Europol n’applique pas de mesures coercitives dans l’exercice de ses missions.

Le personnel d’Europol peut apporter un appui opérationnel aux autorités compétentes des États membres au cours de la mise en œuvre des mesures d’enquête, à leur demande et conformément à leur droit national, notamment en facilitant les échanges d’informations transfrontières, en fournissant une aide criminalistique et technique et en étant présent au cours de la mise en œuvre de ces mesures d’enquête. Le personnel d’Europol n’est pas habilité à mettre, lui-même, en œuvre des mesures d’enquête.

▼M1

5 bis.

Europol respecte les libertés et droits fondamentaux consacrés dans la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte») dans l’accomplissement de ses missions.

▼B

CHAPITRE II

COOPÉRATION ENTRE LES ÉTATS MEMBRES ET EUROPOL

Article 5

Participation aux équipes communes d'enquête

Le personnel d'Europol peut participer aux activités des équipes communes d'enquête lorsqu'elles portent sur les formes de criminalité relevant des objectifs d'Europol. L'accord créant une équipe commune d'enquête fixe les conditions relatives à la participation du personnel d'Europol à l'équipe, et comprend les informations relatives aux règles en matière de responsabilité.

Le personnel d'Europol peut, dans les limites du droit des États membres dans lesquels une équipe commune d'enquête opère, prêter son concours à toutes les activités et à tous les échanges d'informations ayant lieu avec tout membre de cette équipe commune d'enquête.

Le personnel d'Europol participant à une équipe commune d'enquête peut, conformément au présent règlement, fournir à tous les membres de l'équipe les informations nécessaires traitées par Europol aux fins énoncées à l'article 18, paragraphe 2. Europol en informe simultanément les unités nationales des États membres représentés dans l'équipe ainsi que celles des États membres qui ont fourni les informations.

Les informations obtenues par le personnel d'Europol lors de sa participation à une équipe commune d'enquête peuvent, avec l'accord et sous la responsabilité de l'État membre qui les a fournies, être traitées par Europol aux fins énoncées à l'article 18, paragraphe 2, selon les conditions établies par le présent règlement.

Lorsque Europol a des motifs de croire que la constitution d'une équipe commune d'enquête apporterait une valeur ajoutée à une enquête, elle peut en faire la proposition aux États membres concernés et prendre des mesures en vue de les aider à créer cette équipe.

Article 6

Demandes d'Europol visant à ouvrir une enquête pénale

Dans les cas particuliers où Europol considère qu'une enquête pénale devrait être ouverte au sujet d'une forme de criminalité relevant de ses objectifs, elle demande aux autorités compétentes des États membres concernés, par l'intermédiaire des unités nationales, d'ouvrir, de mener ou de coordonner cette enquête pénale.

▼M1

1 bis.

Sans préjudice du paragraphe 1, lorsque le directeur exécutif considère qu’une enquête pénale devrait être ouverte au sujet d’une forme de criminalité spécifique ne concernant qu’un seul État membre mais portant atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union, il peut proposer aux autorités compétentes de l’État membre concerné, par l’intermédiaire de son unité nationale, d’ouvrir, de mener ou de coordonner cette enquête pénale.

▼M1

Les unités nationales informent, sans retard injustifié, Europol en ce qui concerne toute demande présentée en vertu du paragraphe 1, ou le directeur exécutif, en ce qui concerne toute proposition formulée en vertu du paragraphe 1 bis, de la décision des autorités compétentes des États membres.

▼B

Si les autorités compétentes d'un État membre décident de ne pas donner suite à une demande présentée par Europol en application du paragraphe 1, elles informent Europol des motifs de leur décision, sans retard injustifié, et de préférence dans un délai d'un mois à compter de la réception de la demande. Toutefois, il est permis de ne pas communiquer les motifs si leur communication:

était contraire aux intérêts essentiels de la sécurité de l'État membre concerné; ou

compromettait le succès d'une enquête en cours ou la sécurité d'une personne physique.

▼M1

Europol informe immédiatement Eurojust et, s’il y a lieu, le Parquet européen de toute demande présentée en vertu du paragraphe 1, de toute proposition formulée en vertu du paragraphe 1 bis et de toute décision prise par une autorité compétente d’un État membre en vertu du paragraphe 2.

▼B

Article 7

Unités nationales Europol

Les États membres et Europol coopèrent dans l'accomplissement de leurs missions respectives définies dans le présent règlement.

Chaque État membre met en place ou désigne une unité nationale, qui constitue l'organe de liaison entre Europol et les autorités compétentes de cet État membre. Chaque État membre désigne un fonctionnaire comme chef de son unité nationale.

Chaque État membre veille à ce que son unité nationale soit compétente, en vertu de son droit national, pour s'acquitter des missions assignées aux unités nationales dans le présent règlement, et notamment à ce qu'elle ait accès aux données des services répressifs nationaux et aux autres données pertinentes nécessaires à la coopération avec Europol.

Chaque État membre définit l'organisation de son unité nationale et détermine ses effectifs conformément à son droit national.

Conformément au paragraphe 2, l'unité nationale est l'organe de liaison entre Europol et les autorités compétentes des États membres. Toutefois, sous réserve des conditions fixées par les États membres, y compris l'intervention préalable de l'unité nationale, les États membres peuvent autoriser des contacts directs entre leurs autorités compétentes et Europol. L'unité nationale reçoit en même temps d'Europol toutes les informations échangées au cours des contacts directs entre Europol et les autorités compétentes, à moins que l'autorité nationale n'indique qu'elle n'a pas besoin de recevoir ces informations.

Les États membres, par l'intermédiaire de leur unité nationale ou, sous réserve du paragraphe 5, d'une autorité compétente, assurent notamment:

la communication à Europol des informations nécessaires à la réalisation de ses objectifs, y compris des informations relatives aux formes de criminalité à l'égard desquelles la prévention et la lutte sont considérées comme des priorités de l'Union;

une communication et une coopération efficaces avec Europol, de la part de toutes les autorités compétentes concernées;

une sensibilisation aux activités d'Europol;

conformément à l'article 38, paragraphe 5, point a), le respect du droit national lors de la communication d'informations à Europol.

Sans préjudice de l'exercice, par les États membres, de leurs responsabilités en matière de maintien de l'ordre public et de protection de la sécurité intérieure, les États membres ne sont pas tenus, dans une affaire donnée, de fournir des informations conformément au paragraphe 6, point a), qui auraient pour effet:

d'être contraire aux intérêts essentiels de la sécurité de l'État membre;

de compromettre le succès d'une enquête en cours ou la sécurité d'une personne physique; ou

de divulguer des informations concernant des organisations ou des activités de renseignement spécifiques dans le domaine de la sûreté nationale.

Cependant, les États membres fournissent des informations dès qu'elles n'entrent plus dans le champ d'application des points a), b) ou c) du premier alinéa.

▼M1

Chaque État membre veille à ce que sa CRF soit habilitée, dans les limites de son mandat et de sa compétence et sous réserve des garanties procédurales nationales, à répondre aux demandes dûment justifiées qui sont présentées par Europol conformément à l’article 12 de la directive (UE) 2019/1153 en ce qui concerne les informations financières et les analyses financières, soit par l’intermédiaire de son unité nationale, soit, si cela est autorisé par cet État membre, par le biais d’un contact direct entre la CRF et Europol.

▼B

Les chefs des unités nationales se réunissent périodiquement, afin notamment d'examiner et de résoudre les problèmes qui se posent dans le cadre de leur coopération opérationnelle avec Europol.

10.

Les frais exposés par les unités nationales pour les communications avec Europol sont à la charge des États membres et, à l'exception des frais de connexion, ne sont pas mis à la charge d'Europol.

11.

Europol rédige un rapport annuel sur les informations fournies par chaque État membre en application du paragraphe 6, point a), sur la base des critères d'évaluation quantitatifs et qualitatifs fixés par le conseil d'administration. Ce rapport annuel est transmis au Parlement européen, au Conseil, à la Commission et aux parlements nationaux.

Article 8

Officiers de liaison

Chaque unité nationale désigne auprès d'Europol au moins un officier de liaison. Sauf dispositions contraires prévues dans le présent règlement, les officiers de liaison sont soumis au droit national de l'État membre qui procède à la désignation.

Les officiers de liaison, qui constituent les bureaux nationaux de liaison auprès d'Europol, sont chargés par leur unité nationale de représenter les intérêts de celle-ci au sein d'Europol conformément au droit national de l'État membre qui les a désignés et aux dispositions applicables au fonctionnement d'Europol.

Les officiers de liaison contribuent à l'échange d'informations entre Europol et leur État membre.

Les officiers de liaison contribuent, conformément à leur droit national, à l'échange d'informations entre leur État membre et les officiers de liaison des autres États membres, les pays tiers et les organisations internationales. Les infrastructures d'Europol peuvent également être utilisées, conformément au droit national, pour ces échanges bilatéraux lorsqu'il s'agit de formes de criminalité ne relevant pas des objectifs d'Europol. Tous ces échanges d'informations se font conformément au droit de l'Union et au droit national applicables.

Le conseil d'administration définit les droits et obligations des officiers de liaison à l'égard d'Europol. Les officiers de liaison jouissent des privilèges et des immunités nécessaires à l'exécution de leurs missions conformément à l'article 63, paragraphe 2.

Europol veille à ce que les officiers de liaison soient parfaitement informés de toutes ses activités et qu'ils y soient pleinement associés, dans la mesure nécessaire à l'exécution de leurs missions.

Europol assume les coûts liés à la mise à la disposition des États membres de locaux dans son immeuble et à l'octroi d'un soutien suffisant pour permettre aux officiers de liaison de remplir leurs fonctions. Tous les autres frais liés à la désignation d'officiers de liaison sont supportés par l'État membre qui procède à la désignation, y compris les frais liés à leur dotation en équipement, sauf si le Parlement européen et le Conseil en décident autrement sur recommandation du conseil d'administration.

CHAPITRE III

ORGANISATION D'EUROPOL

Article 9

Structure administrative et de gestion d'Europol

La structure administrative et de gestion d'Europol comprend:

le conseil d'administration;

un directeur exécutif;

s'il y a lieu, d'autres organes consultatifs créés par le conseil d'administration conformément à l'article 11, paragraphe 1, point s);

SECTION 1

Conseil d'administration

Article 10

Composition du conseil d'administration

Le conseil d'administration est composé d'un représentant de chaque État membre et d'un représentant de la Commission. Chaque représentant dispose du droit de vote.

Les membres du conseil d'administration sont nommés en tenant compte de leur connaissance de la coopération entre services répressifs.

Chaque membre du conseil d'administration a un membre suppléant, qui est nommé en tenant compte du critère fixé au paragraphe 2. Le suppléant représente le membre en son absence.

Il est également tenu compte du principe de la représentation équilibrée des hommes et des femmes au sein du conseil d'administration.

Sans préjudice du droit qu'ont les États membres et la Commission de mettre un terme au mandat de leurs membres et membres suppléants respectifs, le mandat au conseil d'administration est de quatre ans. Il peut être prolongé.

Article 11

Fonctions du conseil d'administration

Le conseil d'administration:

▼M1

adopte chaque année, à la majorité des deux tiers de ses membres et conformément à l’article 12 du présent règlement, un document de programmation unique visé à l’article 32 du règlement délégué (UE) 2019/715 de la Commission ( 11 );

▼B

adopte, à la majorité des deux tiers de ses membres, le budget annuel d'Europol et exerce d'autres fonctions en rapport avec le budget d'Europol, en vertu du chapitre X;

adopte un rapport d'activité annuel consolidé sur les activités d'Europol et le transmet, au plus tard le 1er juillet de l'année suivante, au Parlement européen, au Conseil, à la Commission, à la Cour des comptes et aux parlements nationaux. Le rapport d'activité annuel consolidé est rendu public;

adopte les règles financières applicables à Europol, conformément à l'article 61;

adopte une stratégie antifraude interne proportionnée aux risques de fraude, tenant compte du rapport coûts-avantages des mesures à mettre en œuvre;

adopte des règles de prévention et de gestion des conflits d'intérêts à l'égard de ses membres, y compris en liaison avec leur déclaration d'intérêt;

conformément au paragraphe 2, exerce, vis-à-vis du personnel d'Europol, les compétences conférées à l'autorité investie du pouvoir de nomination par le statut et à l'autorité habilitée à conclure les contrats d'engagement par le régime applicable aux autres agents (ci-après dénommées «compétences relevant de l'autorité investie du pouvoir de nomination»);

adopte les règles d'exécution appropriées visant à donner effet au statut et du régime applicable aux autres agents, conformément à l'article 110 du statut;

adopte des règles internes relatives à la procédure de sélection du directeur exécutif, y compris les règles relatives à la composition du comité de sélection qui garantissent son indépendance et son impartialité;

propose au Conseil une liste restreinte de candidats pour le poste de directeur exécutif et les postes de directeurs exécutifs adjoints et, s'il y a lieu, propose au Conseil de prolonger leur mandat ou de les démettre de leurs fonctions, conformément aux articles 54 et 55;

établit des indicateurs de performance et supervise l'action du directeur exécutif, y compris la mise en œuvre des décisions du conseil d'administration;

nomme un délégué à la protection des données, qui est fonctionnellement indépendant dans l'exercice de ses fonctions;

nomme un comptable, qui est soumis au statut et au régime applicable aux autres agents et fonctionnellement indépendant dans l'exercice de ses fonctions;

met en place, le cas échéant, une structure d'audit interne;

assure un suivi adéquat des conclusions et recommandations issues des divers rapports d'audit et évaluations internes ou externes, ainsi que des enquêtes de l'OLAF et du CEPD;

détermine les critères d'évaluation à utiliser pour le rapport annuel, conformément à l'article 7, paragraphe 11;

adopte des lignes directrices précisant davantage les procédures de traitement des informations par Europol conformément à l'article 18, après consultation du CEPD;

autorise la conclusion d'arrangements de travail et d'arrangements administratifs conformément à l'article 23, paragraphe 4, et à l'article 25, paragraphe 1, respectivement;

décide, en prenant en considération à la fois les exigences opérationnelles et financières, de la mise en place des structures internes d'Europol, y compris des centres d'expertise spécialisée de l'Union visés à l'article 4, paragraphe 1, point l), sur proposition du directeur exécutif;

adopte son règlement intérieur, y compris des dispositions concernant les missions et le fonctionnement de son secrétariat;

adopte, le cas échéant, d'autres règles internes;

▼M1

désigne l’officier aux droits fondamentaux visé à l’article 41 quater;

précise les critères sur la base desquels Europol peut formuler des propositions relatives à l’introduction éventuelle de signalements pour information dans le SIS;

▼B

Si le conseil d'administration le considère nécessaire pour l'accomplissement des missions d'Europol, il peut suggérer au Conseil d'attirer l'attention de la Commission sur la nécessité de disposer d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), ou d'une recommandation de décision autorisant l'ouverture de négociations en vue de la conclusion d'un accord international visé à l'article 25, paragraphe 1, point b).

Le conseil d'administration adopte, conformément à l'article 110 du statut, une décision fondée sur l'article 2, paragraphe 1, du statut et sur l'article 6 du régime applicable aux autres agents, déléguant au directeur exécutif les compétences correspondantes relevant de l'autorité investie du pouvoir de nomination et établissant les conditions dans lesquelles cette délégation de compétences peut être suspendue. Le directeur exécutif est autorisé à subdéléguer ces compétences.

Lorsque des circonstances exceptionnelles l'exigent, le conseil d'administration peut, par voie de décision, suspendre temporairement la délégation des compétences relevant de l'autorité investie du pouvoir de nomination au directeur exécutif et toute subdélégation de celles-ci, et les exercer lui-même ou les déléguer à un de ses membres ou à un membre du personnel autre que le directeur exécutif.

Article 12

Programmation pluriannuelle et programmes de travail annuels

▼M1

Au plus tard le 30 novembre de chaque année, le conseil d’administration adopte un document de programmation unique contenant la programmation pluriannuelle et le programme de travail annuel d’Europol, sur la base d’un projet proposé par le directeur exécutif, en tenant compte de l’avis de la Commission et, en ce qui concerne la programmation pluriannuelle, après consultation du groupe de contrôle parlementaire conjoint.

Lorsque le conseil d’administration décide de ne pas tenir compte de l’avis de la Commission visé au premier alinéa, en tout ou en partie, Europol fournit une justification détaillée.

Lorsque le conseil d’administration décide de ne pas tenir compte des éléments soulevés par le groupe de contrôle parlementaire conjoint conformément à l’article 51, paragraphe 2, point c), Europol fournit une justification détaillée.

Après adoption du document unique de programmation, le conseil d’administration transmet celui-ci au Conseil, à la Commission et au groupe de contrôle parlementaire conjoint.

▼B

►M1 La programmation pluriannuelle expose la programmation stratégique globale, y compris les objectifs, les résultats attendus et les indicateurs de performance. Elle contient également la planification des ressources, y compris le budget pluriannuel et le tableau des effectifs. Elle comprend la stratégie pour les relations avec les pays tiers et les organisations internationales et les activités de recherche et d’innovation planifiées d’Europol. ◄

La programmation pluriannuelle est mise en œuvre au moyen de programmes de travail annuels et, s'il y a lieu, est mise à jour au vu des résultats des évaluations externes et internes. La conclusion de ces évaluations est également prise en compte, au besoin, dans le programme de travail annuel pour l'année suivante.

Le programme de travail annuel expose les objectifs détaillés, les résultats escomptés et les indicateurs de performance. Il contient, en outre, une description des actions à financer et une indication des ressources financières et humaines allouées à chaque action, conformément aux principes d'établissement du budget par activités et de la gestion fondée sur les activités. Le programme de travail annuel est cohérent par rapport à la programmation pluriannuelle. Il indique clairement les tâches qui ont été ajoutées, modifiées ou supprimées par rapport à l'exercice précédent.

Lorsque, après l'adoption du programme de travail annuel, une nouvelle mission est confiée à Europol, le conseil d'administration modifie le programme de travail annuel.

Toute modification substantielle du programme de travail annuel est soumise à une procédure d'adoption identique à celle applicable à l'adoption du programme de travail annuel initial. Le conseil d'administration peut déléguer au directeur exécutif le pouvoir d'apporter des modifications non substantielles au programme de travail annuel.

Article 13

Président et vice-président du conseil d'administration

Le conseil d'administration élit un président et un vice-président au sein du groupe des trois États membres qui ont élaboré conjointement le programme de dix-huit mois du Conseil. Ils exercent leur mandat pendant la période de dix-huit mois correspondant audit programme du Conseil. Toutefois, si le président ou le vice-président perd sa qualité de membre du conseil d'administration à un moment quelconque de son mandat de président ou de vice-président, ce mandat expire automatiquement à la même date.

Le président et le vice-président sont élus à la majorité des deux tiers des membres du conseil d'administration.

Le vice-président remplace d'office le président si celui-ci n'est pas en mesure d'assumer ses fonctions.

Article 14

Réunions du conseil d'administration

Le président convoque le conseil d'administration.

Le directeur exécutif participe aux délibérations du conseil d'administration.

Le conseil d'administration se réunit au moins deux fois par an en session ordinaire. En outre, il se réunit à l'initiative de son président, ou à la demande de la Commission ou d'au moins un tiers de ses membres.

▼M1

Le conseil d’administration peut inviter toute personne dont l’avis peut être pertinent aux fins des débats à participer aux réunions en tant qu’observateur sans droit de vote.

Deux représentants du groupe de contrôle parlementaire conjoint sont invités à participer à deux réunions ordinaires par an du conseil d’administration en tant qu’observateurs sans droit de vote pour discuter des questions d’intérêt politique suivantes:

le rapport d’activité annuel consolidé visé à l’article 11, paragraphe 1, point c), de l’année précédente;

le document de programmation unique visé à l’article 12 pour l’année suivante et le budget annuel;

les questions et réponses écrites du groupe de contrôle parlementaire conjoint;

les relations extérieures et les questions de partenariat.

Le conseil d’administration, avec les représentants du groupe de contrôle parlementaire conjoint, peuvent déterminer d’autres questions d’intérêt politique à discuter à l’occasion des réunions visées au premier alinéa.

▼B

Les membres titulaires et les membres suppléants du conseil d'administration peuvent, sous réserve du règlement intérieur, être assistés aux réunions par des conseillers ou des experts.

Europol assure le secrétariat du conseil d'administration.

Article 15

Procédure de vote du conseil d'administration

Sans préjudice de l'article 11, paragraphe 1, points a) et b), de l'article 13, paragraphe 2, de l'article 50, paragraphe 2, de l'article 54, paragraphe 8, et de l'article 64, le conseil d'administration prend ses décisions à la majorité de ses membres.

Chaque membre dispose d'une voix. En l'absence d'un membre disposant du droit de vote, son suppléant peut exercer son droit de vote.

Le directeur exécutif ne participe pas au vote.

