EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32009D0934

Décision 2009/934/JAI du Conseil du 30 novembre 2009 portant adoption des règles d’application régissant les relations d’Europol avec ses partenaires, notamment l’échange de données à caractère personnel et d’informations classifiées

OJ L 325, 11.12.2009, p. 6–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 19 Volume 008 P. 255 - 260

No longer in force, Date of end of validity: 30/04/2017; abrogé et remplacé par 32016R0794

ELI: http://data.europa.eu/eli/dec/2009/934/oj

11.12.2009   

FR

Journal officiel de l'Union européenne

L 325/6


DÉCISION 2009/934/JAI DU CONSEIL

du 30 novembre 2009

portant adoption des règles d’application régissant les relations d’Europol avec ses partenaires, notamment l’échange de données à caractère personnel et d’informations classifiées

LE CONSEIL DE L’UNION EUROPÉENNE,

vu la décision 2009/371/JAI du Conseil du 6 avril 2009 portant création de l’Office européen de police (Europol) (1) (ci-après dénommée la «décision Europol»), et notamment son article 26, paragraphe 1, point b), et son article 59, paragraphe 1, point c),

vu le projet de dispositions présenté par le conseil d’administration, sur lequel l’autorité de contrôle commune a rendu un avis,

vu l’avis du Parlement européen,

considérant que, conformément à la décision Europol, il appartient au Conseil, statuant à la majorité qualifiée après consultation du Parlement européen, d’adopter les règles d’application régissant les relations d’Europol avec ses partenaires (dénommées ci-après les «règles»), notamment l’échange de données à caractère personnel et d’informations classifiées,

DÉCIDE:

TITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Definitions

Aux fins des présentes dispositions, on entend par:

a)

«États tiers», visés à l’article 23, paragraphe 1, point a), de la décision Europol, les États qui ne sont pas membres de l’Union européenne;

b)

«organisations», visées à l’article 23, paragraphe 1, point b), de la décision Europol, des organisations telles que des organisations internationales et les organismes de droit public qui en relèvent ou d’autres organismes de droit public qui sont établis par un accord entre deux ou plusieurs États ou sur la base d’un tel accord;

c)

«tiers», les États tiers et les organisations;

d)

«organes de l’Union européenne», les institutions, organes, organismes et agences créés par le traité sur l’Union européenne et par les traités instituant les Communautés européennes ou sur la base de ces traités, visés à l’article 22, paragraphe 1, de la décision Europol;

e)

«données à caractère personnel», toute information concernant une personne physique identifiée ou identifiable; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

f)

«informations classifiées», toute information ou tout matériel quelle qu’en soit la forme, dont la divulgation non autorisée pourrait porter atteinte à des degrés divers aux intérêts essentiels d’Europol, ou à ceux d’un ou de plusieurs de ses États membres ou aux partenaires d’Europol dans le cadre de la coopération, et qui nécessite l’application de mesures de sécurité appropriées;

g)

«accord stratégique», un accord prévoyant l’échange d’informations, à l’exclusion des données à caractère personnel;

h)

«accord opérationnel», un accord prévoyant l’échange d’informations, y compris de données à caractère personnel;

i)

«accord de coopération», un accord stratégique ou opérationnel;

j)

«arrangement de travail», un arrangement entre Europol et un organe de l’Union européenne relatif à leur coopération, prévoyant l’échange d’informations, y compris de données à caractère personnel;

k)

«traitement de données à caractère personnel» ou «traitement», toute opération ou tout ensemble d’opérations, effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction;

l)

«autorités compétentes», tous les organismes publics existant dans les États membres ou dans des États tiers, qui sont compétents, conformément à la législation nationale, en matière de prévention de la criminalité et de lutte contre celle-ci.

Article 2

Champ d’application

Les présentes règles régissent les relations d’Europol avec des organes de l’Union européenne et des tiers, notamment l’échange de données à caractère personnel et d’informations classifiées, et énoncent les procédures applicables à la négociation et à la conclusion d’accords de coopération et d’arrangements de travail.

