02016R0794 — FR — 28.06.2022 — 001.001
Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document
RÈGLEMENT (UE) 2016/794 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 11 mai 2016 (JO L 135 du 24.5.2016, p. 53) |
Modifié par:
|
|
Journal officiel |
||
n° |
page |
date |
||
RÈGLEMENT (UE) 2022/991 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 8 juin 2022 |
L 169 |
1 |
27.6.2022 |
RÈGLEMENT (UE) 2016/794 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 11 mai 2016
relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI
CHAPITRE I
DISPOSITIONS GÉNÉRALES, OBJECTIFS ET MISSIONS D'EUROPOL
Article premier
Création de l'Agence de l'Union européenne pour la coopération des services répressifs
Article 2
Définitions
Aux fins du présent règlement, on entend par:
«autorités compétentes des États membres», l'ensemble des autorités de police et autres services répressifs existant dans les États membres qui sont compétents, en vertu du droit national, en matière de prévention et de lutte contre les infractions pénales. Les autorités compétentes comprennent également d'autres autorités publiques existant dans les États membres qui sont compétentes, en vertu du droit national, en matière de prévention et de lutte contre les infractions pénales relevant de la compétence d'Europol;
«analyse stratégique», toutes les méthodes et techniques permettant de collecter, de stocker, de traiter et d'évaluer des informations en vue d'appuyer et d'élaborer une politique pénale qui contribue à prévenir et à lutter contre la criminalité de manière efficace et effective;
«analyse opérationnelle», toutes les méthodes et techniques permettant de collecter, de stocker, de traiter et d'évaluer des informations en vue d'appuyer des enquêtes pénales;
«organes de l'Union», les institutions, organes, missions, bureaux et agences institués par le traité sur l'Union européenne et le traité sur le fonctionnement de l'Union européenne ou sur la base de ces traités;
«organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord;
«parties privées», des entités et organismes constitués en vertu du droit d'un État membre ou d'un pays tiers, notamment des entreprises et des sociétés, des associations commerciales, des organisations sans but lucratif et autres personnes morales qui ne sont pas visées au point e);
«particuliers», toute personne physique;
▼M1 —————
«destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers;
▼M1 —————
«données administratives à caractère personnel», les données à caractère personnel traitées par Europol autres que les données opérationnelles à caractère personnel;
«données d’enquête», les données qu’un État membre, le Parquet européen institué par le règlement (UE) 2017/1939 du Conseil ( 1 ), Eurojust ou un pays tiers est autorisé à traiter dans une enquête pénale en cours concernant un ou plusieurs États membres, conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union ou du droit national, qu’un État membre, le Parquet européen, Eurojust ou un pays tiers a transmises à Europol à l’appui d’une telle enquête pénale en cours et qui contiennent des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II;
«contenu à caractère terroriste», le contenu à caractère terroriste au sens de l’article 2, point 7), du règlement (UE) 2021/784 du Parlement européen et du Conseil ( 2 );
«matériel pédopornographique en ligne», tout matériel en ligne constituant de la pédopornographie au sens de l’article 2, point c), de la directive 2011/93/UE du Parlement européen et du Conseil ( 3 ) ou un spectacle pornographique au sens de l’article 2, point e), de ladite directive;
«situation de crise en ligne», la diffusion de contenus en ligne provenant d’un événement réel, en cours ou récent, qui représentent des atteintes à la vie ou à l’intégrité physique ou qui appellent à des atteintes imminentes à la vie ou à l’intégrité physique et ont pour objet ou pour effet d’intimider gravement une population, à condition qu’il existe un lien ou une suspicion raisonnable de lien avec le terrorisme ou l’extrémisme violent et que la possibilité que ces contenus se multiplient de manière exponentielle et acquièrent un caractère viral sur plusieurs services en ligne soit prévisible;
«catégorie de transferts de données à caractère personnel», un groupe de transferts de données à caractère personnel dans lequel les données sont liées à la même situation spécifique et les transferts se composent des mêmes catégories de données à caractère personnel et des mêmes catégories de personnes concernées;
«projets de recherche et d’innovation», des projets portant sur des questions régies par le présent règlement en vue de l’élaboration, de l’entraînement, de l’expérimentation et de la validation d’algorithmes pour la mise au point d’outils spécifiques, et d’autres projets de recherche et d’innovation spécifiques pertinents pour la réalisation des objectifs d’Europol.
Article 3
Objectifs
Outre le paragraphe 1, les objectifs d'Europol s'étendent également aux infractions pénales connexes. Sont considérées comme des infractions pénales connexes:
les infractions pénales commises pour se procurer les moyens de perpétrer des actes relevant de la compétence d'Europol;
les infractions pénales commises pour faciliter l'exécution d'actes relevant de la compétence d'Europol, ou les perpétrer;
les infractions pénales commises dans le but d'assurer l'impunité de ceux qui commettent des actes relevant de la compétence d'Europol.
Article 4
Missions
Europol est chargée des missions suivantes pour atteindre les objectifs fixés à l'article 3:
collecter, stocker, traiter, analyser et échanger des informations, y compris des éléments de renseignement criminel;
communiquer sans retard aux États membres, par l'intermédiaire des unités nationales créées ou désignées en vertu de l'article 7, paragraphe 2, toute information ou tout lien existant entre des infractions pénales qui les concernent;
coordonner, organiser et réaliser des enquêtes et des actions opérationnelles pour soutenir et renforcer les actions des autorités compétentes des États membres, qui sont menées:
conjointement avec les autorités compétentes des États membres; ou
dans le cadre d'équipes communes d'enquête, conformément à l'article 5 et, s'il y a lieu, en liaison avec Eurojust;
participer à des équipes communes d'enquête, ainsi que proposer leur constitution conformément à l'article 5;
fournir aux États membres des informations et une aide à l'analyse lors d'événements internationaux majeurs;
établir des évaluations de la menace, des analyses stratégiques et opérationnelles ainsi que des comptes rendus généraux;
développer, partager et promouvoir une expertise en ce qui concerne les méthodes de prévention de la criminalité, les procédures d'enquête et les méthodes de police techniques et scientifiques, ainsi que dispenser des conseils aux États membres;
soutenir les activités d'échange d'informations, les opérations et les enquêtes transfrontalières menées par les États membres, ainsi que les équipes communes d'enquête, notamment en fournissant un appui opérationnel, technique et financier;
fournir un appui administratif et financier aux unités spéciales d’intervention des États membres visées dans la décision 2008/617/JAI du Conseil ( 4 );
assurer des formations spécialisées et aider les États membres à organiser des formations, y compris par un soutien financier, dans le cadre de ses objectifs et en fonction des effectifs et des ressources budgétaires dont elle dispose, en coordination avec l'Agence de l'Union européenne pour la formation des services répressifs (CEPOL);
coopérer avec les organes de l’Union institués sur la base du titre V du traité sur le fonctionnement de l’Union européenne, avec l’OLAF et l’Agence de l’Union européenne pour la cybersécurité (ENISA) instituée par le règlement (UE) 2019/881 du Parlement européen et du Conseil ( 5 ), en particulier par des échanges d’informations et la fourniture d’une aide à l’analyse dans des domaines relevant de leurs compétences respectives;
fournir des informations et un appui aux structures et aux missions de gestion des crises de l'UE instituées sur la base du traité sur l'Union européenne, dans le cadre des objectifs d'Europol énoncés à l'article 3;
développer des centres d'expertise spécialisée de l'Union pour lutter contre certaines formes de criminalité relevant des objectifs d'Europol, notamment le Centre européen de lutte contre la cybercriminalité;
soutenir les actions des États membres en matière de prévention des formes de criminalité énumérées à l’annexe I qui sont facilitées, favorisées ou commises à l’aide de l’internet, et de lutte contre ces phénomènes, y compris en:
aidant les autorités compétentes des États membres, à leur demande, à répondre aux cyberattaques supposées être d’origine criminelle;
coopérant avec les autorités compétentes des États membres en ce qui concerne les injonctions de retrait, conformément à l’article 14 du règlement (UE) 2021/784; et
signalant les contenus en ligne aux fournisseurs de services en ligne concernés pour qu’ils examinent sur une base volontaire la compatibilité de ces contenus avec leurs propres conditions générales;
aider les États membres à identifier les personnes dont les activités criminelles relèvent des formes de criminalité énumérées à l’annexe I et qui constituent un risque élevé en matière de sécurité;
faciliter des enquêtes conjointes, coordonnées et considérées comme une priorité portant sur les personnes visées au point r);
aider les États membres à traiter les données fournies à Europol par des pays tiers ou des organisations internationales sur les personnes impliquées dans le terrorisme ou dans la criminalité grave et proposer l’introduction éventuelle par les États membres, laissée à leur discrétion et sous réserve de la vérification et de l’analyse de ces données, de signalements pour information concernant des ressortissants de pays tiers dans l’intérêt de l’Union (ci-après dénommés «signalements pour information») dans le système d’information Schengen (SIS), conformément au règlement (UE) 2018/1862 du Parlement européen et du Conseil ( 6 );
soutenir la mise en œuvre du mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen prévu par le règlement (UE) no 1053/2013, dans le cadre des objectifs d’Europol, en fournissant une expertise et des analyses, s’il y a lieu;
surveiller proactivement les activités de recherche et d’innovation qui sont pertinentes pour la réalisation des objectifs d’Europol et contribuer à ces activités, en soutenant les activités connexes des États membres et en mettant en œuvre ses propres activités de recherche et d’innovation, y compris des projets pour l’élaboration, l’entraînement, l’expérimentation et la validation d’algorithmes pour la mise au point d’outils spécifiques destinés aux autorités répressives, et diffuser les résultats de ces activités aux États membres conformément à l’article 67;
contribuer à la création de synergies entre les activités de recherche et d’innovation des organes de l’Union qui sont pertinentes pour la réalisation des objectifs d’Europol, y compris par l’intermédiaire du pôle d’innovation de l’Union européenne pour la sécurité intérieure, et en étroite coopération avec les États membres;
soutenir, à leur demande, les mesures des États membres visant à faire face aux situations de crise en ligne, notamment en fournissant aux parties privées les informations nécessaires pour identifier les contenus en ligne concernés;
soutenir les mesures des États membres visant à lutter contre la diffusion en ligne de matériel pédopornographique en ligne;
coopérer, conformément à l’article 12 de la directive (UE) 2019/1153 du Parlement européen et du Conseil ( 7 ), avec les cellules de renseignement financier (CRF) instituées en vertu de la directive (UE) 2015/849 du Parlement européen et du Conseil ( 8 ), par l’intermédiaire de l’unité nationale Europol compétente ou, si cela est autorisé par l’État membre concerné, par le biais de contacts directs avec les CRF, notamment par des échanges d’informations et la fourniture d’analyses aux États membres en vue de soutenir les enquêtes transfrontières sur les activités de blanchiment de capitaux des organisations criminelles transnationales et sur le financement du terrorisme;
Afin qu’un État membre informe, dans un délai de douze mois suivant la proposition d’Europol relative à l’introduction éventuelle d’un signalement pour information visé au premier alinéa, point t), les autres États membres et Europol des résultats de la vérification et de l’analyse des données et de l’introduction éventuelle d’un signalement dans le SIS, un mécanisme de rapport périodique est mis en place.