Le règlement intérieur du conseil d'administration fixe les modalités détaillées du vote, notamment les conditions dans lesquelles un membre peut agir au nom d'un autre membre, ainsi que les exigences en matière de quorum, le cas échéant.

SECTION 2

Directeur exécutif

Article 16

Responsabilités du directeur exécutif

Le directeur exécutif assure la gestion d'Europol. Il rend compte de sa gestion au conseil d'administration.

Sans préjudice des compétences de la Commission ou du conseil d'administration, le directeur exécutif est indépendant dans l'exercice de ses fonctions et ne sollicite ni n'accepte aucune instruction d'aucune administration ni d'aucun autre organe.

▼M1

Le Conseil ou le groupe de contrôle parlementaire conjoint peut inviter le directeur exécutif à faire rapport sur l’exécution de ses fonctions.

▼B

Le directeur exécutif est le représentant légal d'Europol.

Le directeur exécutif est chargé de la mise en œuvre des missions confiées à Europol par le présent règlement, notamment:

l'administration courante d'Europol;

la présentation au conseil d'administration de propositions relatives à la mise en place des structures internes d'Europol;

la mise en œuvre des décisions adoptées par le conseil d'administration;

▼M1

l’élaboration du projet de document de programmation unique visé à l’article 12 et sa présentation au conseil d’administration après consultation de la Commission et du groupe de contrôle parlementaire conjoint;

▼B

la mise en œuvre de la programmation pluriannuelle et des programmes de travail annuels et l'établissement d'un rapport destiné au conseil d'administration sur leur mise en œuvre;

l'élaboration d'un projet de règles d'exécution visant à donner effet au statut et au régime applicable aux autres agents, conformément à l'article 110 du statut;

l'élaboration du projet de rapport annuel consolidé sur les activités d'Europol et sa présentation pour adoption au conseil d'administration;

l'élaboration d'un plan d'action donnant suite aux conclusions des rapports d'audit et des évaluations internes ou externes, ainsi qu'aux rapports d'enquête et aux recommandations résultant des enquêtes de l'OLAF et du CEPD, et la présentation de rapports semestriels à la Commission et de rapports réguliers au conseil d'administration sur les progrès accomplis;

la protection des intérêts financiers de l'Union par l'application de mesures préventives contre la fraude, la corruption et toute autre activité illégale et, sans préjudice des pouvoirs d'enquête de l'OLAF, par des contrôles efficaces et, si des irrégularités sont constatées, par le recouvrement des montants indûment versés et, le cas échéant, par des sanctions administratives et financières effectives, proportionnées et dissuasives;

l'élaboration d'un projet de stratégie antifraude interne pour Europol et sa présentation pour adoption au conseil d'administration;

l'élaboration d'un projet de règles internes de prévention et de gestion des conflits d'intérêts à l'égard des membres du conseil d'administration et sa présentation pour adoption au conseil d'administration;

l'élaboration du projet de règles financières applicable à Europol;

l'établissement du projet d'état prévisionnel des recettes et dépenses d'Europol et l'exécution de son budget;

l'assistance au président du conseil d'administration en ce qui concerne la préparation des réunions du conseil d'administration;

l'information régulière du conseil d'administration sur la mise en œuvre des priorités stratégiques et opérationnelles de l'Union en matière de lutte contre la criminalité;

▼M1

o bis)

l’information du conseil d’administration sur les protocoles d’accord signés avec des parties privées;

▼B

l'exécution d'autres missions en vertu du présent règlement.

CHAPITRE IV

TRAITEMENT DE L'INFORMATION

Article 17

Sources d'information

Europol ne traite que les informations qui lui ont été fournies:

par les États membres, conformément à leur droit national et à l'article 7;

par les organes de l'Union, les pays tiers et les organisations internationales, conformément au chapitre V;

par les parties privées et les particuliers, conformément au chapitre V.

Europol peut directement extraire et traiter des informations, y compris des données à caractère personnel, provenant de sources accessibles au public, y compris l'internet et les données publiques.

Dans la mesure où Europol est en droit, en vertu d'instruments juridiques de l'Union, internationaux ou nationaux, d'interroger par voie automatisée des systèmes d'information de l'Union, internationaux ou nationaux, elle peut extraire et traiter de cette façon des informations, y compris des données à caractère personnel, si cela est nécessaire pour lui permettre d'accomplir ses missions. Les dispositions applicables de ces instruments juridiques de l'Union, internationaux ou nationaux régissent l'accès à ces informations et leur utilisation par Europol, dans la mesure où elles prévoient des règles d'accès et d'utilisation plus strictes que celles prévues par le présent règlement. L'accès à ces systèmes d'information n'est accordé qu'aux membres du personnel dûment habilités d'Europol et seulement dans la mesure où cela est nécessaire et proportionné à l'exécution de leurs missions.

Article 18

Finalités des activités de traitement d'informations

Dans la mesure nécessaire pour atteindre ses objectifs tels qu'énoncés à l'article 3, Europol peut traiter des informations, y compris des données à caractère personnel.

Les données à caractère personnel ne peuvent être traitées que pour les finalités ci-après:

recoupements visant à établir des liens ou d'autres rapports pertinents entre des informations relatives:

aux personnes qui sont soupçonnées d'avoir commis une infraction pénale ou d'avoir participé à une infraction pénale relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;

ii)

aux personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire qu'elles commettront des infractions pénales relevant de la compétence d'Europol;

analyses de nature stratégique ou thématique;

analyses opérationnelles;

▼M1

facilitation de l’échange d’informations entre les États membres, Europol, d’autres organes de l’Union, les pays tiers, les organisations internationales et des parties privées;

▼M1

projets de recherche et d’innovation;

soutien apporté aux États membres, à leur demande, en ce qui concerne l’information du public sur les individus soupçonnés ou condamnés qui sont recherchés, en vertu d’une décision judiciaire nationale relative à une forme de criminalité relevant des objectifs d’Europol, et facilitation de la fourniture d’informations sur ces individus par le public aux États membres et à Europol.

▼B

Le traitement aux fins des analyses opérationnelles visées au paragraphe 2, point c), est effectué au moyen de projets d'analyse opérationnelle auxquels s'appliquent les garanties spécifiques suivantes:

pour chaque projet d'analyse opérationnelle, le directeur exécutif définit la finalité spécifique, les catégories de données à caractère personnel et les catégories de personnes concernées, les participants, la durée de conservation et les conditions d'accès, de transfert et d'utilisation des données concernées et en informe le conseil d'administration et le CEPD;

les données à caractère personnel ne peuvent être collectées et traitées qu'aux fins du projet d'analyse opérationnelle spécifié. Lorsqu'il apparaît que les données à caractère personnel peuvent être utiles pour un autre projet d'analyse opérationnelle, un traitement ultérieur de ces données n'est autorisé que dans la mesure où il est nécessaire et proportionné et où les données à caractère personnel sont compatibles avec les dispositions prévues au point a) qui s'appliquent à l'autre projet d'analyse;

seul le personnel habilité peut avoir accès aux données du projet concerné et les traiter.

▼M1

3 bis.

Si cela est nécessaire pour réaliser les objectifs des projets de recherche et d’innovation d’Europol, le traitement de données à caractère personnel à cette fin n’est effectué que dans le cadre de projets de recherche et d’innovation d’Europol pour lesquels les finalités et les objectifs sont clairement définis, et a lieu conformément à l’article 33 bis.

▼B

Le traitement visé aux paragraphes 2 et 3 est effectué dans le respect des garanties relatives à la protection des données prévues dans le présent règlement. Europol documente ces opérations de traitement comme il se doit. Cette documentation est, sur demande, mise à la disposition du délégué à la protection des données et du CEPD aux fins du contrôle de la licéité des opérations de traitement.

▼M1

Sans préjudice de l’article 8, paragraphe 4, de l’article 18, paragraphe 2, point e), de l’article 18 bis, et du traitement des données en vertu de l’article 26, paragraphe 6 quater, lorsque les infrastructures d’Europol sont utilisées pour des échanges bilatéraux de données à caractère personnel et qu’Europol n’a pas accès au contenu des données, les catégories de données à caractère personnel et les catégories de personnes concernées dont les données peuvent être collectées et traitées pour les finalités du paragraphe 2 du présent article sont énumérées à l’annexe II.

▼M1

5 bis.

Conformément à l’article 73 du règlement (UE) 2018/1725 du Parlement européen et du Conseil ( 12 ), Europol établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel qui portent sur différentes catégories de personnes concernées énumérées à l’annexe II.

▼M1

Europol peut traiter temporairement des données afin de déterminer si, et, dans l’affirmative, pour quelle finalité parmi celles visées au paragraphe 2, ces données sont pertinentes pour ses tâches. Le délai de traitement de ces données ne dépasse pas six mois à partir de leur réception.

▼M1

6 bis.

Préalablement au traitement des données en vertu du paragraphe 2 du présent article, lorsque cela est strictement nécessaire à la seule fin de déterminer si les données à caractère personnel respectent le paragraphe 5 du présent article, Europol peut traiter temporairement les données à caractère personnel qui ont été fournies en vertu de l’article 17, paragraphes 1 et 2, y compris en comparant ces données avec l’ensemble des données déjà traitées par Europol conformément au paragraphe 5 du présent article.

Europol traite des données à caractère personnel en vertu du premier alinéa pendant une période ne dépassant pas dix-huit mois à partir du moment où Europol établit que ces données relèvent de ses objectifs, ou, dans des cas justifiés, pendant une plus longue période lorsque cela est nécessaire aux fins du présent article. Europol informe le CEPD de toute prolongation de la période de traitement. La durée maximale du traitement des données en vertu du premier alinéa est de trois ans. Ces données à caractère personnel sont séparées des autres données sur le plan fonctionnel.

Lorsqu’Europol conclut que les données à caractère personnel visées au premier alinéa du présent paragraphe ne respectent pas le paragraphe 5, Europol efface ces données et en informe, s’il y a lieu, le fournisseur de ces données effacées.

6 ter.

Le conseil d’administration, sur proposition du directeur exécutif, après consultation du CEPD et dans le strict respect des principes visés à l’article 71 du règlement (UE) 2018/1725, précise les conditions relatives au traitement des données visées aux paragraphes 6 et 6 bis du présent article, notamment en ce qui concerne la fourniture de ces données, l’accès à celles-ci et leur utilisation, ainsi que les délais de conservation et d’effacement de ces données, qui ne dépassent pas ceux fixés aux paragraphes 6 et 6 bis du présent article.

▼B

Le conseil d'administration, après consultation du CEPD, adopte, le cas échéant, des lignes directrices précisant davantage les procédures de traitement des informations aux fins énumérées au paragraphe 2, conformément à l'article 11, paragraphe 1, point q).

▼M1

Article 18 bis

Traitement de données à caractère personnel à l’appui d’une enquête pénale

Lorsque cela est nécessaire pour soutenir une enquête pénale spécifique en cours qui relève des objectifs d’Europol, Europol peut traiter des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II lorsque:

un État membre, le Parquet européen ou Eurojust fournit des données d’enquête à Europol en vertu de l’article 17, paragraphe 1, point a) ou b), et demande à Europol de soutenir cette enquête:

au moyen d’une analyse opérationnelle en vertu de l’article 18, paragraphe 2, point c); ou

ii)

dans des cas exceptionnels et dûment justifiés, au moyen de recoupements en vertu de l’article 18, paragraphe 2, point a);

Europol évalue qu’il n’est pas possible de procéder à l’analyse opérationnelle en vertu de l’article 18, paragraphe 2, point c), ou aux recoupements en vertu de l’article 18, paragraphe 2, point a), à l’appui de cette enquête sans traiter des données à caractère personnel qui ne respectent pas l’article 18, paragraphe 5.

Les résultats de l’évaluation visée au premier alinéa, point b), sont enregistrés et transmis au CEPD pour information quand Europol cesse de soutenir l’enquête visée au premier alinéa.

Lorsque l’État membre visé au paragraphe 1, premier alinéa, point a), n’est plus autorisé à traiter les données dans le cadre de l’enquête pénale spécifique en cours visée au paragraphe 1 conformément aux exigences et garanties procédurales prévues par son droit national applicable, il informe Europol.

Lorsque le Parquet européen ou Eurojust fournit des données d’enquête à Europol et qu’il n’est plus autorisé à traiter les données dans le cadre de l’enquête pénale spécifique en cours visée au paragraphe 1 conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union et du droit national, il informe Europol.

Europol peut traiter des données d’enquête conformément à l’article 18, paragraphe 2, pendant toute la durée de son soutien à l’enquête pénale spécifique en cours pour laquelle les données d’enquête ont été fournies conformément au paragraphe 1, premier alinéa, point a), du présent article, et à la seule fin de soutenir cette enquête.

Europol peut conserver les données d’enquête fournies conformément au paragraphe 1, premier alinéa, point a), et les résultats de son traitement de ces données au-delà de la période de traitement fixée au paragraphe 3, à la demande du fournisseur de ces données d’enquête, à la seule fin de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel, et uniquement tant que la procédure judiciaire concernant l’enquête pénale spécifique pour laquelle ces données ont été fournies est en cours.

Les fournisseurs de données d’enquête visés au paragraphe 1, premier alinéa, point a), ou, avec leur accord, un État membre dans lequel une procédure judiciaire relative à une enquête pénale connexe est en cours peuvent demander à Europol de conserver les données d’enquête et les résultats de son analyse opérationnelle de ces données au-delà de la période de traitement fixée au paragraphe 3 aux fins de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel, et uniquement tant que la procédure judiciaire concernant une enquête pénale connexe est en cours dans cet autre État membre.

Sans préjudice du traitement de données à caractère personnel au titre de l’article 18, paragraphe 6 bis, les données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II sont séparées des autres données sur le plan fonctionnel et ne sont traitées que lorsque cela est nécessaire et proportionné aux fins des paragraphes 3, 4 et 6 du présent article.

Le conseil d’administration, sur proposition du directeur exécutif et après consultation du CEPD, précise les conditions relatives à la fourniture et au traitement des données à caractère personnel conformément aux paragraphes 3 et 4.

Les paragraphes 1 à 4 du présent article s’appliquent également lorsque des données à caractère personnel sont fournies à Europol par un pays tiers visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis, et lorsque ce pays tiers fournit à Europol des données d’enquête afin de réaliser une analyse opérationnelle qui contribue à l’enquête pénale spécifique menée dans un ou plusieurs États membres et soutenue par Europol, à condition que le pays tiers ait obtenu les données dans le cadre d’une enquête pénale conformément aux exigences et garanties procédurales applicables au titre de son droit pénal national.

Lorsqu’un pays tiers fournit des données d’enquête à Europol conformément au premier alinéa, le délégué à la protection des données peut, s’il y a lieu, en informer le CEPD.

Europol vérifie que le volume de données à caractère personnel visées au premier alinéa n’est pas manifestement disproportionné par rapport à l’enquête pénale spécifique menée dans l’État membre concerné. Lorsqu’Europol conclut qu’il existe une indication selon laquelle ces données sont manifestement disproportionnées ou ont été collectées en violation manifeste des droits fondamentaux, Europol ne traite pas les données et les efface.

Europol ne peut accéder aux données à caractère personnel traitées en vertu du présent paragraphe que si cela est nécessaire pour soutenir l’enquête pénale spécifique pour laquelle elles ont été fournies. Ces données à caractère personnel ne sont partagées qu’à l’intérieur de l’Union.

▼B

Article 19

Détermination des finalités du traitement d'informations par Europol et des limitations en la matière

▼M1

Un État membre, un organe de l’Union, un pays tiers ou une organisation internationale qui fournit des informations à Europol définit la ou les finalités pour lesquelles ces informations doivent être traitées, conformément à l’article 18.

Lorsqu’un fournisseur des informations visé au premier alinéa n’a pas respecté ledit alinéa, Europol, en accord avec le fournisseur des informations concerné, traite ces informations en vue de déterminer leur pertinence ainsi que la ou les finalités pour lesquelles elles doivent être traitées ultérieurement.

Europol ne traite ces informations à des fins autres que celles pour lesquelles elles ont été fournies que si le fournisseur des informations l’y autorise.

Les informations fournies aux fins visées à l’article 18, paragraphe 2, points a) à d), peuvent également être traitées par Europol aux fins de l’article 18, paragraphe 2, point e), conformément à l’article 33 bis.

Les États membres, les organes de l’Union, les pays tiers et les organisations internationales peuvent notifier, lors de la fourniture des informations à Europol, toute limitation de l’accès à ces informations ou de leur utilisation, en termes généraux ou spécifiques, y compris en ce qui concerne leur transfert, transmission, effacement ou destruction. Lorsque la nécessité d’avoir de telles limitations apparaît après la fourniture des informations, ils en informent Europol. Europol respecte ces limitations.

▼B

Dans des cas dûment justifiés, Europol peut soumettre les informations extraites auprès de sources accessibles au public à des limitations d'accès ou d'utilisation par les États membres, les organes de l'Union, les pays tiers et les organisations internationales.

Article 20

Accès des États membres et du personnel d'Europol aux informations conservées par Europol

Les États membres ont, conformément à leur droit national et à l'article 7, paragraphe 5, accès à toutes les informations fournies aux fins de l'article 18, paragraphe 2, points a) et b), et peuvent effectuer des recherches dans ces données. Cela s'entend sans préjudice du droit des États membres, des organes de l'Union, des pays tiers et des organisations internationales de notifier toute limitation conformément à l'article 19, paragraphe 2.

Les États membres disposent, conformément à leur droit national et à l'article 7, paragraphe 5, d'un accès indirect fondé sur un système de concordance/non-concordance («hit/no hit») aux informations fournies aux fins de l'article 18, paragraphe 2, point c). Cela s'entend sans préjudice de toute limitation notifiée par les États membres, les organes de l'Union, les pays tiers et les organisations internationales ayant fourni ces informations, conformément à l'article 19, paragraphe 2.

En cas de concordance, Europol engage la procédure permettant de partager l'information qui a généré cette concordance, conformément à la décision du fournisseur de l'information à Europol.

▼M1

2 bis.

Dans le cadre des projets d’analyse opérationnelle visés à l’article 18, paragraphe 3, et dans le respect des règles et garanties en matière de traitement des données à caractère personnel énoncées dans le présent règlement, les États membres peuvent déterminer les informations qu’Europol rendra directement accessibles à d’autres États membres sélectionnés, aux fins d’une analyse opérationnelle conjointe dans des enquêtes spécifiques, sans préjudice d’éventuelles limitations notifiées en vertu de l’article 19, paragraphe 2, et conformément aux procédures définies dans les lignes directrices visées à l’article 18, paragraphe 7.

▼M1

Conformément au droit national, les informations visées aux paragraphes 1, 2 et 2 bis ne sont accessibles et ne font l’objet d’un traitement ultérieur par les États membres qu’à des fins de prévention, de détection, d’enquêtes et de poursuites concernant:

▼B

des formes de criminalité qui relèvent de la compétence d'Europol; et

d'autres formes graves de criminalité énoncées dans la décision-cadre 2002/584/JAI du Conseil ( 13 ).

Les membres du personnel d'Europol dûment habilités par le directeur exécutif ont accès aux informations traitées par Europol dans la mesure nécessaire à l'exécution de leurs fonctions et sans préjudice de l'article 67.

▼M1

Article 20 bis

Relations avec le Parquet européen

Europol noue et entretient une relation étroite avec le Parquet européen. Dans le cadre de cette relation, Europol et le Parquet européen agissent dans le cadre de leurs compétences respectives. À cette fin, ils concluent un arrangement de travail définissant les modalités de leur coopération.

À la demande du Parquet européen conformément à l’article 102 du règlement (UE) 2017/1939, Europol soutient les enquêtes du Parquet européen et coopère avec ce dernier, en fournissant des informations et une aide à l’analyse, jusqu’à ce que le Parquet européen détermine s’il y a lieu d’engager des poursuites ou, dans la négative, de procéder au classement sans suite.

Afin de fournir des informations au Parquet européen en vertu du paragraphe 2 du présent article, Europol prend toutes les mesures appropriées pour permettre au Parquet européen de disposer d’un accès indirect sur la base d’un système concordance/non-concordance (“hit/no hit”) aux données relatives aux infractions qui relèvent des compétences du Parquet européen, fournies aux fins de l’article 18, paragraphe 2, points a), b) et c). Ce système de concordance/non-concordance (“hit/no hit”) n’informe Europol qu’en cas de concordance et sans préjudice de toute limitation notifiée en vertu de l’article 19, paragraphe 2, par les fournisseurs des informations visés à l’article 19, paragraphe 1.

En cas de concordance, Europol engage la procédure permettant de partager l’information qui a généré cette concordance, conformément à la décision du fournisseur des informations visé à l’article 19, paragraphe 1, et seulement dans la mesure où les données générant la concordance sont pertinentes pour la demande présentée en vertu du paragraphe 2 du présent article.