TITRE II

CONCLUSION D’ACCORDS DE COOPÉRATION ET D’ARRANGEMENTS DE TRAVAIL

Article 3

Établissement de relations avec des organes de l’Union européenne

Conformément à l’article 22, paragraphe 1, de la décision Europol, l’Office peut établir et entretenir des relations de coopération avec des organes de l’Union européenne, dans la mesure où cela est utile à l’exécution de ses fonctions.

Europol demande l’avis du conseil d’administration s’il envisage d’entamer des négociations concernant un accord de coopération ou un arrangement de travail avec un organe de l’Union européenne qui n’est pas explicitement visé à l’article 22, paragraphe 1, points a) à f), de la décision Europol.

Article 4

Procédure pour la conclusion d’accords de coopération ou d’arrangements de travail avec des organes de l’Union européenne

1.   Conformément à l’article 22, paragraphe 2, de la décision Europol, l’Office conclut des accords de coopération ou des arrangements de travail avec des organes de l’Union européenne aux fins de l’établissement de relations de coopération. Ces accords ou arrangements de travail peuvent porter sur l’échange d’informations opérationnelles, stratégiques ou techniques, y compris de données à caractère personnel et d’informations classifiées.

2.   La transmission d’informations classifiées ne peut être autorisée que dans la mesure où un accord de confidentialité existe entre Europol et l’organe de l’Union européenne. Le comité de sécurité est informé de l’existence d’un tel accord, qui est ensuite établi en bonne et due forme dans le cadre de l’accord de coopération ou de l’arrangement de travail.

3.   De tels accords de coopération ou arrangements de travail ne peuvent être conclus qu’après approbation du conseil d’administration.

4.   Si l’accord de coopération ou l’arrangement de travail concerne l’échange de données à caractère personnel, le conseil d’administration obtient l’avis de l’autorité de contrôle commune préalablement à l’approbation visée au paragraphe 3.

Article 5

Établissement de relations avec des tiers

1.   Conformément à l’article 23, paragraphe 1, de la décision Europol, l’Office peut établir et entretenir des relations de coopération avec des tiers, dans la mesure où cela est nécessaire à l’exécution de ses fonctions.

2.   Conformément à l’article 23, paragraphe 2, de la décision Europol, l’Office conclut des accords avec les tiers qui ont été ajoutés à la liste des États tiers et des organisations visée à l’article 26, paragraphe 1, point a), de ladite décision. Ces accords peuvent porter sur l’échange d’informations opérationnelles, stratégiques ou techniques, y compris de données à caractère personnel et d’informations classifiées. En cas d’accord avec un État tiers, lesdites informations sont transmises par l’intermédiaire d’un point de contact désigné dans l’accord.

3.   Europol peut engager la procédure pour la conclusion d’un accord avec un tiers dès que ce dernier a été ajouté à la liste visée au paragraphe 2.

4.   Lorsqu’il est envisagé de conclure un accord opérationnel avec un tiers, Europol procède à une évaluation du caractère adéquat du niveau de protection des données assuré par ce tiers. Cette évaluation est transmise au conseil d’administration, qui a préalablement obtenu l’avis de l’autorité de contrôle commune. Aux fins de cette évaluation, il est tenu compte du cadre réglementaire et des pratiques administratives du tiers concerné dans le domaine de la protection des données, y compris de toute autorité indépendante responsable de la supervision des questions de protection des données.

Article 6

Procédure pour la conclusion d’accords de coopération avec des tiers

1.   Tenant compte de l’avis de l’autorité de contrôle commune, le conseil d’administration décide, sur la base de l’évaluation visée à l’article 5, paragraphe 4, si le directeur entame ou non des négociations avec le tiers sur la conclusion d’un accord opérationnel. S’il obtient une décision positive du conseil d’administration, le directeur entame avec le tiers des négociations sur la conclusion d’un tel accord. En cas de décision négative, le conseil d’administration peut envisager la conclusion d’un accord stratégique avec le tiers concerné.

2.   La transmission d’informations classifiées par Europol ne peut être autorisée que dans la mesure où un accord de confidentialité existe entre Europol et le tiers. Le comité de sécurité est informé de l’existence d’un tel accord, qui est ensuite établi en bonne et due forme dans le cadre de l’accord de coopération.