Les États membres informent Europol de tout signalement pour information introduit dans le SIS et de toute réponse positive à ces signalements pour information et peuvent informer, par l’intermédiaire d’Europol, le pays tiers ou l’organisation internationale qui a fourni les données donnant lieu à l’introduction du signalement pour information des réponses positives à un tel signalement pour information, conformément à la procédure établie dans le règlement (UE) 2018/1862.
Europol aide la Commission à établir et à mettre en œuvre les programmes-cadres de l’Union pour les activités de recherche et d’innovation pertinentes pour la réalisation des objectifs d’Europol.
Le cas échéant, Europol peut diffuser les résultats de ses activités de recherche et d’innovation dans le cadre de sa contribution à la création de synergies entre les activités de recherche et d’innovation des organes de l’Union compétents conformément au paragraphe 1, premier alinéa, point w).
Europol prend toutes les mesures nécessaires pour éviter les conflits d’intérêts. Europol ne reçoit aucun financement au titre d’un programme-cadre de l’Union donné lorsqu’elle aide la Commission à déterminer les principaux thèmes de recherche et à établir et mettre en œuvre ledit programme-cadre.
Lors de la conception et de la conceptualisation des activités de recherche et d’innovation concernant des questions régies par le présent règlement, Europol peut, s’il y a lieu, consulter le Centre commun de recherche de la Commission.
Le personnel d’Europol peut apporter un appui opérationnel aux autorités compétentes des États membres au cours de la mise en œuvre des mesures d’enquête, à leur demande et conformément à leur droit national, notamment en facilitant les échanges d’informations transfrontières, en fournissant une aide criminalistique et technique et en étant présent au cours de la mise en œuvre de ces mesures d’enquête. Le personnel d’Europol n’est pas habilité à mettre, lui-même, en œuvre des mesures d’enquête.
CHAPITRE II
COOPÉRATION ENTRE LES ÉTATS MEMBRES ET EUROPOL
Article 5
Participation aux équipes communes d'enquête
Article 6
Demandes d'Europol visant à ouvrir une enquête pénale
Si les autorités compétentes d'un État membre décident de ne pas donner suite à une demande présentée par Europol en application du paragraphe 1, elles informent Europol des motifs de leur décision, sans retard injustifié, et de préférence dans un délai d'un mois à compter de la réception de la demande. Toutefois, il est permis de ne pas communiquer les motifs si leur communication:
était contraire aux intérêts essentiels de la sécurité de l'État membre concerné; ou
compromettait le succès d'une enquête en cours ou la sécurité d'une personne physique.
Article 7
Unités nationales Europol
Les États membres, par l'intermédiaire de leur unité nationale ou, sous réserve du paragraphe 5, d'une autorité compétente, assurent notamment:
la communication à Europol des informations nécessaires à la réalisation de ses objectifs, y compris des informations relatives aux formes de criminalité à l'égard desquelles la prévention et la lutte sont considérées comme des priorités de l'Union;
une communication et une coopération efficaces avec Europol, de la part de toutes les autorités compétentes concernées;
une sensibilisation aux activités d'Europol;
conformément à l'article 38, paragraphe 5, point a), le respect du droit national lors de la communication d'informations à Europol.
Sans préjudice de l'exercice, par les États membres, de leurs responsabilités en matière de maintien de l'ordre public et de protection de la sécurité intérieure, les États membres ne sont pas tenus, dans une affaire donnée, de fournir des informations conformément au paragraphe 6, point a), qui auraient pour effet:
d'être contraire aux intérêts essentiels de la sécurité de l'État membre;
de compromettre le succès d'une enquête en cours ou la sécurité d'une personne physique; ou
de divulguer des informations concernant des organisations ou des activités de renseignement spécifiques dans le domaine de la sûreté nationale.
Cependant, les États membres fournissent des informations dès qu'elles n'entrent plus dans le champ d'application des points a), b) ou c) du premier alinéa.
Article 8
Officiers de liaison
CHAPITRE III
ORGANISATION D'EUROPOL
Article 9
Structure administrative et de gestion d'Europol
La structure administrative et de gestion d'Europol comprend:
le conseil d'administration;
un directeur exécutif;
s'il y a lieu, d'autres organes consultatifs créés par le conseil d'administration conformément à l'article 11, paragraphe 1, point s);
SECTION 1
Conseil d'administration
Article 10
Composition du conseil d'administration
Il est également tenu compte du principe de la représentation équilibrée des hommes et des femmes au sein du conseil d'administration.
Article 11
Fonctions du conseil d'administration
Le conseil d'administration:
adopte chaque année, à la majorité des deux tiers de ses membres et conformément à l’article 12 du présent règlement, un document de programmation unique visé à l’article 32 du règlement délégué (UE) 2019/715 de la Commission ( 11 );
adopte, à la majorité des deux tiers de ses membres, le budget annuel d'Europol et exerce d'autres fonctions en rapport avec le budget d'Europol, en vertu du chapitre X;
adopte un rapport d'activité annuel consolidé sur les activités d'Europol et le transmet, au plus tard le 1er juillet de l'année suivante, au Parlement européen, au Conseil, à la Commission, à la Cour des comptes et aux parlements nationaux. Le rapport d'activité annuel consolidé est rendu public;
adopte les règles financières applicables à Europol, conformément à l'article 61;
adopte une stratégie antifraude interne proportionnée aux risques de fraude, tenant compte du rapport coûts-avantages des mesures à mettre en œuvre;
adopte des règles de prévention et de gestion des conflits d'intérêts à l'égard de ses membres, y compris en liaison avec leur déclaration d'intérêt;
conformément au paragraphe 2, exerce, vis-à-vis du personnel d'Europol, les compétences conférées à l'autorité investie du pouvoir de nomination par le statut et à l'autorité habilitée à conclure les contrats d'engagement par le régime applicable aux autres agents (ci-après dénommées «compétences relevant de l'autorité investie du pouvoir de nomination»);
adopte les règles d'exécution appropriées visant à donner effet au statut et du régime applicable aux autres agents, conformément à l'article 110 du statut;
adopte des règles internes relatives à la procédure de sélection du directeur exécutif, y compris les règles relatives à la composition du comité de sélection qui garantissent son indépendance et son impartialité;
propose au Conseil une liste restreinte de candidats pour le poste de directeur exécutif et les postes de directeurs exécutifs adjoints et, s'il y a lieu, propose au Conseil de prolonger leur mandat ou de les démettre de leurs fonctions, conformément aux articles 54 et 55;
établit des indicateurs de performance et supervise l'action du directeur exécutif, y compris la mise en œuvre des décisions du conseil d'administration;
nomme un délégué à la protection des données, qui est fonctionnellement indépendant dans l'exercice de ses fonctions;
nomme un comptable, qui est soumis au statut et au régime applicable aux autres agents et fonctionnellement indépendant dans l'exercice de ses fonctions;
met en place, le cas échéant, une structure d'audit interne;
assure un suivi adéquat des conclusions et recommandations issues des divers rapports d'audit et évaluations internes ou externes, ainsi que des enquêtes de l'OLAF et du CEPD;
détermine les critères d'évaluation à utiliser pour le rapport annuel, conformément à l'article 7, paragraphe 11;
adopte des lignes directrices précisant davantage les procédures de traitement des informations par Europol conformément à l'article 18, après consultation du CEPD;
autorise la conclusion d'arrangements de travail et d'arrangements administratifs conformément à l'article 23, paragraphe 4, et à l'article 25, paragraphe 1, respectivement;
décide, en prenant en considération à la fois les exigences opérationnelles et financières, de la mise en place des structures internes d'Europol, y compris des centres d'expertise spécialisée de l'Union visés à l'article 4, paragraphe 1, point l), sur proposition du directeur exécutif;
adopte son règlement intérieur, y compris des dispositions concernant les missions et le fonctionnement de son secrétariat;
adopte, le cas échéant, d'autres règles internes;
désigne l’officier aux droits fondamentaux visé à l’article 41 quater;
précise les critères sur la base desquels Europol peut formuler des propositions relatives à l’introduction éventuelle de signalements pour information dans le SIS;
Lorsque des circonstances exceptionnelles l'exigent, le conseil d'administration peut, par voie de décision, suspendre temporairement la délégation des compétences relevant de l'autorité investie du pouvoir de nomination au directeur exécutif et toute subdélégation de celles-ci, et les exercer lui-même ou les déléguer à un de ses membres ou à un membre du personnel autre que le directeur exécutif.