Europol signale, sans retard injustifié, au Parquet européen tout comportement délictueux à l’égard duquel celui-ci pourrait exercer sa compétence conformément à l’article 22 et à l’article 25, paragraphes 2 et 3, du règlement (UE) 2017/1939 et sans préjudice de toute limitation notifiée en vertu de l’article 19, paragraphe 2, du présent règlement par le fournisseur des informations.

Lorsqu’Europol effectue des signalements à l’intention du Parquet européen en vertu du premier alinéa, il en informe sans retard les États membres concernés.

Lorsque les informations relatives à un comportement délictueux à l’égard duquel le Parquet européen pourrait exercer sa compétence ont été fournies à Europol par un État membre qui a notifié des limitations d’utilisation de ces informations en vertu de l’article 19, paragraphe 2, du présent règlement, Europol informe le Parquet européen de l’existence de ces limitations et en réfère à l’État membre concerné. L’État membre concerné entre directement en contact avec le Parquet européen afin de se conformer à l’article 24, paragraphes 1 et 4, du règlement (UE) 2017/1939.

▼B

Article 21

Accès d'Eurojust et de l'OLAF aux informations conservées par Europol

Europol prend toutes les mesures appropriées pour permettre à Eurojust et à l'OLAF, dans le cadre de leurs mandats respectifs, de disposer d'un accès indirect fondé sur un système de concordance/non-concordance («hit/no hit») aux informations fournies aux fins de l'article 18, paragraphe 2, points a), b) et c), sans préjudice de toute limitation notifiée par les États membres, les organes de l'Union, les pays tiers ou les organisations internationales ayant fourni les informations concernées, conformément à l'article 19, paragraphe 2.

En cas de concordance, Europol engage la procédure permettant de partager l'information qui a généré cette concordance, conformément à la décision du fournisseur de l'information à Europol et uniquement dans la mesure où les données générant la concordance sont nécessaires à l'accomplissement des missions d'Eurojust ou de l'OLAF.

Europol et Eurojust peuvent conclure un arrangement de travail leur assurant de manière réciproque et dans le cadre de leurs mandats respectifs, l'accès à toutes les informations fournies aux fins de l'article 18, paragraphe 2, point a), et la possibilité d'effectuer des recherches sur ces informations. Cela est sans préjudice du droit des États membres, des organes de l'Union, des pays tiers et des organisations internationales de notifier toute limitation de l'accès à ces données ou de leur utilisation et conformément aux garanties en matière de protection des données prévues dans le présent règlement.

Les recherches d'information relevant des paragraphes 1 et 2 ne sont effectuées qu'aux fins de déterminer si des informations disponibles auprès d'Eurojust ou de l'OLAF correspondent aux informations traitées au sein d'Europol.

Europol n'autorise la réalisation de recherches conformément aux paragraphes 1 et 2 qu'après avoir obtenu, de la part d'Eurojust, des informations sur les membres nationaux, les suppléants, les assistants et les membres du personnel d'Eurojust et, de la part de l'OLAF, des informations quant aux membres de son personnel qui ont été habilités à effectuer ces recherches.

Si, au cours de ses activités de traitement d'informations dans le cadre d'une enquête déterminée, Europol ou un État membre constate la nécessité d'une coordination, d'une coopération ou d'un appui conformément au mandat d'Eurojust ou de l'OLAF, Europol en informe ces derniers et engage la procédure de partage des informations, conformément à la décision de l'État membre ayant fourni les informations. Dans ce cas, Eurojust ou l'OLAF consultent Europol.

Eurojust, y compris son collège, ses membres nationaux, leurs suppléants, les assistants et les membres de son personnel, ainsi que l'OLAF respectent toute limitation de l'accès ou de l'utilisation, formulée en termes généraux ou spécifiques, notifiée par un État membre, un organe de l'Union, un pays tiers ou une organisation internationale, conformément à l'article 19, paragraphe 2.

Europol, Eurojust et l'OLAF s'informent mutuellement si, après consultation de leurs données réciproques conformément au paragraphe 2 ou à la suite d'une concordance conformément au paragraphe 1, il existe des indications selon lesquelles certaines données pourraient être erronées ou contredire d'autres données.

▼M1

Si, pendant le traitement des informations concernant une enquête pénale spécifique ou un projet spécifique, Europol détecte des informations relatives à une éventuelle activité illégale portant atteinte aux intérêts financiers de l’Union, Europol fournit ces informations, sans retard, à l’OLAF, sans préjudice de toute limitation notifiée en vertu de l’article 19, paragraphe 2, par l’État membre ayant fourni ces informations.

Lorsqu’Europol fournit à l’OLAF des informations en vertu du premier alinéa, elle informe sans retard les États membres concernés.

▼B

Article 22

Obligation d'informer les États membres

Conformément à l'article 4, paragraphe 1, point b), Europol communique sans retard à un État membre toute information le concernant. Si ces informations sont soumises à des limitations d'accès en application de l'article 19, paragraphe 2, qui en empêcheraient le partage, Europol consulte le fournisseur des informations qui a notifié la limitation d'accès afin d'obtenir l'autorisation de partager ces informations.

Dans un tel cas, les informations ne sont pas partagées sans autorisation explicite du fournisseur des informations.

Indépendamment de toute limitation d'accès, Europol communique à un État membre toute information le concernant si cela est absolument nécessaire aux fins de la prévention d'une menace imminente pour la vie des personnes.

Dans un tel cas, Europol informe simultanément le fournisseur des informations du partage de ces informations et justifie son analyse de la situation.

CHAPITRE V

RELATIONS AVEC LES PARTENAIRES

SECTION 1

Dispositions communes

Article 23

Dispositions communes

Dans la mesure où cela est nécessaire à l'accomplissement de ses missions, Europol peut établir et entretenir des relations de coopération avec des organes de l'Union conformément aux objectifs de ces derniers, avec des autorités de pays tiers, des organisations internationales et des parties privées.

Sous réserve de toute limitation en vertu de l'article 19, paragraphe 2, et sans préjudice de l'article 67, Europol peut procéder à un échange direct de toute information, à l'exception des données à caractère personnel, avec les entités visées au paragraphe 1 du présent article, dans la mesure où un tel échange est pertinent pour l'accomplissement de ses missions.

Le directeur exécutif informe le conseil d'administration de toutes les relations de coopération régulière qu'Europol a l'intention d'établir et de maintenir conformément aux paragraphes 1 et 2 ainsi que de leur évolution une fois qu'elles ont été établies.

Aux fins mentionnées aux paragraphes 1 et 2, Europol peut conclure des arrangements de travail avec des entités visées au paragraphe 1. De tels arrangements n'autorisent pas l'échange de données à caractère personnel et ne lient ni l'Union ni ses États membres.

Europol peut recevoir et traiter des données à caractère personnel d'entités mentionnées au paragraphe 1 dans la mesure où cela est nécessaire et proportionné pour l'accomplissement légitime de ses missions et sous réserve des dispositions du présent chapitre.

Sans préjudice de l'article 30, paragraphe 5, les données à caractère personnel ne sont transférées par Europol à des organes de l'Union, vers des pays tiers et à des organisations internationales que si cela est nécessaire pour prévenir et lutter contre les formes de criminalité relevant des objectifs d'Europol et conformément au présent règlement, et si le destinataire s'engage à ce que les données ne soient traitées qu'aux fins pour lesquelles elles ont été transférées. Si les données à transférer ont été fournies par un État membre, Europol demande le consentement de ce dernier, sauf si l'État membre a donné son accord préalable à ce transfert, en termes généraux ou sous réserve de conditions spécifiques. Cet accord est révocable à tout moment.

▼M1

Les transferts ultérieurs de données à caractère personnel détenues par Europol, les États membres, les organes de l’Union, les pays tiers, les organisations internationales ou les parties privées sont interdits, à moins qu’Europol ne les ait explicitement autorisés au préalable.

▼B

Europol veille à ce qu'un relevé détaillé de tous les transferts de données à caractère personnel ainsi que des motifs de ces transferts soit conservé, conformément au présent règlement.

Toute information manifestement obtenue en violation manifeste des droits de l'homme ne peut faire l'objet d'aucun traitement.

SECTION 2

▼M1

Transmissions, transferts et échanges de données à caractère personnel

Article 24

Transmission de données à caractère personnel aux organes de l’Union

Europol ne transmet des données à caractère personnel à un organe de l’Union, conformément à l’article 71, paragraphe 2, du règlement (UE) 2018/1725, sous réserve de toute autre limitation en vertu du présent règlement et sans préjudice de l’article 67 du présent règlement, que si ces données sont nécessaires et proportionnées pour l’accomplissement légitime de missions de l’organe de l’Union destinataire.

À la suite d’une demande de transmission de données à caractère personnel d’un autre organe de l’Union, Europol vérifie la compétence de l’autre organe de l’Union. Si Europol n’est pas en mesure de confirmer que la transmission des données à caractère personnel est nécessaire conformément au paragraphe 1, Europol demande à l’organe de l’Union demandeur un complément d’informations.

L’organe de l’Union demandeur veille à ce que la nécessité de la transmission des données à caractère personnel puisse être vérifiée.

L’organe de l’Union destinataire traite les données à caractère personnel visées aux paragraphes 1 et 2 aux seules fins pour lesquelles elles ont été transmises.

▼B

Article 25

Transfert de données à caractère personnel vers des pays tiers et à des organisations internationales

▼M1

Sous réserve de toute limitation notifiée en vertu de l’article 19, paragraphe 2 ou 3, et sans préjudice de l’article 67, Europol peut transférer des données à caractère personnel aux autorités compétentes d’un pays tiers ou à une organisation internationale, à condition que ce transfert soit nécessaire à l’accomplissement de ses missions, sur l’un des fondements suivants:

une décision de la Commission adoptée conformément à l’article 36 de la directive (UE) 2016/680, selon laquelle le pays tiers, un territoire ou un ou plusieurs secteurs déterminés au sein de ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat (ci-après dénommée «décision d’adéquation»);

▼B

un accord international conclu entre l'Union et le pays tiers ou l'organisation internationale concerné, en vertu de l'article 218 du traité sur le fonctionnement de l'Union européenne, offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et des droits fondamentaux des personnes;

un accord de coopération autorisant l'échange de données à caractère personnel, conclu avant le 1er mai 2017 entre Europol et le pays tiers ou l'organisation internationale concerné, conformément à l'article 23 de la décision 2009/371/JAI.

Europol peut conclure des arrangements administratifs afin de mettre en œuvre ces accords ou ces décisions d'adéquation.

Le directeur exécutif informe le conseil d'administration des échanges de données à caractère personnel effectués sur la base de décisions d'adéquation en vertu du paragraphe 1, point a).

▼M1 —————

▼B

Au plus tard le 14 juin 2021, la Commission évalue les dispositions figurant dans les accords de coopération visés au paragraphe 1, point c), en particulier celles concernant la protection des données. La Commission informe le Parlement européen et le Conseil du résultat de cette évaluation et peut, le cas échéant, présenter au Conseil une recommandation de décision autorisant l'ouverture de négociations en vue de la conclusion d'accords internationaux visés au paragraphe 1, point b).

▼M1

4 bis.

En l’absence de décision d’adéquation, le conseil d’administration peut autoriser Europol à transférer des données à caractère personnel à une autorité compétente d’un pays tiers ou à une organisation internationale lorsque:

des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont prévues dans un instrument juridiquement contraignant; ou

Europol a évalué toutes les circonstances entourant le transfert de données à caractère personnel et a conclu que des garanties appropriées existent en ce qui concerne la protection de ces données.

▼B

►M1 Par dérogation au paragraphe 1, le directeur exécutif peut, dans des cas dûment justifiés, autoriser le transfert ou une catégorie de transferts de données à caractère personnel à une autorité compétente d’un pays tiers ou à une organisation internationale, au cas par cas, si le transfert ou la catégorie de transferts est: ◄

nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne;

▼M1

nécessaire à la sauvegarde des intérêts légitimes de la personne concernée;

▼B

essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers;

nécessaire dans des cas particuliers à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales; ou

nécessaire dans des cas particuliers à la constatation, à l'exercice ou à la défense d'un droit en justice en rapport avec la prévention et la détection d'une infraction pénale spécifique, les enquêtes et les poursuites en la matière, ou avec l'exécution d'une sanction pénale spécifique.

Les données à caractère personnel ne sont pas transférées si le directeur exécutif estime que les libertés et les droits fondamentaux de la personne concernée prévalent sur l'intérêt public dans le cadre du transfert visé aux points d) et e).

Aucune dérogation ne peut être applicable aux transferts systématiques, en masse ou structurels.

Par dérogation au paragraphe 1, le conseil d'administration peut, en accord avec le CEPD, autoriser, pour une période ne pouvant dépasser un an, renouvelable, une série de transferts conformément au paragraphe 5, points a) à e), compte tenu de l'existence de garanties adéquates en ce qui concerne la protection de la vie privée et des libertés et des droits fondamentaux des personnes physiques. Cette autorisation doit être dûment justifiée et documentée.

Le directeur exécutif informe au plus vite le conseil d'administration et le CEPD des cas dans lesquels le paragraphe 5 a été appliqué.

▼M1

Europol informe le CEPD des catégories de transferts relevant du paragraphe 4 bis, point b). Lorsqu’un transfert est effectué conformément au paragraphe 4 bis ou 5, ce transfert est documenté et la documentation est mise à la disposition du CEPD, sur demande. La documentation comporte un relevé de la date et de l’heure du transfert et des informations sur l’autorité compétente visée au présent article, sur la justification du transfert et sur les données à caractère personnel transférées.

▼B

Article 26

Échanges de données à caractère personnel avec des parties privées

Dans la mesure où cela est nécessaire à l'accomplissement de ses missions, Europol peut traiter des données à caractère personnel obtenues de parties privées à condition de les avoir reçues par l'intermédiaire:

d'une unité nationale, conformément au droit national;

du point de contact d'un pays tiers ou d'une organisation internationale avec lesquels Europol a conclu, avant le 1er mai 2017, un accord de coopération autorisant l'échange de données à caractère personnel conformément à l'article 23 de la décision 2009/371/JAI; ou

▼M1

d’une autorité d’un pays tiers ou d’une organisation internationale visée à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis.

Lorsqu’Europol reçoit des données à caractère personnel directement de parties privées, elle peut les traiter conformément à l’article 18 afin de déterminer les unités nationales concernées, visées au paragraphe 1, point a), du présent article. Europol transmet immédiatement aux unités nationales concernées les données à caractère personnel et les éventuels résultats pertinents du traitement nécessaire de ces données aux fins de l’établissement de la compétence. Europol peut transmettre aux points de contact et aux autorités concernés visés au paragraphe 1, points b) et c), du présent article les données à caractère personnel et les résultats pertinents du traitement nécessaire de ces données aux fins de l’établissement de la compétence, conformément à l’article 25. Si Europol ne peut déterminer aucune des unités nationales concernées ou a déjà transmis les données à caractère personnel à toutes les unités nationales respectivement concernées qu’elle a déterminées et s’il n’est pas possible de déterminer d’autres unités nationales concernées, elle procède à l’effacement des données, à moins que l’unité nationale, le point de contact ou l’autorité concerné ne soumette à nouveau les données à caractère personnel à Europol conformément à l’article 19, paragraphe 1, dans les quatre mois suivant la transmission ou le transfert.

Les critères permettant de déterminer si l’unité nationale de l’État membre d’établissement de la partie privée concernée constitue une unité nationale concernée sont énoncés dans les lignes directrices visées à l’article 18, paragraphe 7.

▼M1

2 bis.

Toute coopération d’Europol avec des parties privées ne fait pas double emploi ni n’interfère avec les activités des CRF des États membres, et ne concerne pas les informations qui doivent être fournies aux CRF aux fins de la directive (UE) 2015/849.

▼B

À la suite du transfert de données à caractère personnel conformément au paragraphe 5, point c), du présent article, Europol peut, en rapport avec celles-ci, recevoir des données à caractère personnel directement d'une partie privée que cette partie privée déclare être autorisée par la loi à transmettre conformément au droit applicable, afin de traiter ces données pour l'accomplissement de la mission prévue à l'article 4, paragraphe 1, point m).

▼M1

Lorsqu’Europol reçoit des données à caractère personnel d’une partie privée établie dans un pays tiers, elle ne transmet ces données et les résultats de son analyse et de la vérification de ces données qu’à un État membre, ou à un pays tiers concerné visé à l’article 25, paragraphe 1, point a) b) ou c), ou à l’article 25, paragraphe 4 bis.

Sans préjudice du premier alinéa du présent paragraphe, Europol peut transférer les résultats visés au premier alinéa du présent paragraphe au pays tiers concerné en vertu de l’article 25, paragraphe 5 ou 6.

Europol ne transmet pas ou ne transfère pas de données à caractère personnel à des parties privées, sauf dans les cas suivants et pour autant que cette transmission ou ce transfert soit strictement nécessaire et proportionné, ceci étant à déterminer au cas par cas:

la transmission ou le transfert est, indubitablement, dans l’intérêt de la personne concernée;

la transmission ou le transfert est strictement nécessaire aux fins de la prévention de la commission imminente d’une forme de criminalité, y compris le terrorisme, qui relève des objectifs d’Europol;

la transmission ou le transfert de données à caractère personnel qui sont accessibles au public est strictement nécessaire à l’accomplissement de la mission visée à l’article 4, paragraphe 1, point m), et les conditions suivantes sont remplies:

la transmission ou le transfert concerne un cas individuel et spécifique;

ii)

les libertés et les droits fondamentaux de la personne concernée ne prévalent pas sur l’intérêt public qui exige que ces données à caractère personnel soient transmises ou transférées dans le cas en question; ou

la transmission ou le transfert est strictement nécessaire pour qu’Europol puisse notifier à la partie privée concernée que les informations reçues sont insuffisantes pour permettre à Europol de déterminer les unités nationales concernées, et les conditions suivantes sont réunies:

la transmission ou le transfert fait suite à la réception de données à caractère personnel fournies directement par une partie privée conformément au paragraphe 2;

ii)

les informations manquantes, auxquelles Europol peut faire référence dans sa notification, présentent un lien manifeste avec les informations précédemment partagées par cette partie privée;

iii)

les informations manquantes, auxquelles Europol peut faire référence dans sa notification, sont strictement limitées à ce qui est nécessaire à Europol pour déterminer les unités nationales concernées.

La transmission ou le transfert visé au premier alinéa du présent paragraphe a lieu sous réserve de toute limitation notifiée en vertu de l’article 19, paragraphe 2 ou 3, et a lieu sans préjudice de l’article 67.

En ce qui concerne le paragraphe 5, points a), b) et d), du présent article, si la partie privée concernée n’est pas établie dans l’Union ou dans un pays tiers visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis, le transfert n’est autorisé par le directeur exécutif que si ce transfert est:

nécessaire à la sauvegarde des intérêts vitaux de la personne concernée en question ou d’une autre personne;

nécessaire à la sauvegarde des intérêts légitimes de la personne concernée en question;

essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers;

nécessaire dans des cas particuliers à des fins de prévention et de détection d’une forme de criminalité spécifique relevant des objectifs d’Europol, d’enquêtes et de poursuites en la matière; ou

nécessaire, dans des cas particuliers, à la constatation, à l’exercice ou à la défense d’un droit en justice en rapport avec la prévention et la détection d’une infraction pénale spécifique relevant des objectifs d’Europol, les enquêtes et les poursuites en la matière.

Les données à caractère personnel ne sont pas transférées si le directeur exécutif estime que les libertés et droits fondamentaux de la personne concernée prévalent sur l’intérêt public qui exige le transfert visé au premier alinéa, points d) et e), du présent paragraphe.

▼M1

6 bis.

Sans préjudice du paragraphe 5, points a), c) et d), du présent article et d’autres actes juridiques de l’Union, les transferts ou transmissions de données à caractère personnel au titre des paragraphes 5 et 6 ne sont pas systématiques, en masse ou structurels.

6 ter.

Europol peut demander aux États membres, par l’intermédiaire de leurs unités nationales, d’obtenir, conformément à leur droit national, des données à caractère personnel auprès de parties privées qui sont établies ou ont un représentant légal sur leur territoire, afin de les partager avec Europol. De telles demandes sont motivées et aussi précises que possible. Ces données à caractère personnel sont les moins sensibles possibles et strictement limitées à ce qui est nécessaire et proportionné aux fins de permettre à Europol de déterminer les unités nationales concernées.

Nonobstant la compétence des États membres s’agissant d’une forme de criminalité spécifique, les États membres veillent à ce que leurs autorités compétentes puissent traiter les demandes visées au premier alinéa conformément à leur droit national afin de fournir à Europol les informations qui lui nécessaires pour déterminer les unités nationales concernées.

6 quater.