3.   À l’issue des négociations concernant un accord, le directeur en soumet le projet au conseil d’administration. En ce qui concerne la conclusion d’un accord opérationnel, le conseil d’administration obtient l’avis de l’autorité de contrôle commune. Le conseil d’administration approuve le projet d’accord avant de le soumettre au Conseil pour adoption.

En cas d’approbation d’un accord opérationnel, le projet d’accord et l’avis de l’autorité de contrôle commune sont soumis au Conseil.

4.   Conformément à l’article 23, paragraphe 2, de la décision Europol, ces accords ne sont conclus qu’après l’approbation du Conseil, qui a préalablement consulté le conseil d’administration et, dans la mesure où ces accords concernent l’échange de données à caractère personnel, obtenu l’avis de l’autorité de contrôle commune, par l’intermédiaire du conseil d’administration.

Article 7

Information pour le conseil d’administration

Le directeur informe régulièrement le conseil d’administration de l’état d’avancement des négociations en cours avec des organes de l’Union européenne et des tiers.

TITRE III

ÉCHANGE D’INFORMATIONS

CHAPITRE I

Réception d’informations

Article 8

Réception d’informations avant l’entrée en vigueur d’un accord

Avant l’entrée en vigueur d’un accord ou d’un arrangement de travail avec un organe de l’Union européenne ou un tiers, Europol peut, conformément à l’article 22, paragraphe 3, et à l’article 23, paragraphe 3, de la décision Europol, directement recevoir et utiliser des informations, y compris des données à caractère personnel et des informations classifiées, dans la mesure où cela est nécessaire à l’exécution légitime des missions lui incombant, dont la liste figure à l’article 5 de la décision Europol.

CHAPITRE II

Transmission d’informations

Article 9

Conditions pour la transmission d’informations à des organes de l’Union européenne et à des tiers

Europol ne peut transmettre d’informations à un organe de l’Union européenne ou à un tiers que dans les conditions suivantes:

1.

nonobstant les articles 11 à 14, des informations ne peuvent être transmises qu’après qu’un accord ou un arrangement de travail a été conclu avec l’organe de l’Union européenne ou le tiers conformément aux dispositions du titre II;

2.

lorsque les données concernées ont été transmises à Europol par un État membre, Europol ne peut les transmettre à des organes de l’Union européenne ou à des tiers qu’avec l’accord de l’État membre concerné. Ce dernier peut donner son accord préalable pour cette transmission, en des termes généraux ou sous réserve de conditions spécifiques. Cet accord est révocable à tout moment;

3.

si les données n’ont pas été transmises par un État membre, Europol s’assure que leur transmission n’est pas de nature:

a)

à empêcher un État membre de s’acquitter dûment des missions relevant de sa compétence;

b)

à menacer la sécurité ou l’ordre public d’un État membre ou à risquer de lui nuire d’une quelconque façon;

4.

la transmission à des tiers de données à caractère personnel ne peut être autorisée que lorsque:

a)

cette mesure est nécessaire, dans des cas individuels, aux fins de la prévention des infractions relevant de la compétence d’Europol ou de la lutte contre celles-ci; et

b)

Europol a conclu avec les tiers concernés un accord opérationnel qui autorise la transmission de telles données sur la base d’une évaluation confirmant le caractère adéquat du niveau de protection des données assuré par lesdits tiers, conformément à l’article 5, paragraphe 4;

5.

la transmission par Europol d’informations classifiées ne peut être autorisée:

a)

que dans la mesure où un accord de confidentialité existe entre Europol et l’organe de l’Union européenne ou le tiers, conformément à l’article 4, paragraphe 2, et à l’article 6, paragraphe 2; et

b)

dans le cas de la transmission de données à des tiers, que lorsque cette mesure est nécessaire, dans des cas individuels, aux fins de la prévention des infractions relevant de la compétence d’Europol ou de la lutte contre celles-ci.