Article 12
Programmation pluriannuelle et programmes de travail annuels
Lorsque le conseil d’administration décide de ne pas tenir compte de l’avis de la Commission visé au premier alinéa, en tout ou en partie, Europol fournit une justification détaillée.
Lorsque le conseil d’administration décide de ne pas tenir compte des éléments soulevés par le groupe de contrôle parlementaire conjoint conformément à l’article 51, paragraphe 2, point c), Europol fournit une justification détaillée.
Après adoption du document unique de programmation, le conseil d’administration transmet celui-ci au Conseil, à la Commission et au groupe de contrôle parlementaire conjoint.
La programmation pluriannuelle est mise en œuvre au moyen de programmes de travail annuels et, s'il y a lieu, est mise à jour au vu des résultats des évaluations externes et internes. La conclusion de ces évaluations est également prise en compte, au besoin, dans le programme de travail annuel pour l'année suivante.
Article 13
Président et vice-président du conseil d'administration
Article 14
Réunions du conseil d'administration
Deux représentants du groupe de contrôle parlementaire conjoint sont invités à participer à deux réunions ordinaires par an du conseil d’administration en tant qu’observateurs sans droit de vote pour discuter des questions d’intérêt politique suivantes:
le rapport d’activité annuel consolidé visé à l’article 11, paragraphe 1, point c), de l’année précédente;
le document de programmation unique visé à l’article 12 pour l’année suivante et le budget annuel;
les questions et réponses écrites du groupe de contrôle parlementaire conjoint;
les relations extérieures et les questions de partenariat.
Le conseil d’administration, avec les représentants du groupe de contrôle parlementaire conjoint, peuvent déterminer d’autres questions d’intérêt politique à discuter à l’occasion des réunions visées au premier alinéa.
Article 15
Procédure de vote du conseil d'administration
SECTION 2
Directeur exécutif
Article 16
Responsabilités du directeur exécutif
Le directeur exécutif est chargé de la mise en œuvre des missions confiées à Europol par le présent règlement, notamment:
l'administration courante d'Europol;
la présentation au conseil d'administration de propositions relatives à la mise en place des structures internes d'Europol;
la mise en œuvre des décisions adoptées par le conseil d'administration;
l’élaboration du projet de document de programmation unique visé à l’article 12 et sa présentation au conseil d’administration après consultation de la Commission et du groupe de contrôle parlementaire conjoint;
la mise en œuvre de la programmation pluriannuelle et des programmes de travail annuels et l'établissement d'un rapport destiné au conseil d'administration sur leur mise en œuvre;
l'élaboration d'un projet de règles d'exécution visant à donner effet au statut et au régime applicable aux autres agents, conformément à l'article 110 du statut;
l'élaboration du projet de rapport annuel consolidé sur les activités d'Europol et sa présentation pour adoption au conseil d'administration;
l'élaboration d'un plan d'action donnant suite aux conclusions des rapports d'audit et des évaluations internes ou externes, ainsi qu'aux rapports d'enquête et aux recommandations résultant des enquêtes de l'OLAF et du CEPD, et la présentation de rapports semestriels à la Commission et de rapports réguliers au conseil d'administration sur les progrès accomplis;
la protection des intérêts financiers de l'Union par l'application de mesures préventives contre la fraude, la corruption et toute autre activité illégale et, sans préjudice des pouvoirs d'enquête de l'OLAF, par des contrôles efficaces et, si des irrégularités sont constatées, par le recouvrement des montants indûment versés et, le cas échéant, par des sanctions administratives et financières effectives, proportionnées et dissuasives;
l'élaboration d'un projet de stratégie antifraude interne pour Europol et sa présentation pour adoption au conseil d'administration;
l'élaboration d'un projet de règles internes de prévention et de gestion des conflits d'intérêts à l'égard des membres du conseil d'administration et sa présentation pour adoption au conseil d'administration;
l'élaboration du projet de règles financières applicable à Europol;
l'établissement du projet d'état prévisionnel des recettes et dépenses d'Europol et l'exécution de son budget;
l'assistance au président du conseil d'administration en ce qui concerne la préparation des réunions du conseil d'administration;
l'information régulière du conseil d'administration sur la mise en œuvre des priorités stratégiques et opérationnelles de l'Union en matière de lutte contre la criminalité;
l’information du conseil d’administration sur les protocoles d’accord signés avec des parties privées;
l'exécution d'autres missions en vertu du présent règlement.
CHAPITRE IV
TRAITEMENT DE L'INFORMATION
Article 17
Sources d'information
Europol ne traite que les informations qui lui ont été fournies:
par les États membres, conformément à leur droit national et à l'article 7;
par les organes de l'Union, les pays tiers et les organisations internationales, conformément au chapitre V;
par les parties privées et les particuliers, conformément au chapitre V.
Article 18
Finalités des activités de traitement d'informations
Les données à caractère personnel ne peuvent être traitées que pour les finalités ci-après:
recoupements visant à établir des liens ou d'autres rapports pertinents entre des informations relatives:
aux personnes qui sont soupçonnées d'avoir commis une infraction pénale ou d'avoir participé à une infraction pénale relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;
aux personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire qu'elles commettront des infractions pénales relevant de la compétence d'Europol;
analyses de nature stratégique ou thématique;
analyses opérationnelles;
facilitation de l’échange d’informations entre les États membres, Europol, d’autres organes de l’Union, les pays tiers, les organisations internationales et des parties privées;
projets de recherche et d’innovation;
soutien apporté aux États membres, à leur demande, en ce qui concerne l’information du public sur les individus soupçonnés ou condamnés qui sont recherchés, en vertu d’une décision judiciaire nationale relative à une forme de criminalité relevant des objectifs d’Europol, et facilitation de la fourniture d’informations sur ces individus par le public aux États membres et à Europol.
Le traitement aux fins des analyses opérationnelles visées au paragraphe 2, point c), est effectué au moyen de projets d'analyse opérationnelle auxquels s'appliquent les garanties spécifiques suivantes:
pour chaque projet d'analyse opérationnelle, le directeur exécutif définit la finalité spécifique, les catégories de données à caractère personnel et les catégories de personnes concernées, les participants, la durée de conservation et les conditions d'accès, de transfert et d'utilisation des données concernées et en informe le conseil d'administration et le CEPD;
les données à caractère personnel ne peuvent être collectées et traitées qu'aux fins du projet d'analyse opérationnelle spécifié. Lorsqu'il apparaît que les données à caractère personnel peuvent être utiles pour un autre projet d'analyse opérationnelle, un traitement ultérieur de ces données n'est autorisé que dans la mesure où il est nécessaire et proportionné et où les données à caractère personnel sont compatibles avec les dispositions prévues au point a) qui s'appliquent à l'autre projet d'analyse;
seul le personnel habilité peut avoir accès aux données du projet concerné et les traiter.
Europol traite des données à caractère personnel en vertu du premier alinéa pendant une période ne dépassant pas dix-huit mois à partir du moment où Europol établit que ces données relèvent de ses objectifs, ou, dans des cas justifiés, pendant une plus longue période lorsque cela est nécessaire aux fins du présent article. Europol informe le CEPD de toute prolongation de la période de traitement. La durée maximale du traitement des données en vertu du premier alinéa est de trois ans. Ces données à caractère personnel sont séparées des autres données sur le plan fonctionnel.
Lorsqu’Europol conclut que les données à caractère personnel visées au premier alinéa du présent paragraphe ne respectent pas le paragraphe 5, Europol efface ces données et en informe, s’il y a lieu, le fournisseur de ces données effacées.
Article 18 bis
Traitement de données à caractère personnel à l’appui d’une enquête pénale
Lorsque cela est nécessaire pour soutenir une enquête pénale spécifique en cours qui relève des objectifs d’Europol, Europol peut traiter des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II lorsque:
un État membre, le Parquet européen ou Eurojust fournit des données d’enquête à Europol en vertu de l’article 17, paragraphe 1, point a) ou b), et demande à Europol de soutenir cette enquête:
au moyen d’une analyse opérationnelle en vertu de l’article 18, paragraphe 2, point c); ou
dans des cas exceptionnels et dûment justifiés, au moyen de recoupements en vertu de l’article 18, paragraphe 2, point a);
Europol évalue qu’il n’est pas possible de procéder à l’analyse opérationnelle en vertu de l’article 18, paragraphe 2, point c), ou aux recoupements en vertu de l’article 18, paragraphe 2, point a), à l’appui de cette enquête sans traiter des données à caractère personnel qui ne respectent pas l’article 18, paragraphe 5.