Les infrastructures d’Europol peuvent être utilisées pour les échanges entre les autorités compétentes des États membres et des parties privées conformément au droit national respectif. Ces échanges peuvent également porter sur des formes de criminalité qui ne relèvent pas des objectifs d’Europol.

Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité qui relèvent des objectifs d’Europol, ils peuvent accorder à Europol l’accès à ces données.

Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité qui ne relèvent pas des objectifs d’Europol, cette dernière n’a pas accès à ces données et est considérée comme un sous-traitant conformément à l’article 87 du règlement (UE) 2018/1725.

Europol évalue les risques en matière de sécurité que pose le fait d’autoriser l’utilisation de ses infrastructures par des parties privées et, au besoin, met en œuvre des mesures de prévention et d’atténuation appropriées.

▼B

Europol veille à ce qu'un relevé détaillé de tous les transferts de données à caractère personnel ainsi que des motifs de ces transferts soit conservé conformément au présent règlement et communiqué sur demande au CEPD en application de l'article 40.

Si les données à caractère personnel reçues ou qui doivent être transférées portent atteinte aux intérêts d'un État membre, Europol informe immédiatement l'unité nationale de l'État membre concerné.

▼M1 —————

▼M1

11.

Europol prépare un rapport annuel à l’intention du conseil d’administration sur les données à caractère personnel échangées avec des parties privées en vertu des articles 26, 26 bis et 26 ter, sur la base de critères d’évaluation quantitatifs et qualitatifs fixés par le conseil d’administration.

Le rapport annuel comprend des exemples spécifiques démontrant pourquoi les demandes d’Europol formulées conformément au paragraphe 6 ter du présent article étaient nécessaires pour atteindre ses objectifs et accomplir ses missions.

Le rapport annuel tient compte des obligations de réserve et de confidentialité et les exemples sont anonymisés en ce qui concerne les données à caractère personnel.

Ce rapport annuel est transmis au Parlement européen, au Conseil, à la Commission et aux parlements nationaux.

Article 26 bis

Échanges de données à caractère personnel avec des parties privées dans les situations de crise en ligne

Dans les situations de crise en ligne, Europol peut recevoir des données à caractère personnel directement de parties privées et les traiter conformément à l’article 18.

Europol peut transférer les résultats de son analyse et de la vérification des données visées au paragraphe 1 du présent article au pays tiers concerné en vertu de l’article 25, paragraphe 5 ou 6.

Europol peut transmettre ou transférer des données à caractère personnel à des parties privées au cas par cas, sous réserve de toute limitation notifiée en vertu de l’article 19, paragraphe 2 ou 3, et sans préjudice de l’article 67, lorsque la transmission ou le transfert de ces données est strictement nécessaire pour faire face à des situations de crise en ligne, et que les libertés et les droits fondamentaux des personnes concernées ne prévalent pas sur l’intérêt public qui exige que ces données à caractère personnel soient transmises ou transférées.

Lorsque la partie privée concernée n’est pas établie dans l’Union ou dans un pays tiers visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis, le transfert exige l’autorisation du directeur exécutif.

Europol assiste les autorités compétentes des États membres, échange des informations et coopère avec celles-ci en ce qui concerne la transmission ou le transfert de données à caractère personnel à des parties privées au titre du paragraphe 3 ou 4, en particulier afin d’éviter la duplication des efforts, de renforcer la coordination et d’éviter les interférences avec les enquêtes menées dans les différents États membres.

Europol peut demander aux États membres, par l’intermédiaire de leurs unités nationales, d’obtenir, conformément à leur droit national, des données à caractère personnel auprès de parties privées qui sont établies ou ont un représentant légal sur leur territoire, aux fins de partager ces données avec Europol. De telles demandes sont motivées et aussi précises que possible. Ces données à caractère personnel sont les moins sensibles possibles et strictement limitées à ce qui est nécessaire et proportionné aux fins de permettre à Europol d’aider les États membres à faire face aux situations de crise en ligne.

Nonobstant la compétence des États membres concernant la diffusion des contenus pour lesquels Europol demande les données à caractère personnel, les États membres veillent à ce que leurs autorités compétentes puissent traiter les demandes visées au premier alinéa conformément à leur droit national aux fins de fournir à Europol les informations nécessaires à la réalisation de ses objectifs.

Europol veille à ce qu’un relevé détaillé de tous les transferts de données à caractère personnel ainsi que des motifs de ces transferts soit conservé conformément au présent règlement. Sur demande du CEPD, Europol met à la disposition du CEPD ces relevés en application de l’article 39 bis.

Si les données à caractère personnel reçues ou qui doivent être transférées portent atteinte aux intérêts d’un État membre, Europol informe immédiatement l’unité nationale de l’État membre concerné.

Article 26 ter

Échange de données à caractère personnel avec des parties privées pour lutter contre la diffusion en ligne de matériel pédopornographique en ligne

Europol peut recevoir des données à caractère personnel directement de parties privées et les traiter conformément à l’article 18 pour lutter contre la diffusion en ligne de matériel pédopornographique en ligne, conformément à l’article 4, paragraphe 1, point y).

Lorsqu’Europol reçoit des données à caractère personnel d’une partie privée établie dans un pays tiers, elle ne transmet ces données et les résultats de son analyse et de la vérification de ces données qu’à l’État membre, ou au pays tiers concerné visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis.

Europol peut transférer les résultats de son analyse et de la vérification des données visées au premier alinéa du présent paragraphe au pays tiers concerné en vertu de l’article 25, paragraphe 5 ou 6.

Europol peut transmettre ou transférer des données à caractère personnel à des parties privées, au cas par cas, sous réserve de toute limitation notifiée en vertu de l’article 19, paragraphe 2 ou 3, et sans préjudice de l’article 67, lorsque la transmission ou le transfert de ces données est strictement nécessaire pour lutter contre la diffusion en ligne de matériel pédopornographique en ligne visée à l’article 4, paragraphe 1, point y), et que les libertés et les droits fondamentaux des personnes concernées prévalent sur l’intérêt public qui exige que ces données à caractère personnel soient transmises ou transférées.

Europol peut demander aux États membres, par l’intermédiaire de leurs unités nationales, d’obtenir, conformément à leur droit national, des données à caractère personnel auprès de parties privées qui sont établies ou ont un représentant légal sur leur territoire aux fins de partager ces données avec Europol. De telles demandes sont motivées et aussi précises que possible. Ces données à caractère personnel sont les moins sensibles possibles et strictement limitées à ce qui est nécessaire et proportionné aux fins de permettre à Europol de lutter contre la diffusion en ligne de matériel pédopornographique en ligne, conformément à l’article 4, paragraphe 1, point y).

▼B

Article 27

Informations émanant de particuliers

▼M1

Dans la mesure où cela est nécessaire à l’accomplissement de ses missions, Europol peut recevoir et traiter des informations émanant de personnes privées.

Europol ne traite des données à caractère personnel émanant de personnes privées qu’à condition de les avoir reçues par l’intermédiaire:

d’une unité nationale, conformément au droit national;

du point de contact d’un pays tiers ou d’une organisation internationale en vertu de l’article 25, paragraphe 1, point c); ou

d’une autorité d’un pays tiers ou d’une organisation internationale visé à l’article 25, paragraphe 1, point a), ou b), ou à l’article 25, paragraphe 4 bis.

Lorsqu’Europol reçoit des informations, y compris des données à caractère personnel, d’une personne privée résidant dans un pays tiers autre que celui visé à l’article 25, paragraphe 1, point a) ou b), ou à l’article 25, paragraphe 4 bis, Europol ne transmet ces informations qu’à un État membre ou à ce pays tiers.

▼B

Si les données à caractère personnel reçues portent atteinte aux intérêts d'un État membre, Europol informe immédiatement l'unité nationale de l'État membre concerné.

Europol ne peut prendre contact avec des particuliers afin d'extraire des informations.

Sans préjudice des articles 36 et 37, Europol ne peut pas transférer de données à caractère personnel à des particuliers.

CHAPITRE VI

▼M1

PROTECTION DES DONNÉES

▼M1

Article 27 bis

Traitement des données à caractère personnel par Europol

Sans préjudice du présent règlement, l’article 3 et le chapitre IX du règlement (UE) 2018/1725 s’appliquent au traitement des données à caractère personnel par Europol.

Le règlement (UE) 2018/1725, à l’exception du chapitre IX, s’applique au traitement de données administratives à caractère personnel par Europol.

Les références aux «données à caractère personnel» dans le présent règlement s’entendent comme des références aux «données opérationnelles à caractère personnel» au sens de l’article 3, point 2), du règlement (UE) 2018/1725, sauf disposition contraire du présent règlement.

Le conseil d’administration adopte des règles fixant les délais de conservation des données administratives à caractère personnel.

▼M1 —————

▼B

Article 29

Évaluation de la fiabilité de la source et de l'exactitude des informations

La fiabilité de la source des informations émanant d'un État membre est évaluée, dans la mesure du possible, par l'État membre qui les fournit, en utilisant les codes d'évaluation des sources suivants:

(A): il n'existe aucun doute quant à l'authenticité, à la fiabilité et à la compétence de la source, ou l'information provient d'une source qui s'est révélée fiable dans tous les cas;

(B): l'information provient d'une source qui s'est révélée fiable dans la plupart des cas;

(C): l'information provient d'une source qui s'est révélée non fiable dans la plupart des cas;

(X): la fiabilité de la source ne peut être évaluée.

L'exactitude des informations émanant d'un État membre est évaluée, dans la mesure du possible, par l'État membre qui les fournit, en utilisant les codes d'évaluation des informations suivants:

(1): aucun doute n'est permis quant à l'exactitude de l'information;

(2): la source a eu directement connaissance de l'information, mais le fonctionnaire qui la transmet n'en a pas eu directement connaissance;

(3): la source n'a pas eu directement connaissance de l'information, mais celle-ci est corroborée par d'autres informations déjà enregistrées;

(4): la source n'a pas eu directement connaissance de l'information et celle-ci ne peut être corroborée d'aucune manière.

Lorsque, sur la base d'informations déjà en sa possession, Europol arrive à la conclusion qu'il y a lieu de corriger l'évaluation prévue au paragraphe 1 ou 2, elle en informe l'État membre concerné et cherche à s'entendre avec lui sur la modification à apporter à l'évaluation. Europol ne modifie pas l'évaluation sans cet accord.

Lorsqu'Europol reçoit d'un État membre des informations non assorties d'une évaluation conformément au paragraphe 1 ou 2, elle s'efforce d'évaluer la fiabilité de la source ou l'exactitude des informations sur la base des informations déjà en sa possession. L'évaluation de données ou d'informations spécifiques a lieu en accord avec l'État membre qui les a fournies. Un État membre peut aussi s'entendre avec Europol, en termes généraux, sur l'évaluation de types de données déterminés et de sources déterminées. En l'absence d'accord dans un cas particulier ou en l'absence d'accord en termes généraux, Europol évalue les informations ou les données et leur attribue les codes d'évaluation (X) et (4) visés, respectivement, aux paragraphes 1 et 2.

Le présent article s'applique mutatis mutandis lorsqu'Europol reçoit des données ou des informations d'un organe de l'Union, d'un pays tiers, d'une organisation internationale ou d'une partie privée.

Europol évalue les informations provenant de sources accessibles au public en utilisant les codes d'évaluation mentionnés aux paragraphes 1 et 2.

Si les informations résultent d'une analyse réalisée par Europol dans l'accomplissement de ses missions, Europol évalue ces informations conformément au présent article et en accord avec les États membres participant à l'analyse.

Article 30

Traitement de catégories particulières de données à caractère personnel et de différentes catégories de personnes concernées

Le traitement de données à caractère personnel concernant des victimes d'infraction pénale, des témoins ou d'autres personnes pouvant fournir des informations sur des infractions pénales, ou concernant des personnes de moins de 18 ans, est autorisé s'il est strictement nécessaire et proportionné pour prévenir ou lutter contre les formes de criminalité relevant des objectifs d'Europol.

►M1 Le traitement de données à caractère personnel, par des moyens automatisés ou autres, qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale et le traitement de données génétiques, de données biométriques aux fins d’identifier une personne physique de manière unique, ou de données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique n’est autorisé que lorsque cela est strictement nécessaire et proportionné aux fins de projets de recherche et d’innovation menés en vertu de l’article 33 bis et à des fins opérationnelles, dans le cadre des objectifs d’Europol, et dans le seul but de prévenir ou de combattre les formes de criminalité relevant des objectifs d’Europol. Un tel traitement de données s’effectue également sous réserve des garanties appropriées prévues dans le présent règlement concernant les droits et libertés de la personne concernée et, à l’exception du traitement de données biométriques aux fins d’identifier une personne physique de manière unique, n’est autorisé que si ces données complètent d’autres données à caractère personnel traitées par Europol. ◄ La sélection d'un groupe particulier de personnes sur la seule base de ces données à caractère personnel est interdite.

▼M1

2 bis.

Le délégué à la protection des données est informé sans retard injustifié de tout traitement de données à caractère personnel effectué en vertu du présent article.

▼M1

Europol a l’exclusivité de l’accès direct aux données à caractère personnel visées aux paragraphes 1 et 2. Le directeur exécutif autorise dûment un nombre limité de membres du personnel d’Europol à avoir cet accès s’il est nécessaire à l’exécution de leurs tâches.

Nonobstant le premier alinéa, lorsqu’il est nécessaire d’accorder au personnel des autorités compétentes des États membres ou des agences de l’Union instituées sur la base du titre V du traité sur le fonctionnement de l’Union européenne un accès direct aux données à caractère personnel pour l’exécution de leurs tâches, dans les cas prévus à l’article 20, paragraphes 1 et 2 bis, du présent règlement ou pour des projets de recherche et d’innovation menés conformément à l’article 33 bis, paragraphe 2, point d), du présent règlement, le directeur exécutif autorise dûment un nombre limité de ces membres de personnel à avoir cet accès.

▼M1 —————

▼M1

Les données à caractère personnel visées aux paragraphes 1 et 2 ne sont pas transmises à des États membres ou à des organes de l’Union ou transférées vers des pays tiers ou à des organisations internationales, à moins que cette transmission ou ce transfert ne soit requis par le droit de l’Union ou strictement nécessaire et proportionné dans des cas particuliers concernant des formes de criminalité relevant des objectifs d’Europol et que cela ne soit conforme au chapitre V.

▼B

Tous les ans, Europol fournit au CEPD un aperçu statistique de toutes les données à caractère personnel visées au paragraphe 2 qu'elle a traitées.

Article 31

Délais pour la conservation et l'effacement des données à caractère personnel

Les données à caractère personnel traitées par Europol ne sont conservées par celle-ci que pour la durée nécessaire et proportionnée aux finalités pour lesquelles ces données sont traitées.

Europol réexamine, en toute hypothèse, la nécessité de continuer à conserver les données à caractère personnel au plus tard trois ans après le début de leur traitement initial. Europol peut décider de continuer à conserver des données à caractère personnel jusqu'à l'examen suivant, qui a lieu à l'issue d'une nouvelle période de trois ans, si leur conservation reste nécessaire pour lui permettre de remplir ses missions. Les raisons de continuer à conserver les données sont justifiées et consignées. En l'absence de décision de conserver plus longtemps des données à caractère personnel, celles-ci sont effacées automatiquement après trois ans.

Si des données à caractère personnel visées à l'article 30, paragraphes 1 et 2, sont conservées pendant une durée supérieure à cinq ans, le CEPD en est informé.

Lorsqu'un État membre, un organe de l'Union, un pays tiers ou une organisation internationale a fait part, lors du transfert d'informations, d'une quelconque limitation en ce qui concerne l'effacement ou la destruction anticipé(e) des données à caractère personnel, conformément à l'article 19, paragraphe 2, Europol efface lesdites données conformément à ces limitations. Si, sur la base d'informations plus larges que celles en possession du fournisseur de données, il est jugé nécessaire de continuer à conserver des données pour qu'Europol puisse remplir ses missions, Europol sollicite auprès du fournisseur de données, en justifiant sa demande, l'autorisation de continuer à conserver les données.

Lorsqu'un État membre, un organe de l'Union, un pays tiers ou une organisation internationale efface de ses propres fichiers de données des données à caractère personnel fournies à Europol, il ou elle en informe cette dernière. Europol efface les données sauf si, sur la base d'informations plus larges que celles en possession du fournisseur de données, il est jugé nécessaire de continuer à conserver lesdites données pour qu'Europol puisse remplir ses missions. Europol informe le fournisseur de données du maintien de la conservation de ces données, en justifiant celui-ci.

L'effacement de données à caractère personnel n'a pas lieu:

s'il risque de nuire aux intérêts d'une personne concernée qui doit être protégée. Dans ce cas, les données ne peuvent être utilisées qu'avec le consentement exprès et écrit de la personne concernée;

si la personne concernée conteste l'exactitude des données, pendant une durée permettant aux États membres ou à Europol, si nécessaire, de vérifier cette exactitude;

si les données à caractère personnel doivent être conservées à des fins probatoires ou pour la constatation, l'exercice ou la défense d'un droit en justice; ou

si la personne concernée s'oppose à leur effacement et demande, en lieu et place, la limitation de leur utilisation.

▼M1

Article 32

Sécurité du traitement

Des mécanismes visant à garantir que des mesures de sécurité sont prises en compte au-delà des limites des systèmes d’information sont mis en place par Europol conformément à l’article 91 du règlement (UE) 2018/1725 et par les États membres conformément à l’article 29 de la directive (UE) 2016/680.

▼M1 —————

▼M1

Article 33 bis

Traitement de données à caractère personnel à des fins de recherche et d’innovation

Europol peut traiter des données à caractère personnel aux fins de ses projets de recherche et d’innovation, à condition que le traitement de ces données à caractère personnel:

soit strictement nécessaire et dûment motivé pour atteindre les objectifs du projet concerné;

en ce qui concerne des catégories particulières de données à caractère personnel, soit strictement nécessaire et s’accompagne de garanties appropriées pouvant inclure la pseudonymisation.

Le traitement de données à caractère personnel par Europol dans le cadre de projets de recherche et d’innovation est guidé par les principes de transparence, d’explicabilité, d’équité et de responsabilité.

Sans préjudice du paragraphe 1, pour le traitement de données à caractère personnel effectué dans le cadre de projets de recherche et d’innovation d’Europol, les garanties suivantes s’appliquent:

tout projet de recherche et d’innovation requiert l’autorisation préalable du directeur exécutif, en consultation avec le délégué à la protection des données et l’officier aux droits fondamentaux, sur la base:

d’une description des objectifs du projet et d’une explication de la manière dont ce dernier soutient Europol ou les autorités compétentes des États membres dans l’accomplissement de leurs tâches;

ii)

d’une description de l’activité de traitement envisagée, expliquant les objectifs, l’ampleur et la durée du traitement, ainsi que la nécessité et la proportionnalité du traitement des données à caractère personnel, par exemple pour étudier et expérimenter des solutions technologiques innovantes et garantir l’exactitude des résultats du projet;

iii)

d’une description des catégories de données à caractère personnel à traiter;

iv)

d’une évaluation du respect des principes en matière de protection des données énoncés à l’article 71 du règlement (UE) 2018/1725, des délais pour la conservation des données à caractère personnel et des conditions d’accès à ces données; et

d’une analyse d’impact relative à la protection des données, y compris en ce qui concerne les risques pour les droits et libertés des personnes concernées, le risque de tout biais éventuel dans les données à caractère personnel à utiliser lors de l’entraînement des algorithmes et dans les résultats du traitement, et les mesures envisagées pour faire face à ces risques ainsi que pour éviter toute atteinte aux droits fondamentaux;

le CEPD est informé préalablement au lancement du projet;

le conseil d’administration est consulté ou informé préalablement au lancement du projet, conformément aux lignes directrices visées à l’article 18, paragraphe 7;

les données à caractère personnel devant être traitées dans le cadre du projet:

sont temporairement copiées dans un environnement de traitement des données séparé, isolé et protégé au sein d’Europol à la seule fin de la réalisation de ce projet;

ii)

sont accessibles par les seuls membres du personnel expressément autorisés d’Europol conformément à l’article 30, paragraphe 3, du présent règlement et, sous réserve de mesures de sécurité techniques, par les membres du personnel expressément autorisés des autorités compétentes des États membres et des agences de l’Union instituées sur la base du titre V du traité sur le fonctionnement de l’Union européenne;

iii)

ne sont pas transmises ou transférées;

iv)

leur traitement ne débouche pas sur des mesures ou des décisions affectant les personnes concernées;

sont effacées une fois que le projet est achevé ou que le délai de conservation de ces données a expiré conformément à l’article 31;

les journaux des traitements de données à caractère personnel effectués dans le cadre du projet sont conservés pendant deux ans après la conclusion du projet, aux seules fins de vérifier l’exactitude du résultat du traitement des données et uniquement pour la durée nécessaire à cette vérification.