Article 10

Responsabilité de la transmission des données

Europol est responsable du caractère licite de la transmission des données. Europol consigne toutes les transmissions de données effectuées au titre des présentes règles ainsi que leur motif. Les données ne sont transmises que si le destinataire s’engage à les utiliser exclusivement aux fins auxquelles elles ont été transmises.

Article 11

Transmission d’informations à des organes de l’Union européenne avant l’entrée en vigueur d’un accord de coopération ou d’un arrangement de travail

1.   Avant l’entrée en vigueur d’un accord opérationnel ou d’un arrangement de travail avec un organe de l’Union européenne, Europol peut, conformément à l’article 22, paragraphe 3, de la décision Europol et dans les conditions prévues à l’article 9, points 2 et 3), des présentes règles, transmettre directement des informations, y compris des données à caractère personnel, audit organe de l’Union européenne, dans la mesure où cela est nécessaire à l’exécution légitime des missions incombant au destinataire.

2.   La transmission par Europol d’informations classifiées ne peut être autorisée que dans la mesure où un accord de confidentialité existe entre Europol et l’organe de l’Union européenne, conformément à l’article 4, paragraphe 2.

Article 12

Transmission d’informations à des tiers avant l’entrée en vigueur d’un accord

Avant l’entrée en vigueur d’un accord avec un tiers, Europol peut, conformément à l’article 23, paragraphe 4, de la décision Europol et dans les conditions prévues à l’article 9, points 2 et 3), des présentes règles, transmettre directement des informations audit tiers, à l’exception des données à caractère personnel et des informations classifiées, dans la mesure où cela est nécessaire à l’exécution légitime des missions incombant au destinataire.

Article 13

Transmission d’informations à des tiers qui ne figurent pas sur la liste du Conseil

Conformément à l’article 23, paragraphe 5, de la décision Europol et dans les conditions prévues à l’article 9, points 2) et 3), des présentes règles, Europol peut transmettre directement des informations, à l’exception des données à caractère personnel et des informations classifiées, à des tiers qui ne figurent pas sur la liste visée à l’article 26, paragraphe 1, point a), de la décision Europol, dans la mesure où cela est absolument nécessaire, dans des cas individuels, aux fins de la prévention des infractions relevant de la compétence d’Europol ou de la lutte contre celles-ci.

CHAPITRE III

Transmission d’informations dans des cas exceptionnels

Article 14

Transmission de données à caractère personnel et d’informations classifiées dans des cas exceptionnels

1.   Conformément à l’article 23, paragraphes 8 et 9, de la décision Europol, et dans les conditions prévues à l’article 9, points 2) et 3), des présentes règles, Europol peut transmettre à des tiers des données à caractère personnel et des informations classifiées conservées lorsque le directeur estime que la transmission de ces données est absolument nécessaire à la sauvegarde des intérêts essentiels des États membres concernés, qui s’inscrivent dans le cadre des objectifs d’Europol, ou dans le but de prévenir un danger imminent lié à la criminalité ou à des infractions terroristes.

2.   En cas de transmission d’informations classifiées, le directeur informe dès que possible le conseil d’administration et le comité de sécurité de sa décision.

3.   En cas de transmission de données à caractère personnel, le directeur tient compte en toute circonstance du niveau de protection des données applicable au tiers en question, afin de mettre en balance ce niveau de protection et les intérêts précités. Ce faisant, le directeur prend en compte tous les éléments pertinents, tels que le danger qui pourrait survenir si Europol ne transmettait pas les données à caractère personnel concernées. Le directeur informe dès que possible le conseil d’administration et l’autorité de contrôle commune de sa décision et de la base de l’évaluation du caractère adéquat du niveau de protection des données assuré par le tiers concerné.

4.   Avant la transmission de données à caractère personnel conformément au paragraphe 1, le directeur évalue le caractère adéquat du niveau de protection des données assuré par les tiers concernés, en tenant compte de tous les éléments en rapport avec la transmission de données à caractère personnel, notamment:

a)

la nature des données;

b)

la finalité des données;

c)

la durée du traitement prévu;

d)

les dispositions générales ou spécifiques en matière de protection des données applicables aux tiers;

e)

l’acceptation ou non par les tiers de conditions spécifiques exigées par Europol en ce qui concerne lesdites données.