Les résultats de l’évaluation visée au premier alinéa, point b), sont enregistrés et transmis au CEPD pour information quand Europol cesse de soutenir l’enquête visée au premier alinéa.
Lorsque le Parquet européen ou Eurojust fournit des données d’enquête à Europol et qu’il n’est plus autorisé à traiter les données dans le cadre de l’enquête pénale spécifique en cours visée au paragraphe 1 conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union et du droit national, il informe Europol.
Les fournisseurs de données d’enquête visés au paragraphe 1, premier alinéa, point a), ou, avec leur accord, un État membre dans lequel une procédure judiciaire relative à une enquête pénale connexe est en cours peuvent demander à Europol de conserver les données d’enquête et les résultats de son analyse opérationnelle de ces données au-delà de la période de traitement fixée au paragraphe 3 aux fins de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel, et uniquement tant que la procédure judiciaire concernant une enquête pénale connexe est en cours dans cet autre État membre.
Le conseil d’administration, sur proposition du directeur exécutif et après consultation du CEPD, précise les conditions relatives à la fourniture et au traitement des données à caractère personnel conformément aux paragraphes 3 et 4.
Lorsqu’un pays tiers fournit des données d’enquête à Europol conformément au premier alinéa, le délégué à la protection des données peut, s’il y a lieu, en informer le CEPD.
Europol vérifie que le volume de données à caractère personnel visées au premier alinéa n’est pas manifestement disproportionné par rapport à l’enquête pénale spécifique menée dans l’État membre concerné. Lorsqu’Europol conclut qu’il existe une indication selon laquelle ces données sont manifestement disproportionnées ou ont été collectées en violation manifeste des droits fondamentaux, Europol ne traite pas les données et les efface.
Europol ne peut accéder aux données à caractère personnel traitées en vertu du présent paragraphe que si cela est nécessaire pour soutenir l’enquête pénale spécifique pour laquelle elles ont été fournies. Ces données à caractère personnel ne sont partagées qu’à l’intérieur de l’Union.
Article 19
Détermination des finalités du traitement d'informations par Europol et des limitations en la matière
Lorsqu’un fournisseur des informations visé au premier alinéa n’a pas respecté ledit alinéa, Europol, en accord avec le fournisseur des informations concerné, traite ces informations en vue de déterminer leur pertinence ainsi que la ou les finalités pour lesquelles elles doivent être traitées ultérieurement.
Europol ne traite ces informations à des fins autres que celles pour lesquelles elles ont été fournies que si le fournisseur des informations l’y autorise.
Les informations fournies aux fins visées à l’article 18, paragraphe 2, points a) à d), peuvent également être traitées par Europol aux fins de l’article 18, paragraphe 2, point e), conformément à l’article 33 bis.
Article 20
Accès des États membres et du personnel d'Europol aux informations conservées par Europol
En cas de concordance, Europol engage la procédure permettant de partager l'information qui a généré cette concordance, conformément à la décision du fournisseur de l'information à Europol.
Conformément au droit national, les informations visées aux paragraphes 1, 2 et 2 bis ne sont accessibles et ne font l’objet d’un traitement ultérieur par les États membres qu’à des fins de prévention, de détection, d’enquêtes et de poursuites concernant:
des formes de criminalité qui relèvent de la compétence d'Europol; et
d'autres formes graves de criminalité énoncées dans la décision-cadre 2002/584/JAI du Conseil ( 13 ).
Article 20 bis
Relations avec le Parquet européen
En cas de concordance, Europol engage la procédure permettant de partager l’information qui a généré cette concordance, conformément à la décision du fournisseur des informations visé à l’article 19, paragraphe 1, et seulement dans la mesure où les données générant la concordance sont pertinentes pour la demande présentée en vertu du paragraphe 2 du présent article.
Lorsqu’Europol effectue des signalements à l’intention du Parquet européen en vertu du premier alinéa, il en informe sans retard les États membres concernés.
Lorsque les informations relatives à un comportement délictueux à l’égard duquel le Parquet européen pourrait exercer sa compétence ont été fournies à Europol par un État membre qui a notifié des limitations d’utilisation de ces informations en vertu de l’article 19, paragraphe 2, du présent règlement, Europol informe le Parquet européen de l’existence de ces limitations et en réfère à l’État membre concerné. L’État membre concerné entre directement en contact avec le Parquet européen afin de se conformer à l’article 24, paragraphes 1 et 4, du règlement (UE) 2017/1939.
Article 21
Accès d'Eurojust et de l'OLAF aux informations conservées par Europol
En cas de concordance, Europol engage la procédure permettant de partager l'information qui a généré cette concordance, conformément à la décision du fournisseur de l'information à Europol et uniquement dans la mesure où les données générant la concordance sont nécessaires à l'accomplissement des missions d'Eurojust ou de l'OLAF.
Lorsqu’Europol fournit à l’OLAF des informations en vertu du premier alinéa, elle informe sans retard les États membres concernés.
Article 22
Obligation d'informer les États membres
Dans un tel cas, les informations ne sont pas partagées sans autorisation explicite du fournisseur des informations.
Dans un tel cas, Europol informe simultanément le fournisseur des informations du partage de ces informations et justifie son analyse de la situation.
CHAPITRE V
RELATIONS AVEC LES PARTENAIRES
SECTION 1
Dispositions communes
Article 23
Dispositions communes
SECTION 2
Article 24
Transmission de données à caractère personnel aux organes de l’Union
L’organe de l’Union demandeur veille à ce que la nécessité de la transmission des données à caractère personnel puisse être vérifiée.
Article 25
Transfert de données à caractère personnel vers des pays tiers et à des organisations internationales
Sous réserve de toute limitation notifiée en vertu de l’article 19, paragraphe 2 ou 3, et sans préjudice de l’article 67, Europol peut transférer des données à caractère personnel aux autorités compétentes d’un pays tiers ou à une organisation internationale, à condition que ce transfert soit nécessaire à l’accomplissement de ses missions, sur l’un des fondements suivants:
une décision de la Commission adoptée conformément à l’article 36 de la directive (UE) 2016/680, selon laquelle le pays tiers, un territoire ou un ou plusieurs secteurs déterminés au sein de ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat (ci-après dénommée «décision d’adéquation»);
un accord international conclu entre l'Union et le pays tiers ou l'organisation internationale concerné, en vertu de l'article 218 du traité sur le fonctionnement de l'Union européenne, offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et des droits fondamentaux des personnes;
un accord de coopération autorisant l'échange de données à caractère personnel, conclu avant le 1er mai 2017 entre Europol et le pays tiers ou l'organisation internationale concerné, conformément à l'article 23 de la décision 2009/371/JAI.
Europol peut conclure des arrangements administratifs afin de mettre en œuvre ces accords ou ces décisions d'adéquation.
▼M1 —————
En l’absence de décision d’adéquation, le conseil d’administration peut autoriser Europol à transférer des données à caractère personnel à une autorité compétente d’un pays tiers ou à une organisation internationale lorsque:
des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont prévues dans un instrument juridiquement contraignant; ou
Europol a évalué toutes les circonstances entourant le transfert de données à caractère personnel et a conclu que des garanties appropriées existent en ce qui concerne la protection de ces données.
►M1 Par dérogation au paragraphe 1, le directeur exécutif peut, dans des cas dûment justifiés, autoriser le transfert ou une catégorie de transferts de données à caractère personnel à une autorité compétente d’un pays tiers ou à une organisation internationale, au cas par cas, si le transfert ou la catégorie de transferts est: ◄
nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne;
nécessaire à la sauvegarde des intérêts légitimes de la personne concernée;
essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers;
nécessaire dans des cas particuliers à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales; ou
nécessaire dans des cas particuliers à la constatation, à l'exercice ou à la défense d'un droit en justice en rapport avec la prévention et la détection d'une infraction pénale spécifique, les enquêtes et les poursuites en la matière, ou avec l'exécution d'une sanction pénale spécifique.
Les données à caractère personnel ne sont pas transférées si le directeur exécutif estime que les libertés et les droits fondamentaux de la personne concernée prévalent sur l'intérêt public dans le cadre du transfert visé aux points d) et e).
Aucune dérogation ne peut être applicable aux transferts systématiques, en masse ou structurels.
Article 26
Échanges de données à caractère personnel avec des parties privées
Dans la mesure où cela est nécessaire à l'accomplissement de ses missions, Europol peut traiter des données à caractère personnel obtenues de parties privées à condition de les avoir reçues par l'intermédiaire:
d'une unité nationale, conformément au droit national;
du point de contact d'un pays tiers ou d'une organisation internationale avec lesquels Europol a conclu, avant le 1er mai 2017, un accord de coopération autorisant l'échange de données à caractère personnel conformément à l'article 23 de la décision 2009/371/JAI; ou
d’une autorité d’un pays tiers ou d’une organisation internationale visée à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis.
Les critères permettant de déterminer si l’unité nationale de l’État membre d’établissement de la partie privée concernée constitue une unité nationale concernée sont énoncés dans les lignes directrices visées à l’article 18, paragraphe 7.
Sans préjudice du premier alinéa du présent paragraphe, Europol peut transférer les résultats visés au premier alinéa du présent paragraphe au pays tiers concerné en vertu de l’article 25, paragraphe 5 ou 6.