Le conseil d’administration définit dans un document contraignant le cadre général pour les projets de recherche et d’innovation. Ce document est actualisé en tant que de besoin et est mis à la disposition du CEPD à des fins de contrôle.

Europol conserve un document contenant une description détaillée du processus et de la justification de l’entraînement, de l’expérimentation et de la validation des algorithmes pour garantir la transparence du processus et des algorithmes, y compris leur conformité avec les garanties prévues au présent article, et pour permettre la vérification de l’exactitude des résultats basés sur l’utilisation de ces algorithmes. Sur demande, Europol met ce document à la disposition des parties intéressées, y compris les États membres et le groupe de contrôle parlementaire conjoint.

Si les données à traiter pour un projet de recherche et d’innovation ont été fournies par un État membre, un organe de l’Union, un pays tiers ou une organisation internationale, Europol demande le consentement dudit fournisseur de données conformément à l’article 19, paragraphe 2, sauf si le fournisseur de données a donné son accord préalable à ce traitement aux fins de projets de recherche et d’innovation, en termes généraux ou sous réserve de conditions spécifiques.

Europol ne traite pas de données aux fins de projets de recherche et d’innovation sans le consentement du fournisseur de données. Ce consentement peut être retiré à tout moment.

▼B

Article 34

Notification aux autorités concernées d'une violation de données à caractère personnel

▼M1

Sans préjudice de l’article 92 du règlement (UE) 2018/1725, en cas de violation de données à caractère personnel, Europol en informe les autorités compétentes des États membres concernés, sans retard injustifié, conformément à l’article 7, paragraphe 5, du présent règlement, ainsi que le fournisseur de données concerné, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés de personnes physiques.

▼B

La notification visée au paragraphe 1, à tout le moins:

décrit la nature de la violation de données à caractère personnel, y compris, si possible et s'il y a lieu, les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d'enregistrements de données concernés;

décrit les conséquences probables de la violation de données à caractère personnel;

décrit les mesures proposées ou prises par Europol pour remédier à la violation de données à caractère personnel; et

le cas échéant, recommande des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel.

▼M1 —————

▼B

Article 35

Communication à la personne concernée d'une violation de données à caractère personnel

▼M1 —————

▼M1

Sans préjudice de l’article 93 du règlement (UE) 2018/1725, si Europol n’a pas les coordonnées de la personne concernée, elle demande au fournisseur de données de communiquer la violation des données à caractère personnel à la personne concernée et d’être informée de la décision prise. Les États membres qui fournissent les données communiquent la violation des données à caractère personnel à la personne concernée conformément au droit national.

▼M1 —————

▼B

Article 36

Droit d'accès de la personne concernée

▼M1 —————

▼M1

Toute personne concernée souhaitant exercer le droit d’accès, visé à l’article 80 du règlement (UE) 2018/1725, à des données à caractère personnel la concernant peut introduire une demande à cet effet auprès de l’autorité désignée à cette fin dans l’État membre de son choix ou d’Europol. Lorsque la demande est adressée à cette autorité, celle-ci la fait suivre sans retard injustifié à Europol et, en tout état de cause, dans un délai d’un mois à compter de la réception de la demande.

▼B

Europol confirme la réception de la demande introduite en vertu du paragraphe 3. Europol répond à la demande sans retard injustifié et, en tout état de cause, dans un délai de trois mois à compter de la réception par Europol de la demande de l'autorité nationale.

Europol consulte les autorités compétentes des États membres, conformément aux conditions définies à l'article 7, paragraphe 5, et le fournisseur de données concerné sur la décision à prendre. La décision d'accorder l'accès à des données à caractère personnel est subordonnée à une étroite coopération entre Europol et les États membres et le fournisseur de données directement concerné par l'accès de la personne concernée à ces données. Si un État membre ou le fournisseur de données s'oppose à la réponse proposée par Europol, il en notifie les motifs à cette dernière conformément au paragraphe 6 du présent article. Europol tient le plus grand compte de cette opposition. Europol notifie ensuite sa décision aux autorités compétentes concernées, conformément aux conditions définies à l'article 7, paragraphe 5, et au fournisseur de données.

▼M1 —————

▼B

Article 37

Droit de rectification, d'effacement et de limitation

▼M1

Toute personne concernée souhaitant, pour des données à caractère personnel la concernant visées à l’article 82 du règlement (UE) 2018/1725, exercer le droit de rectification ou d’effacement de ces données ou de limitation du traitement de ces données peut introduire une demande à cet effet par l’intermédiaire de l’autorité désignée à cette fin dans l’État membre de son choix ou auprès d’Europol. Lorsque cette demande est adressée à cette autorité, celle-ci la fait suivre sans retard injustifié à Europol et dans un délai d’un mois à compter de la réception de la demande.

▼M1 —————

▼M1

Sans préjudice de l’article 82, paragraphe 3, du règlement (UE) 2018/1725, Europol soumet à limitation le traitement des données à caractère personnel plutôt qu’elle n’efface les données à caractère personnel lorsqu’il y a de bonnes raisons de croire que leur effacement pourrait porter atteinte aux intérêts légitimes de la personne concernée.

Les données soumises à limitation ne sont traitées qu’aux fins de protéger les droits de la personne concernée, lorsque cela est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne ou aux fins visées à l’article 82, paragraphe 3, du règlement (UE) 2018/1725.

Lorsque des données à caractère personnel visées aux paragraphes 1 et 3 détenues par Europol lui ont été fournies par des pays tiers, des organisations internationales ou des organes de l’Union, ont été fournies directement par des parties privées, ont été extraites par Europol auprès de sources accessibles au public ou résultent des propres analyses d’Europol, Europol rectifie ou efface ces données ou soumet à limitation leur traitement et informe, le cas échéant, les fournisseurs de données.

Lorsque des données à caractère personnel visées aux paragraphes 1 et 3 détenues par Europol lui ont été fournies par des États membres, les États membres concernés rectifient ou effacent ces données ou soumettent à limitation leur traitement en coopération avec Europol, dans le cadre de leurs compétences respectives.

▼B

Si des données à caractère personnel entachées d'erreur ont été transférées par un autre moyen approprié, ou si les erreurs que comportent les données fournies par les États membres sont dues à un transfert entaché d'erreur ou à un transfert effectué en violation du présent règlement, ou si elles proviennent d'une introduction, d'une reprise ou d'un stockage de données incorrect ou contraire au présent règlement effectué par Europol, Europol est tenu de rectifier ces données ou de les effacer en collaboration avec le fournisseur de données concerné.

Dans les cas visés aux paragraphes 4, 5 et 6, tous les destinataires des données concernées sont informés immédiatement. Ces destinataires procèdent alors à la rectification, à l'effacement ou à la limitation de ces données dans leur propre système, selon les règles qui leur sont applicables.

▼M1 —————

▼B

Article 38

Responsabilité en matière de protection des données

▼M1

Europol traite les données à caractère personnel d’une manière permettant d’établir leur source, conformément à l’article 17.

La responsabilité de l’exactitude des données à caractère personnel, visée à l’article 71, paragraphe 1, point d), du règlement (UE) 2018/1725, incombe:

▼B

à l'État membre ou à l'organe de l'Union qui a fourni les données à Europol;

à Europol s'il s'agit de données à caractère personnel fournies par un pays tiers ou une organisation internationale ou directement fournies par des parties privées; de données à caractère personnel extraites par Europol auprès de sources accessibles au public ou résultant de ses propres analyses; et de données à caractère personnel conservées par Europol conformément à l'article 31, paragraphe 5.

Si Europol constate que des données à caractère personnel fournies en vertu de l'article 17, paragraphe 1, points a) et b), sont entachées d'erreur de fait ou ont été stockées de façon illicite, elle en informe le fournisseur de données concerné.

▼M1

Europol est responsable du respect du règlement (UE) 2018/1725 en ce qui concerne les données administratives à caractère personnel et du respect du présent règlement ainsi que de l’article 3 et du chapitre IX du règlement (UE) 2018/1725 en ce qui concerne les données à caractère personnel.

▼B

La responsabilité de la légalité du transfert des données incombe à:

l'État membre qui a fourni les données à caractère personnel à Europol;

Europol, dans le cas de données à caractère personnel fournies par celui-ci à des États membres, des pays tiers ou des organisations internationales.

Dans le cas d'un transfert entre Europol et un organe de l'Union, la responsabilité de la légalité du transfert incombe à Europol.

Sans préjudice du premier alinéa, lorsque les données sont transférées par Europol sur demande du destinataire, la responsabilité de la légalité de ce transfert incombe tant à Europol qu'au destinataire.

Europol assume la responsabilité de toutes les opérations de traitement de données qu'elle effectue, à l'exception des échanges bilatéraux de données réalisés par l'intermédiaire de ses infrastructures entre des États membres, des organes de l'Union, des pays tiers et des organisations internationales auxquels elle n'a pas accès. Ces échanges bilatéraux ont lieu sous la responsabilité des entités concernées et conformément à leur droit. ►M1 La sécurité de ces échanges est assurée conformément à l’article 91 du règlement (UE) 2018/1725. ◄

▼M1

Article 39

Consultation préalable

Sans préjudice de l’article 90 du règlement (UE) 2018/1725, la consultation préalable du CEPD ne s’applique pas aux activités opérationnelles individuelles spécifiques ne comportant aucun nouveau type de traitement qui présenterait des risques élevés pour les libertés et les droits des personnes concernées.

Europol peut engager des opérations de traitement qui font l’objet d’une consultation préalable du CEPD en vertu de l’article 90, paragraphe 1, du règlement (UE) 2018/1725, à moins que le CEPD n’ait fourni un avis écrit en vertu de l’article 90, paragraphe 4, dudit règlement dans les délais prévus dans ladite disposition, qui commencent à courir à la date de réception de la demande initiale de consultation et ne peuvent pas être suspendus.

Lorsque les opérations de traitement visées au paragraphe 2 du présent article revêtent une importance essentielle pour l’exécution des missions d’Europol et sont particulièrement urgentes et nécessaires pour prévenir et combattre une menace immédiate d’une forme de criminalité qui relève des objectifs d’Europol ou pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne, Europol peut exceptionnellement engager le traitement après le début de la consultation préalable du CEPD prévue à l’article 90, paragraphe 1, du règlement (UE) 2018/1725 et avant l’expiration du délai prévu à l’article 90, paragraphe 4, dudit règlement. Dans ce cas, Europol informe le CEPD préalablement au début des opérations de traitement.

L’avis écrit du CEPD en vertu de l’article 90, paragraphe 4, du règlement (UE) 2018/1725 est pris en compte rétrospectivement et la manière dont le traitement est effectué est adaptée en conséquence.

Le délégué à la protection des données est associé à l’évaluation de l’urgence de telles opérations de traitement avant l’expiration du délai prévu à l’article 90, paragraphe 4, du règlement (UE) 2018/1725 et supervise le traitement en question.

Le CEPD tient un registre de toutes les opérations de traitement qui lui ont été notifiées en vertu du paragraphe 1. Ce registre n’est pas rendu public.

▼M1

Article 39 bis

Registre des catégories d’activités de traitement

Europol tient un registre de toutes les catégories d’activités de traitement effectuées sous sa responsabilité. Ce registre contient les informations suivantes:

les coordonnées d’Europol ainsi que le nom et les coordonnées du délégué à la protection des données;

les finalités du traitement;

une description des catégories de personnes concernées et des catégories de données à caractère personnel;

les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

le cas échéant, les transferts de données à caractère personnel vers un pays tiers, à une organisation internationale ou à une partie privée, y compris l’identification de ce destinataire;

dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;

dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 91 du règlement (UE) 2018/1725;

le cas échéant, le recours au profilage.

Le registre visé au paragraphe 1 se présente sous une forme écrite, y compris électronique.

Europol met le registre visé au paragraphe 1 à la disposition du CEPD sur demande.

▼M1

Article 40

Journalisation

Conformément à l’article 88 du règlement (UE) 2018/1725, Europol établit des journaux de ses opérations de traitement. Il n’est pas possible de modifier les journaux.

Sans préjudice de l’article 88 du règlement (UE) 2018/1725, si une unité nationale le requiert pour une enquête spécifique liée au respect des règles en matière de protection des données, les journaux visés au paragraphe 1 sont communiqués à cette unité nationale.

Article 41

Désignation du délégué à la protection des données

Le conseil d’administration désigne un membre du personnel d’Europol en tant que délégué à la protection des données, qui est désigné pour cette seule fonction.

Le délégué à la protection des données est choisi sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 41 ter du présent règlement et dans le règlement (UE) 2018/1725.

Le choix du délégué à la protection des données ne doit pas donner lieu à un conflit d’intérêts entre sa fonction de délégué à la protection des données et toute autre fonction officielle qu’il pourrait exercer, en particulier dans le cadre de l’application du présent règlement.

Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le conseil d’administration pour l’exercice de ses missions.

Europol publie les coordonnées du délégué à la protection des données et les communique au CEPD.

▼M1

Article 41 bis

Fonction du délégué à la protection des données

Europol veille à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

Europol aide le délégué à la protection des données à exercer les missions visées à l’article 41 ter en fournissant les ressources et le personnel nécessaires pour exercer ces missions ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d’entretenir ses connaissances spécialisées.

Afin de soutenir le délégué à la protection des données dans l’exercice de ses missions, un membre du personnel d’Europol peut être désigné en tant qu’adjoint au délégué à la protection des données.

Europol veille à ce que le délégué à la protection des données agisse en toute indépendance et ne reçoive aucune instruction en ce qui concerne l’exercice de ces missions.

Le délégué à la protection des données rend compte directement au conseil d’administration.

Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confèrent le présent règlement et le règlement (UE) 2018/1725.

Aucune personne ne doit subir de préjudice pour avoir porté à l’attention du délégué à la protection des données un fait dont elle allègue qu’il constitue une violation du présent règlement ou du règlement (UE) 2018/1725.

Le conseil d’administration adopte des dispositions d’application concernant le délégué à la protection des données. Ces dispositions d’application portent notamment sur la procédure de sélection du délégué à la protection des données, sur sa révocation, ses missions, ses fonctions et ses compétences, ainsi que sur les moyens de garantir son indépendance.

Le délégué à la protection des données et son personnel sont tenus à l’obligation de confidentialité conformément à l’article 67, paragraphe 1.

Le délégué à la protection des données est nommé pour une période de quatre ans et son mandat est renouvelable.

Le délégué à la protection des données est démis de ses fonctions par le conseil d’administration s’il ne remplit plus les conditions requises pour l’exercice de ses fonctions et il ne l’est qu’avec l’accord du CEPD.

Les noms du délégué à la protection des données et de l’adjoint au délégué à la protection des données sont communiqués au CEPD par le conseil d’administration.

10.

Les dispositions applicables au délégué à la protection des données s’appliquent mutatis mutandis à l’adjoint au délégué à la protection des données.

Article 41 ter

Missions du délégué à la protection des données

Le délégué à la protection des données exerce notamment les missions ci-après, en ce qui concerne le traitement de données à caractère personnel:

veiller en toute indépendance au respect, par Europol, des dispositions du présent règlement et du règlement (UE) 2018/1725 en matière de protection des données ainsi que des dispositions pertinentes des règles internes d’Europol relatives à la protection des données, y compris le contrôle du respect du présent règlement, du règlement (UE) 2018/1725, d’autres dispositions du droit de l’Union ou du droit national en matière de protection des données et des politiques d’Europol en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant à des opérations de traitement, et les audits s’y rapportant;

informer et conseiller Europol et le personnel qui procède au traitement de données à caractère personnel sur les obligations qui leur incombent en vertu du présent règlement, du règlement (UE) 2018/1725 et d’autres dispositions du droit de l’Union ou du droit national en matière de protection des données;

dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données en vertu de l’article 89 du règlement (UE) 2018/1725 et contrôler l’exécution de cette analyse d’impact relative à la protection des données;

tenir un registre des violations de données à caractère personnel et dispenser des conseils, sur demande, en ce qui concerne la nécessité d’une notification ou d’une communication d’une violation de données à caractère personnel conformément aux articles 92 et 93 du règlement (UE) 2018/1725;

veiller à ce qu’une trace écrite de la transmission, du transfert et de la réception des données à caractère personnel soit conservée conformément au présent règlement;

veiller à ce que les personnes concernées soient, à leur demande, informées des droits qui leur sont conférés par le présent règlement et le règlement (UE) 2018/1725;

coopérer avec le personnel d’Europol chargé des procédures, de la formation et du conseil en matière de traitement des données;

répondre aux demandes du CEPD, dans son domaine de compétences, coopérer et se concerter avec le CEPD, sur demande de celui-ci ou de sa propre initiative;

coopérer avec les autorités compétentes des États membres, en particulier avec les délégués à la protection des données des autorités compétentes des États membres et les autorités de contrôle nationales en ce qui concerne les questions relatives à la protection des données dans le domaine répressif;

faire office de point de contact pour le CEDP pour les questions relatives au traitement, y compris la consultation préalable visée aux articles 40 et 90 du règlement (UE) 2018/1725, et mener des consultations, le cas échéant, sur tout autre sujet dans son domaine de compétences;

élaborer un rapport annuel et le communiquer au conseil d’administration et au CEPD;

veiller à ce que les opérations de traitement ne portent pas atteinte aux droits et libertés des personnes concernées.

Le délégué à la protection des données peut formuler des recommandations à l’intention du conseil d’administration visant à améliorer concrètement la protection des données et dispenser des conseils sur des questions touchant à l’application des dispositions relatives à la protection des données.

De sa propre initiative ou à la demande du conseil d’administration ou de toute personne, le délégué à la protection des données peut examiner des questions et des faits qui sont directement en rapport avec ses missions et qui sont portés à sa connaissance, et faire rapport à la personne qui a demandé cet examen ou au conseil d’administration sur les résultats de cet examen.

Le délégué à la protection des données exerce les fonctions prévues par le règlement (UE) 2018/1725 en ce qui concerne les données administratives à caractère personnel.

Dans l’accomplissement de leurs missions, le délégué à la protection des données et les membres du personnel d’Europol qui l’assistent dans l’exercice de ses fonctions ont accès à toutes les données traitées par Europol ainsi qu’à tous les locaux d’Europol.

Si le délégué à la protection des données estime que les dispositions du présent règlement ou du règlement (UE) 2018/1725 relatives au traitement des données administratives à caractère personnel, ou les dispositions du présent règlement ou de l’article 3 et du chapitre IX du règlement (UE) 2018/1725 relatives au traitement des données à caractère personnel n’ont pas été respectées, il en informe le directeur exécutif et lui demande d’y remédier dans un délai déterminé.

Si le directeur exécutif ne remédie pas au problème dans le délai imparti, le délégué à la protection des données en informe le conseil d’administration. Le conseil d’administration transmet sa réponse dans un délai déterminé convenu avec le délégué à la protection des données. Si le conseil d’administration ne remédie pas au problème dans le délai imparti, le délégué à la protection des données saisit le CEPD.

Article 41 quater

Officier aux droits fondamentaux

Le conseil d’administration désigne, sur proposition du directeur exécutif, un officier aux droits fondamentaux. L’officier aux droits fondamentaux peut être un membre du personnel existant d’Europol qui a reçu une formation spéciale sur le droit et la pratique en matière de droits fondamentaux.

L’officier aux droits fondamentaux est chargé des tâches suivantes:

fournir des conseils à Europol sur toute activité de celle-ci lorsqu’il le juge nécessaire ou lorsqu’on lui en fait la demande, sans pour autant entraver ni retarder ces activités;

surveiller le respect des droits fondamentaux par Europol;

émettre des avis non contraignants sur les arrangements de travail;

informer le directeur exécutif au sujet d’éventuelles violations des droits fondamentaux au cours des activités d’Europol;

promouvoir le respect des droits fondamentaux par Europol dans l’exercice de ses missions et activités;

effectuer toute autre tâche prévue par le présent règlement.

Europol veille à ce que l’officier aux droits fondamentaux ne reçoive aucune instruction en ce qui concerne l’exercice de ses tâches.

L’officier aux droits fondamentaux rend compte directement au directeur exécutif et prépare des rapports annuels sur ses activités, y compris sur la mesure dans laquelle les activités d’Europol respectent les droits fondamentaux. Ces rapports sont mis à la disposition du conseil d’administration.

Article 41 quinquies

Formation aux droits fondamentaux

L’ensemble du personnel d’Europol participant à des tâches opérationnelles impliquant le traitement de données à caractère personnel reçoit une formation obligatoire relative à la protection des libertés et droits fondamentaux, y compris en ce qui concerne le traitement des données à caractère personnel. Cette formation est mise au point en coopération avec l’Agence des droits fondamentaux de l’Union européenne (FRA), créée par le règlement (CE) no 168/2007 du Conseil ( 14 ), et l’Agence de l’Union européenne pour la formation des services répressifs (CEPOL), instituée par le règlement (UE) 2015/2219 du Parlement européen et du Conseil ( 15 ).