CHAPITRE IV

Conditions spécifiques pour la transmission de données à caractère personnel

Article 15

Fins auxquelles les données à caractère personnel sont transmises

1.   Les données à caractère personnel demandées sans que soient fournies des indications quant aux fins et au motif de la demande ne sont pas transmises.

2.   La transmission de données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, ainsi que de données concernant la santé ou la sexualité n’est autorisée qu’en cas d’absolue nécessité.

Article 16

Rectification et effacement des données à caractère personnel

1.   Lorsque Europol transmet des données à caractère personnel à un organe de l’Union européenne ou à un tiers, il s’assure que l’organe de l’Union européenne ou le tiers destinataire s’engage à ce que ces données soient rectifiées ou effacées s’il s’avère qu’elles sont incorrectes ou inexactes, qu’elles ne sont plus d’actualité ou qu’elles n’auraient pas dû être transmises. Lorsque Europol constate que des données à caractère personnel sont incorrectes ou inexactes, qu’elles ne sont plus d’actualité ou qu’elles n’auraient pas dû être transmises, l’organe de l’Union européenne ou le tiers destinataire en est immédiatement informé et est invité à notifier à Europol que les données seront rectifiées ou effacées. Le directeur informe le conseil d’administration et l’autorité de contrôle commune des activités d’Europol dans ce domaine.

2.   Tout accord conclu prévoit l’obligation de rectification ou d’effacement des données conformément à la procédure visée au paragraphe 1.

3.   Lorsque Europol transmet des données à caractère personnel, il s’assure que l’organe de l’Union européenne ou le tiers destinataire s’engage à ce que ces données soient effacées dans les cas où elles ne sont plus utiles aux fins qui ont motivé leur transmission.

CHAPITRE V

Transmission ultérieure de données à des organes de l’Union européenne et à des tiers

Article 17

Autorités compétentes et transmission ultérieure

1.   La transmission par Europol de données à caractère personnel à un État tiers et la transmission de ces données au sein de cet État sont limitées aux autorités compétentes, qui sont explicitement mentionnées dans tout accord conclu.

2.   Lors de la négociation des accords, Europol met tout en œuvre pour veiller à ce que, dans la mesure du possible, un État tiers désigne une autorité compétente pour servir de point de contact national entre Europol et les autres autorités compétentes de cet État tiers.

3.   Lorsqu’il transmet des données à caractère personnel, Europol s’assure que l’organe de l’Union européenne ou le tiers destinataire s’engage à ce que la transmission ultérieure de ces données soit limitée aux autorités compétentes et soit soumise aux mêmes conditions que la transmission initiale.

4.   Lorsqu’il n’est pas possible pour un État tiers de désigner une autorité compétente pour servir de point de contact national, des accords peuvent, à titre exceptionnel, prévoir la transmission directe d’informations par Europol à une ou plusieurs autorités compétentes au sein de l’État tiers concerné.

Article 18

Conditions pour la transmission ultérieure

1.   Europol ne transmet des données à caractère personnel à une autorité compétente d’un État tiers ou ne transmet de telles données à une organisation ou à un organe de l’Union européenne que si cette autorité, cette organisation ou cet organe accepte de ne pas communiquer les données en question à d’autres organes de l’Union européenne ou à des tiers, sauf dans les conditions prévues au paragraphe 2.

2.   La transmission ultérieure de données à caractère personnel par une autorité compétente d’un État tiers, d’une organisation ou d’un organe de l’Union européenne avec qui Europol a conclu un accord opérationnel ne peut avoir lieu:

a)

qu’avec l’accord préalable d’Europol, dans les cas où l’organe de l’Union européenne ou le tiers qui reçoit les données à caractère personnel a conclu un accord opérationnel avec Europol; ou

b)

à titre exceptionnel, qu’après autorisation du directeur, tenant compte du niveau de protection des données applicable à l’organe de l’Union européenne ou au tiers, s’il estime que la transmission ultérieure des données à caractère personnel par l’organe de l’Union européenne ou le tiers est absolument nécessaire:

i)

à la sauvegarde des intérêts essentiels des États membres concernés qui s’inscrivent dans le cadre des objectifs d’Europol; ou

ii)

dans le but de prévenir un danger imminent lié à la criminalité ou à des infractions terroristes.