Europol ne transmet pas ou ne transfère pas de données à caractère personnel à des parties privées, sauf dans les cas suivants et pour autant que cette transmission ou ce transfert soit strictement nécessaire et proportionné, ceci étant à déterminer au cas par cas:
la transmission ou le transfert est, indubitablement, dans l’intérêt de la personne concernée;
la transmission ou le transfert est strictement nécessaire aux fins de la prévention de la commission imminente d’une forme de criminalité, y compris le terrorisme, qui relève des objectifs d’Europol;
la transmission ou le transfert de données à caractère personnel qui sont accessibles au public est strictement nécessaire à l’accomplissement de la mission visée à l’article 4, paragraphe 1, point m), et les conditions suivantes sont remplies:
la transmission ou le transfert concerne un cas individuel et spécifique;
les libertés et les droits fondamentaux de la personne concernée ne prévalent pas sur l’intérêt public qui exige que ces données à caractère personnel soient transmises ou transférées dans le cas en question; ou
la transmission ou le transfert est strictement nécessaire pour qu’Europol puisse notifier à la partie privée concernée que les informations reçues sont insuffisantes pour permettre à Europol de déterminer les unités nationales concernées, et les conditions suivantes sont réunies:
la transmission ou le transfert fait suite à la réception de données à caractère personnel fournies directement par une partie privée conformément au paragraphe 2;
les informations manquantes, auxquelles Europol peut faire référence dans sa notification, présentent un lien manifeste avec les informations précédemment partagées par cette partie privée;
les informations manquantes, auxquelles Europol peut faire référence dans sa notification, sont strictement limitées à ce qui est nécessaire à Europol pour déterminer les unités nationales concernées.
La transmission ou le transfert visé au premier alinéa du présent paragraphe a lieu sous réserve de toute limitation notifiée en vertu de l’article 19, paragraphe 2 ou 3, et a lieu sans préjudice de l’article 67.
En ce qui concerne le paragraphe 5, points a), b) et d), du présent article, si la partie privée concernée n’est pas établie dans l’Union ou dans un pays tiers visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis, le transfert n’est autorisé par le directeur exécutif que si ce transfert est:
nécessaire à la sauvegarde des intérêts vitaux de la personne concernée en question ou d’une autre personne;
nécessaire à la sauvegarde des intérêts légitimes de la personne concernée en question;
essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers;
nécessaire dans des cas particuliers à des fins de prévention et de détection d’une forme de criminalité spécifique relevant des objectifs d’Europol, d’enquêtes et de poursuites en la matière; ou
nécessaire, dans des cas particuliers, à la constatation, à l’exercice ou à la défense d’un droit en justice en rapport avec la prévention et la détection d’une infraction pénale spécifique relevant des objectifs d’Europol, les enquêtes et les poursuites en la matière.
Les données à caractère personnel ne sont pas transférées si le directeur exécutif estime que les libertés et droits fondamentaux de la personne concernée prévalent sur l’intérêt public qui exige le transfert visé au premier alinéa, points d) et e), du présent paragraphe.
Nonobstant la compétence des États membres s’agissant d’une forme de criminalité spécifique, les États membres veillent à ce que leurs autorités compétentes puissent traiter les demandes visées au premier alinéa conformément à leur droit national afin de fournir à Europol les informations qui lui nécessaires pour déterminer les unités nationales concernées.
Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité qui relèvent des objectifs d’Europol, ils peuvent accorder à Europol l’accès à ces données.
Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité qui ne relèvent pas des objectifs d’Europol, cette dernière n’a pas accès à ces données et est considérée comme un sous-traitant conformément à l’article 87 du règlement (UE) 2018/1725.
Europol évalue les risques en matière de sécurité que pose le fait d’autoriser l’utilisation de ses infrastructures par des parties privées et, au besoin, met en œuvre des mesures de prévention et d’atténuation appropriées.
▼M1 —————
Le rapport annuel comprend des exemples spécifiques démontrant pourquoi les demandes d’Europol formulées conformément au paragraphe 6 ter du présent article étaient nécessaires pour atteindre ses objectifs et accomplir ses missions.
Le rapport annuel tient compte des obligations de réserve et de confidentialité et les exemples sont anonymisés en ce qui concerne les données à caractère personnel.
Ce rapport annuel est transmis au Parlement européen, au Conseil, à la Commission et aux parlements nationaux.
Article 26 bis
Échanges de données à caractère personnel avec des parties privées dans les situations de crise en ligne
Europol peut transférer les résultats de son analyse et de la vérification des données visées au paragraphe 1 du présent article au pays tiers concerné en vertu de l’article 25, paragraphe 5 ou 6.
Nonobstant la compétence des États membres concernant la diffusion des contenus pour lesquels Europol demande les données à caractère personnel, les États membres veillent à ce que leurs autorités compétentes puissent traiter les demandes visées au premier alinéa conformément à leur droit national aux fins de fournir à Europol les informations nécessaires à la réalisation de ses objectifs.
Article 26 ter
Échange de données à caractère personnel avec des parties privées pour lutter contre la diffusion en ligne de matériel pédopornographique en ligne
Europol peut transférer les résultats de son analyse et de la vérification des données visées au premier alinéa du présent paragraphe au pays tiers concerné en vertu de l’article 25, paragraphe 5 ou 6.
Nonobstant la compétence des États membres concernant la diffusion des contenus pour lesquels Europol demande les données à caractère personnel, les États membres veillent à ce que leurs autorités compétentes puissent traiter les demandes visées au premier alinéa conformément à leur droit national aux fins de fournir à Europol les informations nécessaires à la réalisation de ses objectifs.
Article 27
Informations émanant de particuliers
Europol ne traite des données à caractère personnel émanant de personnes privées qu’à condition de les avoir reçues par l’intermédiaire:
d’une unité nationale, conformément au droit national;
du point de contact d’un pays tiers ou d’une organisation internationale en vertu de l’article 25, paragraphe 1, point c); ou
d’une autorité d’un pays tiers ou d’une organisation internationale visé à l’article 25, paragraphe 1, point a), ou b), ou à l’article 25, paragraphe 4 bis.
CHAPITRE VI
PROTECTION DES DONNÉES
Article 27 bis
Traitement des données à caractère personnel par Europol
Le règlement (UE) 2018/1725, à l’exception du chapitre IX, s’applique au traitement de données administratives à caractère personnel par Europol.
▼M1 —————
Article 29
Évaluation de la fiabilité de la source et de l'exactitude des informations
La fiabilité de la source des informations émanant d'un État membre est évaluée, dans la mesure du possible, par l'État membre qui les fournit, en utilisant les codes d'évaluation des sources suivants:
L'exactitude des informations émanant d'un État membre est évaluée, dans la mesure du possible, par l'État membre qui les fournit, en utilisant les codes d'évaluation des informations suivants:
Article 30
Traitement de catégories particulières de données à caractère personnel et de différentes catégories de personnes concernées
Nonobstant le premier alinéa, lorsqu’il est nécessaire d’accorder au personnel des autorités compétentes des États membres ou des agences de l’Union instituées sur la base du titre V du traité sur le fonctionnement de l’Union européenne un accès direct aux données à caractère personnel pour l’exécution de leurs tâches, dans les cas prévus à l’article 20, paragraphes 1 et 2 bis, du présent règlement ou pour des projets de recherche et d’innovation menés conformément à l’article 33 bis, paragraphe 2, point d), du présent règlement, le directeur exécutif autorise dûment un nombre limité de ces membres de personnel à avoir cet accès.
▼M1 —————
Article 31
Délais pour la conservation et l'effacement des données à caractère personnel
L'effacement de données à caractère personnel n'a pas lieu:
s'il risque de nuire aux intérêts d'une personne concernée qui doit être protégée. Dans ce cas, les données ne peuvent être utilisées qu'avec le consentement exprès et écrit de la personne concernée;
si la personne concernée conteste l'exactitude des données, pendant une durée permettant aux États membres ou à Europol, si nécessaire, de vérifier cette exactitude;
si les données à caractère personnel doivent être conservées à des fins probatoires ou pour la constatation, l'exercice ou la défense d'un droit en justice; ou
si la personne concernée s'oppose à leur effacement et demande, en lieu et place, la limitation de leur utilisation.
Article 32
Sécurité du traitement
Des mécanismes visant à garantir que des mesures de sécurité sont prises en compte au-delà des limites des systèmes d’information sont mis en place par Europol conformément à l’article 91 du règlement (UE) 2018/1725 et par les États membres conformément à l’article 29 de la directive (UE) 2016/680.
▼M1 —————
Article 33 bis
Traitement de données à caractère personnel à des fins de recherche et d’innovation
Europol peut traiter des données à caractère personnel aux fins de ses projets de recherche et d’innovation, à condition que le traitement de ces données à caractère personnel:
soit strictement nécessaire et dûment motivé pour atteindre les objectifs du projet concerné;
en ce qui concerne des catégories particulières de données à caractère personnel, soit strictement nécessaire et s’accompagne de garanties appropriées pouvant inclure la pseudonymisation.
Le traitement de données à caractère personnel par Europol dans le cadre de projets de recherche et d’innovation est guidé par les principes de transparence, d’explicabilité, d’équité et de responsabilité.