▼B

Article 42

Contrôle par l'autorité de contrôle nationale

▼M1

Pour exercer leur fonction de contrôle, les autorités de contrôle nationales visées à l’article 41 de la directive (UE) 2016/680 ont accès, auprès de l’unité nationale ou dans les locaux des officiers de liaison, aux données transmises à Europol par leur État membre conformément aux procédures nationales applicables ainsi qu’aux journaux visés à l’article 40 du présent règlement.

Les autorités de contrôle nationales ont accès aux bureaux et aux dossiers de leurs officiers de liaison respectifs auprès d’Europol.

▼B

Les autorités de contrôle nationales contrôlent, conformément aux procédures nationales applicables, les activités que mènent les unités nationales et celles des officiers de liaison, dans la mesure où ces activités concernent la protection des données à caractère personnel. Elles tiennent aussi le CEPD informé de toutes les mesures qu'elles prennent à l'égard d'Europol.

Toute personne a le droit de demander à l'autorité de contrôle nationale de s'assurer de la licéité de tout transfert ou de toute communication à Europol, sous quelque forme que ce soit, de données la concernant et de l'accès à ces données par l'État membre concerné. Ce droit est exercé conformément au droit national de l'État membre auprès duquel la demande est introduite.

Article 43

Contrôle par le CEPD

►M1 Le CEPD est chargé de surveiller et de garantir l’application des dispositions du présent règlement et du règlement (UE) 2018/1725 concernant la protection des libertés et droits fondamentaux des personnes physiques à l’égard des traitements de données à caractère personnel effectués par Europol, ainsi que de conseiller Europol et les personnes concernées sur toutes les questions concernant le traitement des données à caractère personnel. ◄ À ces fins, il exerce les fonctions définies au paragraphe 2 et les pouvoirs énoncés au paragraphe 3, tout en coopérant étroitement avec les autorités de contrôle nationales conformément à l'article 44.

Le CEPD exerce les fonctions suivantes:

il reçoit et examine les réclamations, et informe la personne concernée des résultats de son examen dans un délai raisonnable;

il mène des enquêtes soit de sa propre initiative, soit sur la base d'une réclamation, et informe les personnes concernées des résultats dans un délai raisonnable;

il contrôle et garantit l'application par Europol du présent règlement et de tout autre acte de l'Union concernant la protection des personnes physiques à l'égard du traitement de données à caractère personnel effectué par Europol;

il conseille Europol, soit de sa propre initiative, soit en réponse à une consultation, sur toutes les questions concernant le traitement des données à caractère personnel, en particulier avant d'élaborer des règles internes relatives à la protection des libertés et des droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel;

il tient un registre des nouveaux types d'opérations de traitement qui lui ont été notifiés en vertu de l'article 39, paragraphe 1, et qui ont été enregistrés conformément à l'article 39, paragraphe 4;

il soumet à une consultation préalable les traitements qui lui sont notifiés.

Le CEPD peut, au titre du présent règlement:

conseiller les personnes concernées sur l'exercice de leurs droits;

saisir Europol en cas de violation alléguée des dispositions régissant le traitement des données à caractère personnel et, s'il y a lieu, formuler des propositions tendant à remédier à cette violation et à améliorer la protection des personnes concernées;

ordonner que les demandes d'exercice de certains droits à l'égard des données soient satisfaites lorsque de telles demandes ont été rejetées en violation des articles 36 et 37;

adresser un avertissement ou une admonestation à Europol;

enjoindre Europol de procéder à la rectification, à la limitation, à l'effacement ou à la destruction des données à caractère personnel qui ont été traitées en violation des dispositions régissant le traitement des données à caractère personnel, et de notifier ces mesures aux tiers auxquels ces données ont été divulguées;

interdire temporairement ou définitivement à Europol de procéder à des opérations de traitement en violation des dispositions régissant le traitement des données à caractère personnel;

saisir Europol et, si nécessaire, le Parlement européen, le Conseil et la Commission;

saisir la Cour de justice de l'Union européenne dans les conditions prévues par le traité sur le fonctionnement de l'Union européenne;

intervenir dans les affaires portées devant la Cour de justice de l'Union européenne;

▼M1

ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec le présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;

ordonner la suspension des flux de données vers un destinataire situé dans un État membre ou un pays tiers ou vers une organisation internationale;

imposer une amende administrative dans le cas où Europol ne se conformerait pas à l’une des mesures visées aux points c), e), f), j) et k) du présent paragraphe, en fonction des circonstances propres à chaque cas.

▼B

Le CEPD est habilité à:

obtenir d'Europol l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à ses enquêtes;

obtenir l'accès à tous les locaux dans lesquels Europol exerce ses activités, s'il existe un motif raisonnable de supposer que s'y exerce une activité visée par le présent règlement.

▼M1

Le CEPD prépare un rapport annuel sur ses activités de contrôle portant sur Europol. Ce rapport est intégré au rapport annuel du CEPD visé à l’article 60 du règlement (UE) 2018/1725.

Le CEPD invite les autorités de contrôle nationales à présenter des observations sur cette partie du rapport annuel avant que le rapport annuel ne soit adopté. Le CEPD tient le plus grand compte de ces observations et en fait état dans le rapport annuel.

La partie du rapport annuel visée au deuxième alinéa comprend des informations statistiques concernant les réclamations, les recherches et les enquêtes, ainsi que les transferts de données à caractère personnel vers des pays tiers et à des organisations internationales, les cas de consultation préalable du CEPD et l’utilisation des pouvoirs énoncés au paragraphe 3 du présent article.

▼B

LE CEPD, les fonctionnaires et les autres agents du secrétariat du CEPD sont tenus à l'obligation de confidentialité prévue à l'article 67, paragraphe 1.

Article 44

Coopération entre le CEPD et les autorités de contrôle nationales

Le CEPD agit en étroite coopération avec les autorités de contrôle nationales dans des domaines exigeant une participation nationale, notamment si lui-même ou une autorité de contrôle nationale constate des divergences majeures entre les pratiques des États membres ou des transferts potentiellement illicites dans l'utilisation des canaux d'échange d'informations d'Europol, ou dans le cadre de questions soulevées par une ou plusieurs autorités de contrôle nationales sur la mise en œuvre et l'interprétation du présent règlement.

▼M1

Dans les cas visés au paragraphe 1, un contrôle coordonné est exercé conformément à l’article 62 du règlement (UE) 2018/1725. Le CEPD recourt à l’expertise et à l’expérience des autorités de contrôle nationales dans l’exercice de ses fonctions décrites à l’article 43, paragraphe 2, du présent règlement.

Lorsqu’ils effectuent des inspections communes en collaboration avec le CEPD, les membres et le personnel des autorités de contrôle nationales, disposent de pouvoirs équivalents à ceux prévus à l’article 43, paragraphe 4, du présent règlement et sont tenus à une obligation équivalente à celle prévue à l’article 43, paragraphe 6, du présent règlement, dans le respect des principes de subsidiarité et de proportionnalité.

▼B

Le CEPD tient les autorités de contrôle nationales pleinement informées de toute question les touchant directement ou les concernant de quelque manière que ce soit. À la demande d'une ou de plusieurs autorités de contrôle nationales, le CEPD fournit auxdites autorités des informations sur des questions particulières.

▼M1

Dans certains cas portant sur des données provenant d’un ou de plusieurs États membres, y compris les cas visés à l’article 47, paragraphe 2, le CEPD consulte les autorités de contrôle nationales concernées. Le CEPD ne décide pas des suites à donner avant que ces autorités de contrôle nationales ne l’aient informé de leur avis, dans un délai qu’il précise et qui ne peut être inférieur à un mois ni supérieur à trois mois à partir du moment où le CEPD consulte les autorités de contrôle nationales concernées. Le CEPD tient le plus grand compte des avis respectifs des autorités de contrôle nationales concernées. Lorsque le CEPD a l’intention de ne pas se conformer à l’avis d’une autorité de contrôle nationale, il en informe ladite autorité, lui fournit une justification et soumet la question au comité européen de la protection des données.

▼M1 —————

▼B

CHAPITRE VII

VOIES DE RECOURS ET RESPONSABILITÉ

Article 47

Droit d'introduire une réclamation auprès du CEPD

▼M1

Toute personne concernée a le droit d’introduire une réclamation auprès du CEPD si elle estime que le traitement, par Europol, de données à caractère personnel la concernant n’est pas conforme au présent règlement ou au règlement (UE) 2018/1725.

▼B

►M1 Lorsque la réclamation concerne une décision visée à l’article 36 ou 37 du présent règlement ou à l’article 81 ou 82 du règlement (UE) 2018/1725, le CEPD consulte les autorités de contrôle nationales de l’État membre qui a fourni les données ou de l’État membre directement concerné. ◄ La décision du CEPD, qui peut aller jusqu'au refus de communication d'informations, est prise en tenant compte de l'avis de l'autorité de contrôle nationale.

Lorsque la réclamation concerne le traitement de données fournies à Europol par un État membre, le CEPD et l'autorité de contrôle nationale de l'État membre qui a fourni les données, agissant dans le cadre de leurs compétences respectives, s'assurent que les contrôles nécessaires de la licéité du traitement des données ont été correctement effectués.

Lorsque la réclamation concerne le traitement de données fournies à Europol par un organe de l'Union, un pays tiers ou une organisation internationale, ou de données extraites par Europol auprès de sources accessibles au public ou résultant de ses propres analyses, le CEPD s'assure qu'Europol a correctement effectué les contrôles nécessaires de la licéité du traitement des données.

▼M1

Le CEPD informe la personne concernée de l’état d’avancement et de l’issue de la réclamation ainsi que de la possibilité de former un recours juridictionnel en vertu de l’article 48.

▼B

Article 48

Droit de former un recours juridictionnel contre le CEPD

Toute décision du CEPD peut faire l'objet d'un recours devant la Cour de justice de l'Union européenne.

Article 49

Dispositions générales en matière de responsabilité et droit à réparation

La responsabilité contractuelle d'Europol est régie par la législation applicable au contrat en question.

La Cour de justice de l'Union européenne est compétente pour statuer en vertu de toute clause compromissoire contenue dans un contrat conclu par Europol.

Sans préjudice de l'article 49, en matière de responsabilité extracontractuelle, Europol, conformément aux principes généraux communs aux droits des États membres, répare tout dommage causé par ses services ou par son personnel dans l'exercice de leurs fonctions.

La Cour de justice de l'Union européenne est compétente pour connaître des litiges concernant la réparation des dommages visés au paragraphe 3.

La responsabilité personnelle des membres du personnel d'Europol envers Europol est régie par les dispositions du statut ou du régime applicable aux autres agents qui leur sont applicables.

▼M1

Article 50

Droit à réparation

Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir réparation conformément à l’article 65 du règlement (UE) 2018/1725 et à l’article 56 de la directive (UE) 2016/680.

Le conseil d’administration est saisi de tout litige entre Europol et les États membres quant à la responsabilité ultime en matière de réparation accordée à une personne ayant subi un dommage matériel ou moral conformément au paragraphe 1 du présent article. Le conseil d’administration statue sur cette responsabilité à la majorité des deux tiers de ses membres, sans préjudice du droit de former un recours contre cette décision conformément à l’article 263 du traité sur le fonctionnement de l’Union européenne.

▼B

CHAPITRE VIII

CONTRÔLE PARLEMENTAIRE CONJOINT

Article 51

Contrôle parlementaire conjoint

En application de l'article 88 du traité sur le fonctionnement de l'Union européenne, le contrôle des activités d'Europol est effectué par le Parlement européen, avec les parlements nationaux. Ils constituent un groupe de contrôle parlementaire conjoint spécialisé, établi ensemble par les parlements nationaux et la commission compétente du Parlement européen. L'organisation et le règlement intérieur du groupe de contrôle parlementaire conjoint sont définis par le Parlement européen et les parlements nationaux ensemble, conformément à l'article 9 du protocole no 1.

Le groupe de contrôle parlementaire conjoint assure le contrôle politique des activités d'Europol dans l'accomplissement de sa mission, y compris en ce qui concerne leur incidence sur les libertés et les droits fondamentaux des personnes physiques.

Aux fins du premier alinéa:

le président du conseil d'administration, le directeur exécutif ou leurs remplaçants se présentent devant le groupe de contrôle parlementaire conjoint à sa demande pour examiner des questions relatives aux activités visées au premier alinéa, y compris les aspects budgétaires de ces activités, l'organisation structurelle d'Europol et l'éventuelle mise en place de nouvelles unités et centres spécialisés, dans le respect des obligations de réserve et de confidentialité. Le groupe de contrôle parlementaire conjoint peut, le cas échéant, décider d'inviter aux réunions d'autres personnes pertinentes;

le CEPD se présente devant le groupe de contrôle parlementaire conjoint, à la demande de ce dernier et au moins une fois par an, pour examiner des questions générales relatives à la protection des libertés et des droits fondamentaux des personnes physiques, et en particulier la protection des données à caractère personnel, en ce qui concerne les activités d'Europol, dans le respect des obligations de réserve et de confidentialité;

le groupe de contrôle parlementaire conjoint est consulté en ce qui concerne la programmation pluriannuelle d'Europol, conformément à l'article 12, paragraphe 1.

Europol transmet les documents suivants au groupe de contrôle parlementaire conjoint pour information, dans le respect des obligations de réserve et de confidentialité:

des évaluations de la menace, des analyses stratégiques et des rapports sur la situation générale en ce qui concerne les objectifs d'Europol, ainsi que les résultats des études et des évaluations commandées par Europol;

les arrangements administratifs conclus en application de l'article 25, paragraphe 1;

le document contenant la programmation pluriannuelle d'Europol et son programme de travail annuel, visé à l'article 12, paragraphe 1;

▼M1

le rapport d’activité annuel consolidé sur les activités d’Europol, visé à l’article 11, paragraphe 1, point c), y compris les informations pertinentes sur les activités d’Europol et les résultats obtenus dans le cadre du traitement de vastes ensembles de données, sans divulguer de détails opérationnels et sans préjudice d’éventuelles enquêtes en cours;

▼B

le rapport d'évaluation établi par la Commission, visé à l'article 68, paragraphe 1;

▼M1

des informations annuelles en vertu de l’article 26, paragraphe 11, sur les données à caractère personnel échangées avec des parties privées en vertu des articles 26, 26 bis et 26 ter, y compris une évaluation de l’efficacité de la coopération, des exemples spécifiques de cas démontrant les raisons pour lesquelles ces demandes étaient nécessaires et proportionnées aux fins de permettre à Europol de réaliser ses objectifs et d’accomplir ses missions et, en ce qui concerne les échanges de données à caractère personnel en vertu de l’article 26 ter, le nombre d’enfants recensés grâce à ces échanges dans la mesure où Europol dispose de ces informations;

des informations annuelles sur le nombre de cas dans lesquels il a été nécessaire pour Europol de traiter des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II afin de soutenir les États membres dans une enquête pénale spécifique en cours conformément à l’article 18 bis, ainsi que des informations sur la durée et les résultats des opérations de traitement, y compris des exemples de cas démontrant les raisons pour lesquelles ces traitements de données étaient nécessaires et proportionnés;

des informations annuelles sur les transferts de données à caractère personnel vers des pays tiers et à des organisations internationales en vertu de l’article 25, paragraphe 1 ou 4 bis, ventilées par base juridique, ainsi que sur le nombre de cas dans lesquels le directeur exécutif a autorisé, en vertu de l’article 25, paragraphe 5, le transfert ou les catégories de transferts de données à caractère personnel liées à une enquête pénale spécifique en cours vers des pays tiers ou à des organisations internationales, y compris des informations relatives aux pays concernés et à la durée de l’autorisation;

des informations annuelles sur le nombre de cas dans lesquels Europol a proposé l’introduction éventuelle de signalements pour information conformément à l’article 4, paragraphe 1, point t), y compris des exemples spécifiques de cas démontrant les raisons pour lesquelles l’introduction de ces signalements a été proposée;

des informations annuelles sur le nombre de projets de recherche et d’innovation entrepris, y compris des informations sur les finalités de ces projets, les catégories de données à caractère personnel traitées, les garanties supplémentaires utilisées, y compris la minimisation des données, les besoins de l’action répressive auxquels ces projets visent à répondre et les résultats de ces projets;

des informations annuelles sur le nombre de cas dans lesquels Europol a eu recours au traitement temporaire conformément à l’article 18, paragraphe 6 bis, et, le cas échéant, le nombre de cas dans lesquels la période de traitement a été prolongée;

des informations annuelles sur le nombre et les types de cas dans lesquels des catégories particulières de données à caractère personnel ont été traitées, conformément à l’article 30, paragraphe 2.

Les exemples visés aux points f) et i) sont anonymisés en ce qui concerne les données à caractère personnel.

Les exemples visés au point g) sont anonymisés en ce qui concerne les données à caractère personnel, sans divulguer de détails opérationnels et sans préjudice d’éventuelles enquêtes en cours.

▼B

Le groupe de contrôle parlementaire conjoint peut demander d'autres documents pertinents nécessaires à l'exécution de ses missions relatives au contrôle politique des activités d'Europol, sous réserve du règlement (CE) no 1049/2001 du Parlement européen et du Conseil ( 16 ) et sans préjudice des articles 52 et 67 du présent règlement.

▼M1

Le groupe de contrôle parlementaire conjoint peut établir des conclusions sommaires concernant le contrôle politique des activités d’Europol, y compris formuler des recommandations spécifiques non contraignantes à l’intention d’Europol, et soumettre ces conclusions au Parlement européen et aux parlements nationaux. Le Parlement européen transmet ces conclusions pour information au Conseil, à la Commission et à Europol.

▼B

Article 52

Accès du Parlement européen aux informations traitées par Europol ou par son intermédiaire

Pour permettre au Parlement européen d'exercer le contrôle parlementaire sur les activités d'Europol conformément à l'article 51, l'accès du Parlement européen aux informations sensibles non classifiées traitées par Europol ou par son intermédiaire qui lui est octroyé, à sa demande, est conforme aux règles visées à l'article 67, paragraphe 1.

L'accès du Parlement européen aux informations classifiées de l'UE traitées par Europol ou par son intermédiaire est conforme à l'accord interinstitutionnel du 12 mars 2014 entre le Parlement européen et le Conseil relatif à la transmission au Parlement européen et au traitement par celui-ci des informations classifiées détenues par le Conseil concernant d'autres questions que celles relevant de la politique étrangère et de sécurité commune ( 17 ) et aux règles visées à l'article 67, paragraphe 2, du présent règlement.

Les modalités nécessaires de l'accès du Parlement européen aux informations visées aux paragraphes 1 et 2 sont régies par les arrangements de travail conclus entre Europol et le Parlement européen.

▼M1

Article 52 bis

Forum consultatif

Le groupe de contrôle parlementaire conjoint crée un forum consultatif pour l’assister, sur demande, en lui fournissant des conseils en toute indépendance dans les matières concernant les droits fondamentaux.

Le groupe de contrôle parlementaire conjoint et le directeur exécutif peuvent consulter le forum consultatif au sujet de toute question liée aux droits fondamentaux.

Le groupe de contrôle parlementaire conjoint détermine la composition du forum consultatif, ses méthodes de travail et les modalités de transmission des informations au forum consultatif.

▼B

CHAPITRE IX

PERSONNEL

Article 53

Dispositions générales

Le statut et le régime applicable aux autres agents, ainsi que les règles adoptées par accord entre les institutions de l'Union visant à donner effet au statut et au régime applicable aux autres agents, s'appliquent au personnel d'Europol, à l'exception du personnel qui, au 1er mai 2017, est lié par un contrat d'engagement conclu par Europol tel qu'institué par la convention Europol, sans préjudice de l'article 73, paragraphe 4, du présent règlement. Ces contrats continuent à être régis par l'acte du Conseil du 3 décembre 1998.

Le personnel d'Europol se compose d'agents temporaires et/ou contractuels. Le conseil d'administration est informé une fois par an des contrats à durée indéterminée octroyés par le directeur exécutif. Le conseil d'administration décide quels sont les postes temporaires prévus au tableau des effectifs qui ne peuvent être occupés que par du personnel des autorités compétentes des États membres. Le personnel recruté pour occuper ces postes est composé d'agents temporaires et ne peut se voir octroyer que des contrats à durée déterminée, renouvelables une fois pour une période déterminée.

Article 54

Directeur exécutif

Le directeur exécutif est engagé en qualité d'agent temporaire d'Europol au titre de l'article 2, point a), du régime applicable aux autres agents.

Le directeur exécutif est nommé par le Conseil, sur la base d'une liste restreinte de candidats proposée par le comité de sélection, à la suite d'une procédure de sélection ouverte et transparente.

La liste restreinte est dressée par un comité de sélection établi par le conseil d'administration et composé de membres désignés par les États membres et d'un représentant de la Commission.