3.   La transmission ultérieure de données communiquées à Europol par un État membre n’est pas autorisée sans l’accord préalable de l’État membre concerné. Le directeur informe l’État membre concerné des raisons pour lesquelles la transmission de ces données a lieu par l’intermédiaire d’un organe de l’Union européenne ou d’un tiers et non de manière directe.

CHAPITRE VI

Conditions spécifiques pour la réception par Europol d’informations provenant de tiers

Article 19

Évaluation de la source et de l’information

1.   Pour pouvoir déterminer la fiabilité de l’information qu’il a reçue, ainsi que de sa source, Europol invite l’organe de l’Union européenne ou le tiers à évaluer, dans la mesure du possible, l’information et sa source conformément aux critères mentionnés à l’article 12 de la décision 2009/936/JAI du Conseil du 30 novembre 2009 portant adoption des règles applicables aux fichiers de travail à des fins d’analyse Europol (2) (ci-après dénommées les «règles applicables aux fichiers de travail à des fins d’analyse Europol»).

2.   En l’absence d’une telle évaluation, Europol essaie, dans la mesure du possible, d’évaluer la fiabilité de la source ou de l’information sur la base des informations se trouvant déjà en sa possession, conformément aux critères mentionnés à l’article 12 des règles applicables aux fichiers de travail à des fins d’analyse Europol.

3.   Dans le cadre d’un accord, Europol et un organe de l’Union européenne ou un tiers peuvent convenir en termes généraux de l’évaluation de certains types d’informations et de certaines sources conformément aux critères mentionnés à l’article 12 des règles applicables aux fichiers de travail à des fins d’analyse Europol.

Article 20

Rectification et effacement des informations reçues par Europol

1.   Des accords prévoient que l’organe de l’Union européenne ou le tiers informe Europol lorsqu’il rectifie ou efface l’information transmise à Europol.

2.   Lorsqu’un organe de l’Union européenne ou un tiers informe Europol qu’il a rectifié ou effacé l’information transmise à Europol, Europol corrige ou efface l’information en conséquence. Europol n’efface pas l’information s’il doit encore la traiter aux fins du fichier de travail à des fins d’analyse concerné ou si, au cas où l’information est conservée dans un autre fichier d’Europol, elle présente un autre intérêt pour Europol, compte tenu de renseignements plus complets que ceux dont dispose l’organe de l’Union européenne ou le tiers qui la transmet. Europol informe l’organe de l’Union européenne ou le tiers concerné du maintien de cette information dans les fichiers.

3.   Si Europol a tout lieu de croire que l’information fournie est inexacte ou n’est plus d’actualité, il informe l’organe de l’Union européenne ou le tiers qui a fourni l’information et invite l’organe de l’Union européenne ou le tiers à l’informer de sa position sur la question. Au cas où l’information est rectifiée ou effacée par Europol conformément à l’article 31, paragraphe 1, de la décision Europol, Europol informe l’organe de l’Union européenne ou le tiers qui a fourni l’information de la rectification ou de l’effacement.

4.   Sans préjudice de l’article 31 de la décision Europol, les informations qui ont manifestement été obtenues par un État tiers en violation évidente des droits de l’homme ne sont pas traitées.

5.   Des accords prévoient que l’organe de l’Union européenne ou le tiers informe Europol, dans la mesure du possible, dans les cas où l’organe de l’Union européenne ou le tiers a tout lieu de croire que l’information fournie est inexacte ou n’est plus d’actualité.

TITRE IV

DISPOSITIONS FINALES

Article 21

Entrée en vigueur

Les présentes règles entrent en vigueur le 1er janvier 2010.

Fait à Bruxelles, le 30 novembre 2009.

Par le Conseil

La présidente

B. ASK


(1)  JO L 121 du 15.5.2009, p. 37.

(2)  Voir page 14 du présent Journal officiel.


Top