Sans préjudice du paragraphe 1, pour le traitement de données à caractère personnel effectué dans le cadre de projets de recherche et d’innovation d’Europol, les garanties suivantes s’appliquent:
tout projet de recherche et d’innovation requiert l’autorisation préalable du directeur exécutif, en consultation avec le délégué à la protection des données et l’officier aux droits fondamentaux, sur la base:
d’une description des objectifs du projet et d’une explication de la manière dont ce dernier soutient Europol ou les autorités compétentes des États membres dans l’accomplissement de leurs tâches;
d’une description de l’activité de traitement envisagée, expliquant les objectifs, l’ampleur et la durée du traitement, ainsi que la nécessité et la proportionnalité du traitement des données à caractère personnel, par exemple pour étudier et expérimenter des solutions technologiques innovantes et garantir l’exactitude des résultats du projet;
d’une description des catégories de données à caractère personnel à traiter;
d’une évaluation du respect des principes en matière de protection des données énoncés à l’article 71 du règlement (UE) 2018/1725, des délais pour la conservation des données à caractère personnel et des conditions d’accès à ces données; et
d’une analyse d’impact relative à la protection des données, y compris en ce qui concerne les risques pour les droits et libertés des personnes concernées, le risque de tout biais éventuel dans les données à caractère personnel à utiliser lors de l’entraînement des algorithmes et dans les résultats du traitement, et les mesures envisagées pour faire face à ces risques ainsi que pour éviter toute atteinte aux droits fondamentaux;
le CEPD est informé préalablement au lancement du projet;
le conseil d’administration est consulté ou informé préalablement au lancement du projet, conformément aux lignes directrices visées à l’article 18, paragraphe 7;
les données à caractère personnel devant être traitées dans le cadre du projet:
sont temporairement copiées dans un environnement de traitement des données séparé, isolé et protégé au sein d’Europol à la seule fin de la réalisation de ce projet;
sont accessibles par les seuls membres du personnel expressément autorisés d’Europol conformément à l’article 30, paragraphe 3, du présent règlement et, sous réserve de mesures de sécurité techniques, par les membres du personnel expressément autorisés des autorités compétentes des États membres et des agences de l’Union instituées sur la base du titre V du traité sur le fonctionnement de l’Union européenne;
ne sont pas transmises ou transférées;
leur traitement ne débouche pas sur des mesures ou des décisions affectant les personnes concernées;
sont effacées une fois que le projet est achevé ou que le délai de conservation de ces données a expiré conformément à l’article 31;
les journaux des traitements de données à caractère personnel effectués dans le cadre du projet sont conservés pendant deux ans après la conclusion du projet, aux seules fins de vérifier l’exactitude du résultat du traitement des données et uniquement pour la durée nécessaire à cette vérification.
Europol ne traite pas de données aux fins de projets de recherche et d’innovation sans le consentement du fournisseur de données. Ce consentement peut être retiré à tout moment.
Article 34
Notification aux autorités concernées d'une violation de données à caractère personnel
La notification visée au paragraphe 1, à tout le moins:
décrit la nature de la violation de données à caractère personnel, y compris, si possible et s'il y a lieu, les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d'enregistrements de données concernés;
décrit les conséquences probables de la violation de données à caractère personnel;
décrit les mesures proposées ou prises par Europol pour remédier à la violation de données à caractère personnel; et
le cas échéant, recommande des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel.
▼M1 —————
Article 35
Communication à la personne concernée d'une violation de données à caractère personnel
▼M1 —————
▼M1 —————
Article 36
Droit d'accès de la personne concernée
▼M1 —————
▼M1 —————
Article 37
Droit de rectification, d'effacement et de limitation
▼M1 —————
Les données soumises à limitation ne sont traitées qu’aux fins de protéger les droits de la personne concernée, lorsque cela est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne ou aux fins visées à l’article 82, paragraphe 3, du règlement (UE) 2018/1725.
▼M1 —————
Article 38
Responsabilité en matière de protection des données
La responsabilité de l’exactitude des données à caractère personnel, visée à l’article 71, paragraphe 1, point d), du règlement (UE) 2018/1725, incombe:
à l'État membre ou à l'organe de l'Union qui a fourni les données à Europol;
à Europol s'il s'agit de données à caractère personnel fournies par un pays tiers ou une organisation internationale ou directement fournies par des parties privées; de données à caractère personnel extraites par Europol auprès de sources accessibles au public ou résultant de ses propres analyses; et de données à caractère personnel conservées par Europol conformément à l'article 31, paragraphe 5.
La responsabilité de la légalité du transfert des données incombe à:
l'État membre qui a fourni les données à caractère personnel à Europol;
Europol, dans le cas de données à caractère personnel fournies par celui-ci à des États membres, des pays tiers ou des organisations internationales.
Sans préjudice du premier alinéa, lorsque les données sont transférées par Europol sur demande du destinataire, la responsabilité de la légalité de ce transfert incombe tant à Europol qu'au destinataire.
Article 39
Consultation préalable
L’avis écrit du CEPD en vertu de l’article 90, paragraphe 4, du règlement (UE) 2018/1725 est pris en compte rétrospectivement et la manière dont le traitement est effectué est adaptée en conséquence.
Le délégué à la protection des données est associé à l’évaluation de l’urgence de telles opérations de traitement avant l’expiration du délai prévu à l’article 90, paragraphe 4, du règlement (UE) 2018/1725 et supervise le traitement en question.
Article 39 bis
Registre des catégories d’activités de traitement
Europol tient un registre de toutes les catégories d’activités de traitement effectuées sous sa responsabilité. Ce registre contient les informations suivantes:
les coordonnées d’Europol ainsi que le nom et les coordonnées du délégué à la protection des données;
les finalités du traitement;
une description des catégories de personnes concernées et des catégories de données à caractère personnel;
les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
le cas échéant, les transferts de données à caractère personnel vers un pays tiers, à une organisation internationale ou à une partie privée, y compris l’identification de ce destinataire;
dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 91 du règlement (UE) 2018/1725;
le cas échéant, le recours au profilage.
Article 40
Journalisation
Article 41
Désignation du délégué à la protection des données
Article 41 bis
Fonction du délégué à la protection des données
Afin de soutenir le délégué à la protection des données dans l’exercice de ses missions, un membre du personnel d’Europol peut être désigné en tant qu’adjoint au délégué à la protection des données.
Le délégué à la protection des données rend compte directement au conseil d’administration.
Aucune personne ne doit subir de préjudice pour avoir porté à l’attention du délégué à la protection des données un fait dont elle allègue qu’il constitue une violation du présent règlement ou du règlement (UE) 2018/1725.
Article 41 ter
Missions du délégué à la protection des données
Le délégué à la protection des données exerce notamment les missions ci-après, en ce qui concerne le traitement de données à caractère personnel:
veiller en toute indépendance au respect, par Europol, des dispositions du présent règlement et du règlement (UE) 2018/1725 en matière de protection des données ainsi que des dispositions pertinentes des règles internes d’Europol relatives à la protection des données, y compris le contrôle du respect du présent règlement, du règlement (UE) 2018/1725, d’autres dispositions du droit de l’Union ou du droit national en matière de protection des données et des politiques d’Europol en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant à des opérations de traitement, et les audits s’y rapportant;
informer et conseiller Europol et le personnel qui procède au traitement de données à caractère personnel sur les obligations qui leur incombent en vertu du présent règlement, du règlement (UE) 2018/1725 et d’autres dispositions du droit de l’Union ou du droit national en matière de protection des données;
dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données en vertu de l’article 89 du règlement (UE) 2018/1725 et contrôler l’exécution de cette analyse d’impact relative à la protection des données;
tenir un registre des violations de données à caractère personnel et dispenser des conseils, sur demande, en ce qui concerne la nécessité d’une notification ou d’une communication d’une violation de données à caractère personnel conformément aux articles 92 et 93 du règlement (UE) 2018/1725;
veiller à ce qu’une trace écrite de la transmission, du transfert et de la réception des données à caractère personnel soit conservée conformément au présent règlement;
veiller à ce que les personnes concernées soient, à leur demande, informées des droits qui leur sont conférés par le présent règlement et le règlement (UE) 2018/1725;
coopérer avec le personnel d’Europol chargé des procédures, de la formation et du conseil en matière de traitement des données;
répondre aux demandes du CEPD, dans son domaine de compétences, coopérer et se concerter avec le CEPD, sur demande de celui-ci ou de sa propre initiative;
coopérer avec les autorités compétentes des États membres, en particulier avec les délégués à la protection des données des autorités compétentes des États membres et les autorités de contrôle nationales en ce qui concerne les questions relatives à la protection des données dans le domaine répressif;
faire office de point de contact pour le CEDP pour les questions relatives au traitement, y compris la consultation préalable visée aux articles 40 et 90 du règlement (UE) 2018/1725, et mener des consultations, le cas échéant, sur tout autre sujet dans son domaine de compétences;
élaborer un rapport annuel et le communiquer au conseil d’administration et au CEPD;
veiller à ce que les opérations de traitement ne portent pas atteinte aux droits et libertés des personnes concernées.
De sa propre initiative ou à la demande du conseil d’administration ou de toute personne, le délégué à la protection des données peut examiner des questions et des faits qui sont directement en rapport avec ses missions et qui sont portés à sa connaissance, et faire rapport à la personne qui a demandé cet examen ou au conseil d’administration sur les résultats de cet examen.
Si le directeur exécutif ne remédie pas au problème dans le délai imparti, le délégué à la protection des données en informe le conseil d’administration. Le conseil d’administration transmet sa réponse dans un délai déterminé convenu avec le délégué à la protection des données. Si le conseil d’administration ne remédie pas au problème dans le délai imparti, le délégué à la protection des données saisit le CEPD.