Aux fins de la conclusion d'un contrat avec le directeur exécutif, Europol est représentée par le président du conseil d'administration.

Avant d'être nommé, le candidat retenu par le Conseil peut être invité à se présenter devant la commission compétente du Parlement européen, qui rend ensuite un avis non contraignant.

Le mandat du directeur exécutif est de quatre ans. Au terme de cette période, la Commission, en association avec le conseil d'administration, procède à une évaluation qui tient compte:

de l'évaluation du travail accompli par le directeur exécutif; et

des missions et des défis futurs d'Europol.

Le Conseil, statuant sur une proposition du conseil d'administration qui tient compte de l'évaluation visée au paragraphe 3, peut prolonger une fois le mandat du directeur exécutif, et ce pour une durée n'excédant pas quatre ans.

Le conseil d'administration informe le Parlement européen de son intention de proposer au Conseil de prolonger le mandat du directeur exécutif. Dans le mois précédant cette prolongation, le directeur exécutif peut être invité à se présenter devant la commission compétente du Parlement européen.

Un directeur exécutif dont le mandat a été prolongé ne participe pas à une autre procédure de sélection pour le même poste à la fin de la période globale.

Le directeur exécutif ne peut être démis de ses fonctions que sur décision du Conseil, statuant sur proposition du conseil d'administration. Le Parlement européen est informé de cette décision.

Le conseil d'administration statue sur les propositions à présenter au Conseil concernant la nomination, la prolongation du mandat ou la révocation du directeur exécutif à la majorité des deux tiers de ses membres ayant voix délibérative.

Article 55

Directeurs exécutifs adjoints

Le directeur exécutif est assisté par trois directeurs exécutifs adjoints. Le directeur exécutif définit leurs missions.

L'article 54 s'applique aux directeurs exécutifs adjoints. Le directeur exécutif est consulté préalablement à leur nomination, à la prolongation de leur mandat ou à leur révocation.

Article 56

Experts nationaux détachés

Europol peut avoir recours à des experts nationaux détachés.

Le conseil d'administration adopte une décision établissant le régime applicable aux experts nationaux détachés auprès d'Europol.

CHAPITRE X

DISPOSITIONS FINANCIÈRES

Article 57

Budget

Toutes les recettes et dépenses d'Europol font l'objet de prévisions pour chaque exercice, qui coïncide avec l'année civile, et sont inscrites au budget d'Europol.

Le budget d'Europol est équilibré en recettes et en dépenses.

Sans préjudice d'autres ressources, les recettes d'Europol comprennent une contribution de l'Union inscrite au budget général de l'Union.

Europol peut bénéficier d'un financement de l'Union sous la forme de conventions de délégation ou de subventions ad hoc conformément aux règles financières visées à l'article 61 et aux dispositions des instruments pertinents appuyant les politiques de l'Union.

Les dépenses d'Europol comprennent la rémunération du personnel, les dépenses administratives et d'infrastructure et les frais de fonctionnement.

Les engagements budgétaires portant sur des actions relatives à des projets à grande échelle qui s'étendent sur plus d'un exercice financier peuvent être fractionnés en plusieurs tranches annuelles.

Article 58

Établissement du budget

Chaque année, le directeur exécutif établit un projet d'état prévisionnel des recettes et des dépenses d'Europol pour l'exercice suivant, comprenant le tableau des effectifs, et le transmet au conseil d'administration.

Le conseil d'administration, sur la base de ce projet d'état prévisionnel, adopte un projet d'état prévisionnel des recettes et des dépenses d'Europol pour l'exercice suivant et le transmet à la Commission au plus tard le 31 janvier de chaque année.

Le conseil d'administration transmet la version définitive de l'état prévisionnel des recettes et des dépenses d'Europol, qui comporte un projet de tableau des effectifs, au Parlement européen, au Conseil et à la Commission au plus tard le 31 mars de chaque année.

La Commission transmet l'état prévisionnel au Parlement européen et au Conseil, en même temps que le projet de budget général de l'Union.

Sur la base de l'état prévisionnel, la Commission inscrit dans le projet de budget général de l'Union les prévisions qu'elle estime nécessaires pour l'établissement du tableau des effectifs et le montant de la contribution à charge du budget général, et saisit le Parlement européen et le Conseil conformément aux articles 313 et 314 du traité sur le fonctionnement de l'Union européenne.

Le Parlement européen et le Conseil autorisent les crédits au titre de la contribution de l'Union destinée à Europol.

Le Parlement européen et le Conseil adoptent le tableau des effectifs d'Europol.

Le budget d'Europol est arrêté par le conseil d'administration. Il devient définitif après l'adoption définitive du budget général de l'Union. Si nécessaire, il est ajusté en conséquence.

▼M1

Le règlement délégué (UE) 2019/715 s’applique à tout projet immobilier susceptible d’avoir des incidences notables sur le budget d’Europol.

▼B

Article 59

Exécution du budget

Le directeur exécutif exécute le budget d'Europol.

Le directeur exécutif transmet annuellement au Parlement européen et au Conseil toute information pertinente au sujet des résultats de toute procédure d'évaluation.

Article 60

Reddition des comptes et décharge

Le comptable d'Europol transmet les comptes provisoires de l'exercice (ci-après dénommé «année N») au comptable de la Commission et à la Cour des comptes au plus tard le 1er mars de l'exercice suivant (ci-après dénommé «année N + 1»).

Europol transmet un rapport sur la gestion budgétaire et financière de l'année N au Parlement européen, au Conseil et à la Cour des comptes au plus tard le 31 mars de l'année N + 1.

Le comptable de la Commission transmet à la Cour des comptes les comptes provisoires d'Europol de l'année N, consolidés avec les comptes de la Commission, au plus tard le 31 mars de l'année N + 1.

▼M1

Dès réception des observations formulées par la Cour des comptes sur les comptes provisoires d’Europol de l’année N en vertu de l’article 246 du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil ( 18 ), le comptable d’Europol établit les comptes définitifs d’Europol pour ladite année. Le directeur exécutif soumet ensuite ces comptes définitifs pour avis au conseil d’administration.

▼B

Le conseil d'administration rend un avis sur les comptes définitifs d'Europol pour l'année N.

Au plus tard le 1er juillet de l'année N + 1, le comptable d'Europol transmet les comptes définitifs de l'année N, accompagnés de l'avis du conseil d'administration visé au paragraphe 5, au Parlement européen, au Conseil, à la Commission, à la Cour des comptes et aux parlements nationaux.

Les comptes définitifs pour l'année N sont publiés au Journal officiel de l'Union européenne au plus tard le 15 novembre de l'année N + 1.

Le directeur exécutif adresse à la Cour des comptes, au plus tard le 30 septembre de l'année N + 1, une réponse aux observations formulées par celle-ci dans son rapport annuel. Il transmet également cette réponse au conseil d'administration.

▼M1

À la demande du Parlement européen, le directeur exécutif lui soumet toute information nécessaire au bon déroulement de la procédure de décharge pour l’année N, conformément à l’article 106, paragraphe 3, du règlement délégué (UE) 2019/715.

▼B

10.

Sur recommandation du Conseil statuant à la majorité qualifiée, le Parlement européen donne décharge au directeur exécutif sur l'exécution du budget de l'exercice N avant le 15 mai de l'année N + 2.

▼M1

Article 61

Règles financières

Les règles financières applicables à Europol sont adoptées par le conseil d’administration après consultation de la Commission. Elles ne s’écartent du règlement délégué (UE) 2019/715 que si les exigences spécifiques du fonctionnement d’Europol le nécessitent et avec l’accord préalable de la Commission.

Europol peut octroyer des fonds liés à la réalisation de ses objectifs et à l’accomplissement de ses missions.

Europol peut octroyer des fonds sans appel à propositions aux États membres pour leur permettre de mener des activités relevant des objectifs et des missions d’Europol.

Lorsque cela est dûment justifié à des fins opérationnelles, après autorisation du conseil d’administration, le soutien financier peut couvrir l’intégralité des coûts d’investissement en équipements et en infrastructures.

Les règles financières visées au paragraphe 1 peuvent préciser les critères en vertu desquels le soutien financier peut couvrir l’intégralité des coûts d’investissement visés au premier alinéa du présent paragraphe.

En ce qui concerne le soutien financier à apporter aux équipes communes d’enquête, Europol et Eurojust établissent conjointement les règles et les conditions selon lesquelles les demandes de soutien sont traitées.

▼B

CHAPITRE XI

DISPOSITIONS DIVERSES

Article 62

Statut juridique

Europol est une agence de l'Union. Elle est dotée de la personnalité juridique.

Dans chaque État membre, Europol possède la capacité juridique la plus large reconnue aux personnes morales par le droit national. Europol peut, notamment, acquérir et aliéner des biens immobiliers et mobiliers et ester en justice.

Conformément au protocole no 6 sur la fixation des sièges des institutions et de certains organes, organismes et services de l'Union européenne annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne (ci-après dénommé «protocole no 6»), le siège d'Europol est fixé à La Haye.

Article 63

Privilèges et immunités

Le protocole no 7 sur les privilèges et immunités de l'Union européenne, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, s'applique à Europol ainsi qu'à son personnel.

Les privilèges et immunités des officiers de liaison et des membres de leurs familles font l'objet d'un accord entre le Royaume des Pays-Bas et les autres États membres. Cet accord prévoit les privilèges et immunités nécessaires au bon exercice des fonctions des officiers de liaison.

Article 64

Régime linguistique

Les dispositions du règlement no 1 ( 19 ) s'appliquent à Europol.

Le conseil d'administration arrête à la majorité des deux tiers de ses membres le régime linguistique interne d'Europol.

Les travaux de traduction requis pour le fonctionnement d'Europol sont effectués par le Centre de traduction des organes de l'Union européenne.

Article 65

Transparence

Le règlement (CE) no 1049/2001 s'applique aux documents détenus par Europol.

Le conseil d'administration adopte au plus tard le 14 décembre 2016 les modalités d'application du règlement (CE) no 1049/2001 en ce qui concerne les documents d'Europol.

Les décisions prises par Europol en application de l'article 8 du règlement (CE) no 1049/2001 peuvent faire l'objet d'une plainte auprès du Médiateur européen ou d'un recours devant la Cour de justice de l'Union européenne, conformément aux articles 228 et 263 du traité sur le fonctionnement de l'Union européenne.

Europol publie sur son site internet une liste des membres de son conseil d'administration et les résumés exposant les résultats des réunions du conseil d'administration. La publication de ces résumés est omise ou limitée à titre temporaire ou permanent si elle risque de compromettre l'accomplissement des missions d'Europol, compte tenu des obligations de réserve et de confidentialité d'Europol et de son caractère opérationnel.

Article 66

Lutte contre la fraude

Pour faciliter la lutte contre la fraude, la corruption et toute autre activité illégale en vertu du règlement (UE, Euratom) no 883/2013, Europol adhère, pour le 30 octobre 2017 au plus tard, à l'accord interinstitutionnel du 25 mai 1999 entre le Parlement européen, le Conseil de l'Union européenne et la Commission des Communautés européennes relatif aux enquêtes internes effectuées par l'Office européen de lutte antifraude (OLAF) ( 20 ) et arrête les dispositions appropriées qui s'appliquent à tout le personnel d'Europol, en utilisant le modèle figurant à l'annexe dudit accord.

La Cour des comptes dispose d'un pouvoir d'audit, sur pièces et sur place, à l'égard de tous les bénéficiaires de subventions, contractants et sous-traitants qui ont reçu, par l'intermédiaire d'Europol, des fonds de l'Union.

L'OLAF peut mener des enquêtes, et notamment effectuer des contrôles et vérifications sur place, en vue d'établir l'existence éventuelle d'une fraude, d'un acte de corruption ou de toute autre activité illégale portant atteinte aux intérêts financiers de l'Union, dans le cadre d'une subvention ou d'un contrat octroyé par Europol. Ces enquêtes sont menées conformément aux dispositions et procédures prévues par le règlement (UE, Euratom) no 883/2013 et par le règlement (Euratom, CE) no 2185/96 du Conseil ( 21 ).

Sans préjudice des paragraphes 1, 2 et 3, les arrangements de travail avec des organes de l'Union, des autorités de pays tiers, des organisations internationales et des parties privées, les contrats, les conventions de subvention et les décisions de subvention d'Europol contiennent des dispositions permettant expressément à la Cour des comptes et à l'OLAF de procéder aux audits et aux enquêtes visés aux paragraphes 2 et 3, conformément à leurs compétences respectives.

Article 67

Règles en matière de protection des informations sensibles non classifiées et des informations classifiées

Europol établit des règles relatives aux obligations de réserve et de confidentialité et à la protection des informations sensibles non classifiées.

Europol établit des règles relatives à la protection des informations classifiées de l'UE qui sont conformes à la décision 2013/488/UE afin d'assurer un niveau de protection équivalent de ces informations.

Article 68

Évaluation et révision

▼M1

Au plus tard le 29 juin 2027 et tous les cinq ans par la suite, la Commission procède à une évaluation portant, notamment, sur l’impact, l’efficacité et l’efficience de l’action d’Europol et de ses méthodes de travail. Cette évaluation peut notamment étudier la nécessité éventuelle de modifier la structure, le fonctionnement, le domaine d’action et les missions d’Europol, ainsi que les implications financières d’une telle modification.

▼B

La Commission transmet le rapport d'évaluation au conseil d'administration. Le conseil d'administration fait part de ses observations sur le rapport d'évaluation dans un délai de trois mois à compter de la date de réception. La Commission transmet ensuite le rapport d'évaluation final, accompagné de ses conclusions ainsi que d'une annexe contenant les observations du conseil d'administration, au Parlement européen, au Conseil, aux parlements nationaux et au conseil d'administration. Le cas échéant, les principales conclusions du rapport d'évaluation sont rendues publiques.

▼M1

Au plus tard le 29 juin 2025, la Commission transmet au Parlement européen et au Conseil, un rapport évaluant et analysant l’incidence opérationnelle de l’exécution des missions prévues par le présent règlement, en particulier par l’article 4, paragraphe 1, point t), l’article 18, paragraphe 2, point e), l’article 18, paragraphe 6 bis, et les articles 18 bis, 26, 26 bis et 26 ter, en ce qui concerne les objectifs d’Europol. Ce rapport évalue l’incidence de ces missions sur les libertés et droits fondamentaux prévus par la Charte. Il fournit également une analyse coûts-avantages de l’extension des missions d’Europol.

▼B

Article 69

Enquêtes administratives

Les activités d'Europol sont soumises aux enquêtes du Médiateur européen conformément à l'article 228 du traité sur le fonctionnement de l'Union européenne.

Article 70

Siège

Les dispositions nécessaires relatives à l'implantation d'Europol au Royaume des Pays-Bas et aux prestations à fournir par le Royaume des Pays-Bas, ainsi que les règles particulières qui y sont applicables au directeur exécutif, aux membres du conseil d'administration, au personnel d'Europol et aux membres de leurs familles, sont arrêtées dans un accord de siège conclu entre Europol et le Royaume des Pays-Bas conformément au protocole no 6.

CHAPITRE XII

DISPOSITIONS TRANSITOIRES

Article 71

Succession juridique

Europol telle qu'elle est instituée par le présent règlement est le successeur en droit, pour l'ensemble des contrats conclus par Europol institué par la décision 2009/371/JAI, des obligations qui incombent à ce dernier et des biens qu'il a acquis.

Le présent règlement n'affecte pas la validité juridique des accords conclus par Europol institué par la décision 2009/371/JAI avant le 13 juin 2016 ni des accords conclus par Europol institué par la convention Europol avant le 1er janvier 2010.

Article 72

Arrangements transitoires concernant le conseil d'administration

Le mandat des membres du conseil d'administration institué sur la base de l'article 37 de la décision 2009/371/JAI prend fin le 1er mai 2017.

Pendant la période comprise entre le 13 juin 2016 et le 1er mai 2017, le conseil d'administration institué sur la base de l'article 37 de la décision 2009/371/JAI:

exerce les fonctions du conseil d'administration conformément à l'article 11 du présent règlement;

prépare l'adoption des règles relatives à l'application du règlement (CE) no 1049/2001 en ce qui concerne les documents Europol visés à l'article 65, paragraphe 2, du présent règlement, et des règles visées à l'article 67 du présent règlement;

prépare tout instrument nécessaire à l'application du présent règlement, en particulier toute mesure relative au chapitre IV; et

réexamine les règles internes et les mesures adoptées sur la base de la décision 2009/371/JAI, afin de permettre au conseil d'administration institué sur la base de l'article 10 du présent règlement de prendre une décision en application de l'article 76 du présent règlement.

Sans retard après le 13 juin 2016, la Commission prend les mesures nécessaires pour que le conseil d'administration institué en vertu de l'article 10 entame ses travaux le 1er mai 2017.

Au plus tard le 14 décembre 2016, les États membres communiquent à la Commission les noms des personnes qu'ils ont désignées en tant que membres et membres suppléants du conseil d'administration conformément à l'article 10.

Le conseil d'administration institué conformément à l'article 10 tient sa première réunion le1er mai 2017. À cette occasion, il prend, s'il y a lieu, des décisions comme le prévoit l'article 76.

Article 73

Arrangements transitoires concernant le directeur exécutif, les directeurs adjoints et le personnel

Le directeur d'Europol nommé sur la base de l'article 38 de la décision 2009/371/JAI est chargé, pour la durée restante de son mandat, d'exercer les responsabilités de directeur exécutif prévues à l'article 16 du présent règlement. Les autres conditions de son contrat demeurent inchangées. Si son mandat se termine entre le 13 juin 2016 et le 1er mai 2017, il est automatiquement prolongé jusqu'au 1er mai 2018.

Dans le cas où le directeur nommé sur la base de l'article 38 de la décision 2009/371/JAI refuse ou n'est pas en mesure de se conformer au paragraphe 1 du présent article, le conseil d'administration désigne un directeur exécutif intérimaire pour exercer les fonctions attribuées au directeur exécutif pendant une période n'excédant pas dix-huit mois, dans l'attente de la nomination prévue à l'article 54, paragraphe 2, du présent règlement.

Les paragraphes 1 et 2 du présent article s'appliquent aux directeurs adjoints nommés sur la base de l'article 38 de la décision 2009/371/JAI.

Conformément au régime applicable aux autres agents, l'autorité visée à son article 6, premier alinéa, propose un contrat d'agent temporaire ou contractuel à durée indéterminée à toute personne employée en tant qu'agent local, au 1er mai 2017, dans le cadre d'un contrat à durée indéterminée conclu par Europol tel qu'institué par la convention Europol. L'offre d'emploi est fondée sur les tâches que l'agent temporaire ou contractuel devra exécuter. Le contrat concerné prend effet au plus tard le 1er mai 2018. L'agent qui n'accepte pas l'offre visée au présent paragraphe peut conserver sa relation contractuelle avec Europol conformément à l'article 53, paragraphe 1.

Article 74

Dispositions budgétaires transitoires

La procédure de décharge pour les budgets approuvés sur la base de l'article 42 de la décision 2009/371/JAI se déroule conformément aux règles établies par son article 43.

▼M1

Article 74 bis

Arrangements transitoires concernant le traitement de données à caractère personnel à l’appui d’une enquête pénale en cours

l’État membre concerné, le Parquet européen ou Eurojust informe Europol, au plus tard le 29 septembre 2022, qu’il est autorisé à traiter ces données à caractère personnel, conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union ou du droit national, dans le cadre de l’enquête pénale en cours pour laquelle il a demandé le soutien d’Europol lorsqu’il a initialement fourni les données;

l’État membre concerné, le Parquet européen ou Eurojust demande à Europol, au plus tard le 29 septembre 2022, de soutenir l’enquête pénale en cours visée au point a); et

Europol évalue, conformément à l’article 18 bis, paragraphe 1, point b), qu’il n’est pas possible de soutenir l’enquête pénale en cours visée au point a) du présent paragraphe sans traiter des données à caractère personnel qui ne respectent pas l’article 18, paragraphe 5.

L’évaluation visée au point c) du présent paragraphe est enregistrée et transmise au CEPD pour information lorsqu’Europol cesse de soutenir l’enquête pénale spécifique connexe.

Lorsqu’un État membre, le Parquet européen ou Eurojust ne respecte pas une ou plusieurs des exigences énoncées au paragraphe 1, points a) et b), du présent article, en ce qui concerne les données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II qu’il a fournies à Europol avant le 28 juin 2022, ou lorsqu’un État membre, le Parquet européen ou Eurojust ne respecte pas le paragraphe 1, point c), du présent article, Europol ne traite pas ces données à caractère personnel conformément à l’article 18 bis, mais, sans préjudice de l’article 18, paragraphe 5, et de l’article 74 ter, efface ces données à caractère personnel au plus tard le 29 octobre 2022.

Lorsqu’un pays tiers visé à l’article 18 bis, paragraphe 6, a fourni à Europol des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II avant le 28 juin 2022, Europol peut traiter ces données à caractère personnel conformément à l’article 18 bis, paragraphe 6, lorsque:

le pays tiers a fourni les données à caractère personnel à l’appui d’une enquête pénale spécifique menée dans un ou plusieurs États membres et soutenue par Europol;

le pays tiers a obtenu les données dans le cadre d’une enquête pénale conformément aux exigences et garanties procédurales applicables au titre de son droit pénal national;

le pays tiers informe Europol, au plus tard le 29 septembre 2022, qu’il est autorisé à traiter ces données à caractère personnel dans le cadre de l’enquête pénale dans le contexte de laquelle il a obtenu les données;

Europol évalue, conformément à l’article 18 bis, paragraphe 1, point b), qu’il est impossible de soutenir l’enquête pénale spécifique visée au point a) du présent paragraphe sans traiter des données à caractère personnel qui ne respectent pas l’article 18, paragraphe 5, et cette évaluation est enregistrée et transmise au CEPD pour information lorsqu’Europol cesse de soutenir l’enquête pénale spécifique connexe; et

Europol vérifie, conformément à l’article 18 bis, paragraphe 6, que le volume de données à caractère personnel n’est pas manifestement disproportionné par rapport à l’enquête pénale spécifique visée au point a) du présent paragraphe menée dans un ou plusieurs États membres et soutenue par Europol.

Lorsqu’un pays tiers ne respecte pas l’exigence énoncée au paragraphe 3, point c), du présent article, en ce qui concerne les données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II qu’il a fournies à Europol avant le 28 juin 2022, ou lorsque l’une des autres exigences énoncées au paragraphe 3 du présent article n’est pas respectée, Europol ne traite pas ces données à caractère personnel conformément à l’article 18 bis, paragraphe 6, mais, sans préjudice de l’article 18, paragraphe 5, et de l’article 74 ter, efface ces données à caractère personnel au plus tard le 29 octobre 2022.

Lorsqu’un État membre, le Parquet européen ou Eurojust a fourni à Europol des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II avant le 28 juin 2022, il peut demander à Europol au plus tard le 29 septembre 2022, de conserver ces données et le résultat du traitement de ces données par Europol lorsque cela est nécessaire pour garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel. Europol maintient les données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II séparées des autres données sur le plan fonctionnel et ne traite ces données qu’aux fins de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel et uniquement tant que la procédure judiciaire concernant l’enquête pénale pour laquelle ces données ont été fournies est en cours.

Lorsqu’Europol a reçu des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II avant le 28 juin 2022, Europol ne conserve pas ces données aux fins de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel, à moins que cela ne lui soit demandé conformément au paragraphe 5. En l’absence d’une telle demande, Europol efface ces données à caractère personnel au plus tard le 29 octobre 2022.

Article 74 ter

Arrangements transitoires concernant le traitement de données à caractère personnel détenues par Europol

Sans préjudice de l’article 74 bis, en ce qui concerne les données à caractère personnel qu’Europol a reçues avant le 28 juin 2022, Europol peut vérifier si ces données à caractère personnel portent sur l’une des catégories de personnes concernées énumérées à l’annexe II. À cette fin, Europol peut effectuer une analyse préliminaire de ces données à caractère personnel pendant une période ne dépassant pas dix-huit mois à compter du jour de la première réception des données ou, dans des cas justifiés et avec l’autorisation préalable du CEPD, pendant une plus longue période.

La durée maximale du traitement des données visées au premier alinéa est de trois ans à compter du jour de la réception des données par Europol.

▼B

CHAPITRE XIII

DISPOSITIONS FINALES

Article 75

Remplacement et abrogation

Les décisions 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI sont remplacées par le présent règlement pour les États membres liés par le présent règlement, avec effet à compter du 1er mai 2017.

Par conséquent, les décisions 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI sont abrogées avec effet à compter du 1er mai 2017.

À l'égard des États membres liés par le présent règlement, les références faites aux décisions visées au paragraphe 1 s'entendent comme faites au présent règlement.

Article 76

Maintien en vigueur des règles internes adoptées par le conseil d'administration

Les règles internes et les mesures adoptées par le conseil d'administration sur la base de la décision 2009/371/JAI demeurent en vigueur après le 1er mai 2017, sauf si le conseil d'administration en décide autrement dans le cadre de l'application du présent règlement.

Article 77

Entrée en vigueur et application

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Il est applicable à partir du 1er mai 2017.

Toutefois, les articles 71, 72 et 73 sont applicables à partir du 13 juin 2016.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.

ANNEXE I

LISTE DES FORMES DE CRIMINALITÉ VISÉES À L'ARTICLE 3, PARAGRAPHE 1

—

Terrorisme,

—

criminalité organisée,

—

trafic de stupéfiants,

—

activités de blanchiment d'argent,

—

criminalité liée aux matières nucléaires et radioactives,

—

filière d'immigration,

—

traite des êtres humains,

—

criminalité liée au trafic de véhicules volés,

—

meurtre et coups et blessures graves,

—

trafic d'organes et de tissus humains,

—

enlèvement, séquestration et prise d'otage,

—

racisme et xénophobie,

—

vol qualifié et vol aggravé,

—

trafic de biens culturels, y compris les antiquités et les œuvres d'art,

—

escroquerie et fraude,

—

infractions portant atteinte aux intérêts financiers de l'Union,

—

délits d'initiés et manipulation des marchés financiers,

—

racket et extorsion de fonds,

—

contrefaçon et piratage de produits,

—

falsification de documents administratifs et trafic de faux,

—

faux-monnayage et falsification de moyens de paiement,

—

criminalité informatique,

—

corruption,

—

trafic d'armes, de munitions et d'explosifs,

—

trafic d'espèces animales menacées,

—

trafic d'espèces et d'essences végétales menacées,

—

criminalité au détriment de l'environnement, y compris la pollution causée par les navires,

—

trafic de substances hormonales et d'autres facteurs de croissance,

—

abus sexuels et exploitation sexuelle, y compris matériel pédopornographique et sollicitation d'enfants à des fins sexuelles,

—

génocides, crimes contre l'humanité et crimes de guerre.

ANNEXE II

A. Catégories de données à caractère personnel pouvant être collectées et traitées et catégories de personnes concernées dont les données peuvent être collectées et traitées à des fins de recoupement visées à l'article 18, paragraphe 2, point a)

1. Les données à caractère personnel collectées et traitées à des fins de recoupement doivent concerner:

des personnes qui, au regard du droit national de l'État membre concerné, sont soupçonnées d'avoir commis une infraction ou participé à une infraction relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;

des personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'elles commettront des infractions pénales relevant de la compétence d'Europol.

2. Les données relatives aux personnes visées au paragraphe 1 ne peuvent comprendre que les catégories de données à caractère personnel suivantes:

les nom, nom de jeune fille, prénoms et tout pseudonyme ou nom d'emprunt;

la date et le lieu de naissance;

la nationalité;

le sexe;

le lieu de résidence, la profession et l'endroit où se trouve la personne concernée;

les numéros de sécurité sociale, les permis de conduire, les pièces d'identité et les données concernant le passeport; et

au besoin, d'autres éléments permettant d'identifier la personne, notamment les signes physiques particuliers, objectifs et inaltérables, tels que les données dactyloscopiques et le profil ADN (établi à partir de l'ADN non codant).

3. Outre les données mentionnées au paragraphe 2, les catégories suivantes de données à caractère personnel concernant les personnes visées au paragraphe 1 peuvent être collectées et traitées:

les infractions pénales et infractions pénales présumées, avec leurs dates, lieux et modalités;

les moyens utilisés ou susceptibles d'avoir été utilisés pour commettre ces infractions pénales, y compris les informations relatives aux personnes morales;

les services traitant l'affaire et leurs numéros de dossiers;

la suspicion d'appartenance à une organisation criminelle;

les condamnations, si elles concernent des infractions pénales relevant de la compétence d'Europol;

la personne introduisant les données.

Ces données peuvent être communiquées à Europol même lorsqu'elles ne comportent pas encore de références aux personnes.

4. Les informations complémentaires détenues par Europol ou par les unités nationales sur les personnes visées au paragraphe 1 peuvent être communiquées sur demande à toute unité nationale ou à Europol. Pour les unités nationales, cette communication s'effectue dans le respect de leur droit national.

5. Si la procédure ouverte à l'égard de la personne concernée est définitivement classée ou si cette personne est définitivement acquittée, les données relatives à l'affaire ayant fait l'objet de cette décision sont effacées.

B. Catégories de données à caractère personnel pouvant être collectées et traitées et catégories de personnes concernées dont les données peuvent être collectées et traitées à des fins d'analyses de nature stratégique ou thématique, d'analyses opérationnelles ou de facilitation de l'échange d'informations visées à l'article 18, paragraphe 2, points b), c) et d)

1. Les données à caractère personnel collectées et traitées à des fins d'analyses de nature stratégique ou thématique, d'analyses opérationnelles ou de facilitation de l'échange d'informations entre les États membres, Europol, d'autres organes de l'Union, des pays tiers et des organisations internationales concernent:

des personnes qui, en application du droit national de l'État membre concerné, sont soupçonnées d'avoir commis une infraction ou participé à une infraction pénale relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;

des personnes qui pourront être appelées à témoigner dans le cadre d'enquêtes portant sur les infractions considérées ou de poursuites pénales ultérieures;

des personnes qui ont été victimes d'une des infractions considérées ou pour lesquelles il existe certains faits qui permettent de penser qu'elles pourraient être les victimes d'une telle infraction;

des contacts et l'entourage; et

des personnes pouvant fournir des informations sur les infractions pénales considérées.

2. Les catégories de données à caractère personnel suivantes, y compris les données administratives connexes, peuvent être traitées en ce qui concerne les catégories de personnes visées au paragraphe 1, points a) et b):

renseignements d'état civil:

nom actuel et noms précédents;

ii)

prénom actuel et prénoms précédents;

iii)

nom de jeune fille;

iv)

nom et prénom du père (si nécessaire à des fins d'identification);

nom et prénom de la mère (si nécessaire à des fins d'identification);

vi)

sexe;

vii)

date de naissance;

viii)

lieu de naissance;

ix)

nationalité;

situation de famille;

xi)

pseudonymes;

xii)

surnom;

xiii)

noms d'emprunt ou faux noms;

xiv)

résidence et/ou domicile actuels et antérieurs;

description physique:

signalement physique;

ii)

signes particuliers (marques, cicatrices, tatouages, etc.);

moyens d'identification:

documents d'identité/permis de conduire;

ii)

numéros de la carte d'identité nationale/du passeport;

iii)

numéro d'identification national/numéro de sécurité sociale, le cas échéant;

iv)

représentations visuelles et autres informations concernant l'aspect extérieur;

informations permettant l'identification médico-légale, telles qu'empreintes digitales, profil ADN (établi à partir de l'ADN non codant), empreinte vocale, groupe sanguin, dossier dentaire;

profession et qualifications:

emploi et activité professionnelle actuels;

ii)

emploi et activité professionnelle précédents;

iii)

formation (scolaire/universitaire/professionnelle);

iv)

aptitudes;

compétences et autres connaissances (langues/autres);

informations d'ordre économique et financier:

données financières (comptes et codes bancaires, cartes de crédit, etc.);

ii)

avoirs liquides;

iii)

actions/autres avoirs;

iv)

données patrimoniales;

liens avec des sociétés et des entreprises;

vi)

contacts avec les banques et les établissements de crédit;

vii)

situation fiscale;

viii)

autres informations sur la gestion des avoirs financiers de la personne;

informations relatives au comportement:

mode de vie (par exemple, train de vie sans rapport avec les revenus) et habitudes;

ii)

déplacements;

iii)

lieux fréquentés;

iv)

armes et autres instruments dangereux;

degré de dangerosité;

vi)

risques particuliers, tels que probabilité de fuite, utilisation d'agents doubles, liens avec des membres de services répressifs;

vii)

traits de caractère ayant un rapport avec la criminalité;

viii)

toxicomanie;

contacts et entourage, y compris type et nature du contact ou de la relation;

moyens de communication utilisés, tels que téléphone (fixe/mobile), télécopieur, messageur, courrier électronique, adresses postales, connexion(s) sur l'internet;

moyens de transport utilisés tels que véhicules automobiles, embarcations, avions, avec indication de leurs éléments d'identification (numéros d'immatriculation);

informations relatives aux activités criminelles:

condamnations antérieures;

ii)

participation présumée à des activités criminelles;

iii)

modus operandi;

iv)

moyens utilisés ou susceptibles de l'être pour préparer/commettre des infractions;

appartenance à des groupes/organisations criminel(le)s et position au sein du groupe/de l'organisation;

vi)

rôle au sein de l'organisation criminelle;

vii)

zone géographique des activités criminelles;

viii)

objets recueillis lors des enquêtes, tels que cassettes vidéo et photographies;

indication d'autres systèmes d'information stockant des données sur la personne concernée:

Europol;

ii)

services de police/douaniers;

iii)

autres services répressifs;

iv)

organisations internationales;

entités publiques;

vi)

entités privées;

renseignements sur les personnes morales associées aux informations visées aux points e) et j):

dénomination de la personne morale;

ii)

localisation;

iii)

date et lieu de création;

iv)

numéro d'immatriculation administrative;

statut juridique;

vi)

capital;

vii)

secteur d'activité;

viii)

filiales nationales et internationales;

ix)

dirigeants;

liens avec les banques.

3. Les «contacts» et l'«entourage» visés au paragraphe 1, point e), sont des personnes pour lesquelles il y a lieu d'estimer qu'elles peuvent permettre d'obtenir des informations utiles à l'analyse sur les personnes visées au paragraphe 1, points a) et b), pour autant qu'elles ne soient pas incluses dans l'une des catégories de personnes visées au paragraphe 1, points a), b), c), d) et f). Les «contacts» sont des personnes qui ont des contacts sporadiques avec les personnes visées au paragraphe 1, points a) et b). L'«entourage» vise des personnes qui ont des contacts réguliers avec les personnes visées au paragraphe 1, points a) et b).

En ce qui concerne les contacts et l'entourage, les données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer que ces données sont nécessaires à l'analyse des relations de ces personnes avec les personnes visées au paragraphe 1, points a) et b). À cet égard, les précisions suivantes sont apportées:

les relations doivent être clarifiées au plus vite;

les données visées au paragraphe 2 sont effacées sans retard si l'hypothèse de l'existence d'une relation se révèle infondée;

toutes les données visées au paragraphe 2 peuvent être stockées si les contacts et l'entourage sont soupçonnés d'avoir commis une infraction relevant des objectifs d'Europol ou ont été condamnés pour avoir commis une telle infraction, ou s'il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'ils commettront une telle infraction;

les données visées au paragraphe 2 sur les contacts, et l'entourage, des contacts ainsi que les données sur les contacts, et l'entourage, de l'entourage ne peuvent pas être stockées, à l'exception des données sur le type et la nature de leurs contacts ou de leur relation avec les personnes visées au paragraphe 1, points a) et b);

s'il n'est pas possible de clarifier les éléments visés aux points précédents, il en est tenu compte lorsqu'une décision est prise sur la nécessité et la portée du stockage aux fins de la poursuite de l'analyse.

4. En ce qui concerne les personnes qui, comme visé au paragraphe 1, point d), ont été victimes d'une des infractions considérées ou pour lesquelles il existe certains faits qui permettent de penser qu'elles pourraient être victimes d'une telle infraction, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données suivantes:

identification de la victime;

raisons du choix de la victime;

dommage (physique, financier, psychologique, autre);

anonymat à préserver ou non;

éventuelle possibilité de participer à une audience;

informations relatives à des activités criminelles fournies par les personnes visées au paragraphe 1, point d), ou par leur intermédiaire, y compris si cela est nécessaire informations sur leurs relations avec d'autres personnes aux fins d'identifier les personnes visées au paragraphe 1, points a) et b).

Les autres données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer qu'elles sont nécessaires à l'analyse du rôle des personnes considérées en tant que victime ou victime potentielle.

Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.

5. En ce qui concerne les personnes qui, comme visé au paragraphe 1, point c), pourraient être appelées à témoigner dans le cadre d'enquêtes portant sur les infractions considérées ou de poursuites pénales ultérieures, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données répondant aux critères suivants:

informations relatives à des activités criminelles fournies par ces personnes, y compris informations sur leurs relations avec d'autres personnes figurant dans le fichier de travail à des fins d'analyse;

anonymat à préserver ou non;

protection à assurer ou non et par qui;

nouvelle identité;

éventuelle possibilité de participer à une audience.

Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.

6. En ce qui concerne les personnes qui, comme mentionné au paragraphe 1, point f), peuvent fournir des informations sur les infractions pénales considérées, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données répondant aux critères suivants:

données d'identité codées;

type d'informations fournies;

anonymat à préserver ou non;

protection à assurer ou non et par qui;

nouvelle identité;

éventuelle possibilité de participer à une audience;

expériences négatives;

récompenses (pécuniaires/faveurs).

Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.

7. Si, à un moment au cours de l'analyse, il apparaît clairement, sur la base d'indications sérieuses et concordantes, qu'une personne devrait être inscrite dans une autre catégorie de personnes prévue par la présente annexe que celle dans laquelle elle a été inscrite à l'origine, Europol ne peut traiter, pour cette personne, que les données autorisées pour la nouvelle catégorie, toutes les autres données devant être effacées.

Si, sur la base de ces indications, il s'avère qu'une personne devrait être incluse dans plusieurs catégories différentes prévues par la présente annexe, Europol peut traiter toutes les données autorisées pour ces catégories.

( 1 ) Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).

( 2 ) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (JO L 172 du 17.5.2021, p. 79).

( 3 ) Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).

( 4 ) Décision 2008/617/JAI du Conseil du 23 juin 2008 relative à l’amélioration de la coopération entre les unités spéciales d’intervention des États membres de l’Union européenne dans les situations de crise (JO L 210 du 6.8.2008, p. 73).

( 5 ) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).

( 6 ) Règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) no 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission (JO L 312 du 7.12.2018, p. 56).

( 7 ) Directive (UE) 2019/1153 du Parlement européen et du Conseil du 20 juin 2019 fixant les règles facilitant l’utilisation d’informations financières et d’une autre nature aux fins de la prévention ou de la détection de certaines infractions pénales, ou des enquêtes ou des poursuites en la matière, et abrogeant la décision 2000/642/JAI du Conseil (JO L 186 du 11.7.2019, p. 122).

( 8 ) Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) no 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73).

( 9 ) Décision 2005/511/JAI du Conseil du 12 juillet 2005 visant à protéger l'euro contre le faux-monnayage par la désignation d'Europol comme office central de répression du faux-monnayage de l'euro (JO L 185 du 16.7.2005, p. 35).

( 10 ) Règlement (UE) 2019/452 du Parlement européen et du Conseil du 19 mars 2019 établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union (JO L 79 I du 21.3.2019, p. 1).

( 11 ) Règlement délégué (UE) 2019/715 de la Commission du 18 décembre 2018 portant règlement financier-cadre des organismes créés en vertu du traité sur le fonctionnement de l’Union européenne et du traité Euratom et visés à l’article 70 du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (JO L 122 du 10.5.2019, p. 1).

( 12 ) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

( 13 ) Décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres (JO L 190 du 18.7.2002, p. 1).

( 14 ) Règlement (CE) no 168/2007 du Conseil du 15 février 2007 portant création d’une Agence des droits fondamentaux de l’Union européenne (JO L 53 du 22.2.2007, p. 1).

( 15 ) Règlement (UE) 2015/2219 du Parlement européen et du Conseil du 25 novembre 2015 sur l’Agence de l’Union européenne pour la formation des services répressifs (CEPOL) et remplaçant et abrogeant la décision 2005/681/JAI du Conseil (JO L 319 du 4.12.2015, p. 1).

( 16 ) Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).

( 17 ) JO C 95 du 1.4.2014, p. 1.

( 18 ) Règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l’Union, modifiant les règlements (UE) no 1296/2013, (UE) no 1301/2013, (UE) no 1303/2013, (UE) no 1304/2013, (UE) no 1309/2013, (UE) no 1316/2013, (UE) no 223/2014, (UE) no 283/2014 et la décision no 541/2014/UE, et abrogeant le règlement (UE, Euratom) no 966/2012 (JO L 193 du 30.7.2018, p. 1).

( 19 ) Règlement no 1 portant fixation du régime linguistique de la Communauté économique européenne (JO 17 du 6.10.1958, p. 385/58).

( 20 ) JO L 136 du 31.5.1999, p. 15.

( 21 ) Règlement (Euratom, CE) no 2185/96 du Conseil du 11 novembre 1996 relatif aux contrôles et vérifications sur place effectués par la Commission pour la protection des intérêts financiers des Communautés européennes contre les fraudes et autres irrégularités (JO L 292 du 15.11.1996, p. 2).

Top

All