Article 41 quater
Officier aux droits fondamentaux
L’officier aux droits fondamentaux est chargé des tâches suivantes:
fournir des conseils à Europol sur toute activité de celle-ci lorsqu’il le juge nécessaire ou lorsqu’on lui en fait la demande, sans pour autant entraver ni retarder ces activités;
surveiller le respect des droits fondamentaux par Europol;
émettre des avis non contraignants sur les arrangements de travail;
informer le directeur exécutif au sujet d’éventuelles violations des droits fondamentaux au cours des activités d’Europol;
promouvoir le respect des droits fondamentaux par Europol dans l’exercice de ses missions et activités;
effectuer toute autre tâche prévue par le présent règlement.
Article 41 quinquies
Formation aux droits fondamentaux
L’ensemble du personnel d’Europol participant à des tâches opérationnelles impliquant le traitement de données à caractère personnel reçoit une formation obligatoire relative à la protection des libertés et droits fondamentaux, y compris en ce qui concerne le traitement des données à caractère personnel. Cette formation est mise au point en coopération avec l’Agence des droits fondamentaux de l’Union européenne (FRA), créée par le règlement (CE) no 168/2007 du Conseil ( 14 ), et l’Agence de l’Union européenne pour la formation des services répressifs (CEPOL), instituée par le règlement (UE) 2015/2219 du Parlement européen et du Conseil ( 15 ).
Article 42
Contrôle par l'autorité de contrôle nationale
Article 43
Contrôle par le CEPD
Le CEPD exerce les fonctions suivantes:
il reçoit et examine les réclamations, et informe la personne concernée des résultats de son examen dans un délai raisonnable;
il mène des enquêtes soit de sa propre initiative, soit sur la base d'une réclamation, et informe les personnes concernées des résultats dans un délai raisonnable;
il contrôle et garantit l'application par Europol du présent règlement et de tout autre acte de l'Union concernant la protection des personnes physiques à l'égard du traitement de données à caractère personnel effectué par Europol;
il conseille Europol, soit de sa propre initiative, soit en réponse à une consultation, sur toutes les questions concernant le traitement des données à caractère personnel, en particulier avant d'élaborer des règles internes relatives à la protection des libertés et des droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel;
il tient un registre des nouveaux types d'opérations de traitement qui lui ont été notifiés en vertu de l'article 39, paragraphe 1, et qui ont été enregistrés conformément à l'article 39, paragraphe 4;
il soumet à une consultation préalable les traitements qui lui sont notifiés.
Le CEPD peut, au titre du présent règlement:
conseiller les personnes concernées sur l'exercice de leurs droits;
saisir Europol en cas de violation alléguée des dispositions régissant le traitement des données à caractère personnel et, s'il y a lieu, formuler des propositions tendant à remédier à cette violation et à améliorer la protection des personnes concernées;
ordonner que les demandes d'exercice de certains droits à l'égard des données soient satisfaites lorsque de telles demandes ont été rejetées en violation des articles 36 et 37;
adresser un avertissement ou une admonestation à Europol;
enjoindre Europol de procéder à la rectification, à la limitation, à l'effacement ou à la destruction des données à caractère personnel qui ont été traitées en violation des dispositions régissant le traitement des données à caractère personnel, et de notifier ces mesures aux tiers auxquels ces données ont été divulguées;
interdire temporairement ou définitivement à Europol de procéder à des opérations de traitement en violation des dispositions régissant le traitement des données à caractère personnel;
saisir Europol et, si nécessaire, le Parlement européen, le Conseil et la Commission;
saisir la Cour de justice de l'Union européenne dans les conditions prévues par le traité sur le fonctionnement de l'Union européenne;
intervenir dans les affaires portées devant la Cour de justice de l'Union européenne;
ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec le présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;
ordonner la suspension des flux de données vers un destinataire situé dans un État membre ou un pays tiers ou vers une organisation internationale;
imposer une amende administrative dans le cas où Europol ne se conformerait pas à l’une des mesures visées aux points c), e), f), j) et k) du présent paragraphe, en fonction des circonstances propres à chaque cas.
Le CEPD est habilité à:
obtenir d'Europol l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à ses enquêtes;
obtenir l'accès à tous les locaux dans lesquels Europol exerce ses activités, s'il existe un motif raisonnable de supposer que s'y exerce une activité visée par le présent règlement.
Le CEPD invite les autorités de contrôle nationales à présenter des observations sur cette partie du rapport annuel avant que le rapport annuel ne soit adopté. Le CEPD tient le plus grand compte de ces observations et en fait état dans le rapport annuel.
La partie du rapport annuel visée au deuxième alinéa comprend des informations statistiques concernant les réclamations, les recherches et les enquêtes, ainsi que les transferts de données à caractère personnel vers des pays tiers et à des organisations internationales, les cas de consultation préalable du CEPD et l’utilisation des pouvoirs énoncés au paragraphe 3 du présent article.
Article 44
Coopération entre le CEPD et les autorités de contrôle nationales
Lorsqu’ils effectuent des inspections communes en collaboration avec le CEPD, les membres et le personnel des autorités de contrôle nationales, disposent de pouvoirs équivalents à ceux prévus à l’article 43, paragraphe 4, du présent règlement et sont tenus à une obligation équivalente à celle prévue à l’article 43, paragraphe 6, du présent règlement, dans le respect des principes de subsidiarité et de proportionnalité.
▼M1 —————
CHAPITRE VII
VOIES DE RECOURS ET RESPONSABILITÉ
Article 47
Droit d'introduire une réclamation auprès du CEPD
Article 48
Droit de former un recours juridictionnel contre le CEPD
Toute décision du CEPD peut faire l'objet d'un recours devant la Cour de justice de l'Union européenne.
Article 49
Dispositions générales en matière de responsabilité et droit à réparation
Article 50
Droit à réparation
CHAPITRE VIII
CONTRÔLE PARLEMENTAIRE CONJOINT
Article 51
Contrôle parlementaire conjoint
Aux fins du premier alinéa:
le président du conseil d'administration, le directeur exécutif ou leurs remplaçants se présentent devant le groupe de contrôle parlementaire conjoint à sa demande pour examiner des questions relatives aux activités visées au premier alinéa, y compris les aspects budgétaires de ces activités, l'organisation structurelle d'Europol et l'éventuelle mise en place de nouvelles unités et centres spécialisés, dans le respect des obligations de réserve et de confidentialité. Le groupe de contrôle parlementaire conjoint peut, le cas échéant, décider d'inviter aux réunions d'autres personnes pertinentes;
le CEPD se présente devant le groupe de contrôle parlementaire conjoint, à la demande de ce dernier et au moins une fois par an, pour examiner des questions générales relatives à la protection des libertés et des droits fondamentaux des personnes physiques, et en particulier la protection des données à caractère personnel, en ce qui concerne les activités d'Europol, dans le respect des obligations de réserve et de confidentialité;
le groupe de contrôle parlementaire conjoint est consulté en ce qui concerne la programmation pluriannuelle d'Europol, conformément à l'article 12, paragraphe 1.
Europol transmet les documents suivants au groupe de contrôle parlementaire conjoint pour information, dans le respect des obligations de réserve et de confidentialité:
des évaluations de la menace, des analyses stratégiques et des rapports sur la situation générale en ce qui concerne les objectifs d'Europol, ainsi que les résultats des études et des évaluations commandées par Europol;
les arrangements administratifs conclus en application de l'article 25, paragraphe 1;
le document contenant la programmation pluriannuelle d'Europol et son programme de travail annuel, visé à l'article 12, paragraphe 1;
le rapport d’activité annuel consolidé sur les activités d’Europol, visé à l’article 11, paragraphe 1, point c), y compris les informations pertinentes sur les activités d’Europol et les résultats obtenus dans le cadre du traitement de vastes ensembles de données, sans divulguer de détails opérationnels et sans préjudice d’éventuelles enquêtes en cours;
le rapport d'évaluation établi par la Commission, visé à l'article 68, paragraphe 1;
des informations annuelles en vertu de l’article 26, paragraphe 11, sur les données à caractère personnel échangées avec des parties privées en vertu des articles 26, 26 bis et 26 ter, y compris une évaluation de l’efficacité de la coopération, des exemples spécifiques de cas démontrant les raisons pour lesquelles ces demandes étaient nécessaires et proportionnées aux fins de permettre à Europol de réaliser ses objectifs et d’accomplir ses missions et, en ce qui concerne les échanges de données à caractère personnel en vertu de l’article 26 ter, le nombre d’enfants recensés grâce à ces échanges dans la mesure où Europol dispose de ces informations;
des informations annuelles sur le nombre de cas dans lesquels il a été nécessaire pour Europol de traiter des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II afin de soutenir les États membres dans une enquête pénale spécifique en cours conformément à l’article 18 bis, ainsi que des informations sur la durée et les résultats des opérations de traitement, y compris des exemples de cas démontrant les raisons pour lesquelles ces traitements de données étaient nécessaires et proportionnés;
des informations annuelles sur les transferts de données à caractère personnel vers des pays tiers et à des organisations internationales en vertu de l’article 25, paragraphe 1 ou 4 bis, ventilées par base juridique, ainsi que sur le nombre de cas dans lesquels le directeur exécutif a autorisé, en vertu de l’article 25, paragraphe 5, le transfert ou les catégories de transferts de données à caractère personnel liées à une enquête pénale spécifique en cours vers des pays tiers ou à des organisations internationales, y compris des informations relatives aux pays concernés et à la durée de l’autorisation;
des informations annuelles sur le nombre de cas dans lesquels Europol a proposé l’introduction éventuelle de signalements pour information conformément à l’article 4, paragraphe 1, point t), y compris des exemples spécifiques de cas démontrant les raisons pour lesquelles l’introduction de ces signalements a été proposée;
des informations annuelles sur le nombre de projets de recherche et d’innovation entrepris, y compris des informations sur les finalités de ces projets, les catégories de données à caractère personnel traitées, les garanties supplémentaires utilisées, y compris la minimisation des données, les besoins de l’action répressive auxquels ces projets visent à répondre et les résultats de ces projets;
des informations annuelles sur le nombre de cas dans lesquels Europol a eu recours au traitement temporaire conformément à l’article 18, paragraphe 6 bis, et, le cas échéant, le nombre de cas dans lesquels la période de traitement a été prolongée;
des informations annuelles sur le nombre et les types de cas dans lesquels des catégories particulières de données à caractère personnel ont été traitées, conformément à l’article 30, paragraphe 2.
Les exemples visés aux points f) et i) sont anonymisés en ce qui concerne les données à caractère personnel.
Les exemples visés au point g) sont anonymisés en ce qui concerne les données à caractère personnel, sans divulguer de détails opérationnels et sans préjudice d’éventuelles enquêtes en cours.
Article 52
Accès du Parlement européen aux informations traitées par Europol ou par son intermédiaire
Article 52 bis
Forum consultatif
Le groupe de contrôle parlementaire conjoint et le directeur exécutif peuvent consulter le forum consultatif au sujet de toute question liée aux droits fondamentaux.
CHAPITRE IX
PERSONNEL
Article 53
Dispositions générales
Article 54
Directeur exécutif
La liste restreinte est dressée par un comité de sélection établi par le conseil d'administration et composé de membres désignés par les États membres et d'un représentant de la Commission.
Aux fins de la conclusion d'un contrat avec le directeur exécutif, Europol est représentée par le président du conseil d'administration.
Avant d'être nommé, le candidat retenu par le Conseil peut être invité à se présenter devant la commission compétente du Parlement européen, qui rend ensuite un avis non contraignant.
Le mandat du directeur exécutif est de quatre ans. Au terme de cette période, la Commission, en association avec le conseil d'administration, procède à une évaluation qui tient compte:
de l'évaluation du travail accompli par le directeur exécutif; et
des missions et des défis futurs d'Europol.
Article 55
Directeurs exécutifs adjoints
Article 56
Experts nationaux détachés
CHAPITRE X
DISPOSITIONS FINANCIÈRES
Article 57
Budget
Article 58
Établissement du budget
Article 59
Exécution du budget
Article 60
Reddition des comptes et décharge
Article 61
Règles financières
Les règles financières visées au paragraphe 1 peuvent préciser les critères en vertu desquels le soutien financier peut couvrir l’intégralité des coûts d’investissement visés au premier alinéa du présent paragraphe.
CHAPITRE XI
DISPOSITIONS DIVERSES
Article 62
Statut juridique
Article 63
Privilèges et immunités
Article 64
Régime linguistique
Article 65
Transparence
Article 66
Lutte contre la fraude
Article 67
Règles en matière de protection des informations sensibles non classifiées et des informations classifiées
Article 68
Évaluation et révision
Article 69
Enquêtes administratives
Les activités d'Europol sont soumises aux enquêtes du Médiateur européen conformément à l'article 228 du traité sur le fonctionnement de l'Union européenne.
Article 70
Siège
Les dispositions nécessaires relatives à l'implantation d'Europol au Royaume des Pays-Bas et aux prestations à fournir par le Royaume des Pays-Bas, ainsi que les règles particulières qui y sont applicables au directeur exécutif, aux membres du conseil d'administration, au personnel d'Europol et aux membres de leurs familles, sont arrêtées dans un accord de siège conclu entre Europol et le Royaume des Pays-Bas conformément au protocole no 6.
CHAPITRE XII
DISPOSITIONS TRANSITOIRES
Article 71
Succession juridique
Article 72
Arrangements transitoires concernant le conseil d'administration
Pendant la période comprise entre le 13 juin 2016 et le 1er mai 2017, le conseil d'administration institué sur la base de l'article 37 de la décision 2009/371/JAI:
exerce les fonctions du conseil d'administration conformément à l'article 11 du présent règlement;
prépare l'adoption des règles relatives à l'application du règlement (CE) no 1049/2001 en ce qui concerne les documents Europol visés à l'article 65, paragraphe 2, du présent règlement, et des règles visées à l'article 67 du présent règlement;
prépare tout instrument nécessaire à l'application du présent règlement, en particulier toute mesure relative au chapitre IV; et
réexamine les règles internes et les mesures adoptées sur la base de la décision 2009/371/JAI, afin de permettre au conseil d'administration institué sur la base de l'article 10 du présent règlement de prendre une décision en application de l'article 76 du présent règlement.
Article 73
Arrangements transitoires concernant le directeur exécutif, les directeurs adjoints et le personnel
Article 74
Dispositions budgétaires transitoires
La procédure de décharge pour les budgets approuvés sur la base de l'article 42 de la décision 2009/371/JAI se déroule conformément aux règles établies par son article 43.
Article 74 bis
Arrangements transitoires concernant le traitement de données à caractère personnel à l’appui d’une enquête pénale en cours
Lorsqu’un État membre, le Parquet européen ou Eurojust a fourni à Europol des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II avant le 28 juin 2022, Europol peut traiter ces données à caractère personnel conformément à l’article 18 bis lorsque:
l’État membre concerné, le Parquet européen ou Eurojust informe Europol, au plus tard le 29 septembre 2022, qu’il est autorisé à traiter ces données à caractère personnel, conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union ou du droit national, dans le cadre de l’enquête pénale en cours pour laquelle il a demandé le soutien d’Europol lorsqu’il a initialement fourni les données;
l’État membre concerné, le Parquet européen ou Eurojust demande à Europol, au plus tard le 29 septembre 2022, de soutenir l’enquête pénale en cours visée au point a); et
Europol évalue, conformément à l’article 18 bis, paragraphe 1, point b), qu’il n’est pas possible de soutenir l’enquête pénale en cours visée au point a) du présent paragraphe sans traiter des données à caractère personnel qui ne respectent pas l’article 18, paragraphe 5.
L’évaluation visée au point c) du présent paragraphe est enregistrée et transmise au CEPD pour information lorsqu’Europol cesse de soutenir l’enquête pénale spécifique connexe.
Lorsqu’un pays tiers visé à l’article 18 bis, paragraphe 6, a fourni à Europol des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II avant le 28 juin 2022, Europol peut traiter ces données à caractère personnel conformément à l’article 18 bis, paragraphe 6, lorsque:
le pays tiers a fourni les données à caractère personnel à l’appui d’une enquête pénale spécifique menée dans un ou plusieurs États membres et soutenue par Europol;
le pays tiers a obtenu les données dans le cadre d’une enquête pénale conformément aux exigences et garanties procédurales applicables au titre de son droit pénal national;
le pays tiers informe Europol, au plus tard le 29 septembre 2022, qu’il est autorisé à traiter ces données à caractère personnel dans le cadre de l’enquête pénale dans le contexte de laquelle il a obtenu les données;
Europol évalue, conformément à l’article 18 bis, paragraphe 1, point b), qu’il est impossible de soutenir l’enquête pénale spécifique visée au point a) du présent paragraphe sans traiter des données à caractère personnel qui ne respectent pas l’article 18, paragraphe 5, et cette évaluation est enregistrée et transmise au CEPD pour information lorsqu’Europol cesse de soutenir l’enquête pénale spécifique connexe; et
Europol vérifie, conformément à l’article 18 bis, paragraphe 6, que le volume de données à caractère personnel n’est pas manifestement disproportionné par rapport à l’enquête pénale spécifique visée au point a) du présent paragraphe menée dans un ou plusieurs États membres et soutenue par Europol.
Article 74 ter
Arrangements transitoires concernant le traitement de données à caractère personnel détenues par Europol
Sans préjudice de l’article 74 bis, en ce qui concerne les données à caractère personnel qu’Europol a reçues avant le 28 juin 2022, Europol peut vérifier si ces données à caractère personnel portent sur l’une des catégories de personnes concernées énumérées à l’annexe II. À cette fin, Europol peut effectuer une analyse préliminaire de ces données à caractère personnel pendant une période ne dépassant pas dix-huit mois à compter du jour de la première réception des données ou, dans des cas justifiés et avec l’autorisation préalable du CEPD, pendant une plus longue période.
La durée maximale du traitement des données visées au premier alinéa est de trois ans à compter du jour de la réception des données par Europol.
CHAPITRE XIII
DISPOSITIONS FINALES
Article 75
Remplacement et abrogation
Par conséquent, les décisions 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI sont abrogées avec effet à compter du 1er mai 2017.
Article 76
Maintien en vigueur des règles internes adoptées par le conseil d'administration
Les règles internes et les mesures adoptées par le conseil d'administration sur la base de la décision 2009/371/JAI demeurent en vigueur après le 1er mai 2017, sauf si le conseil d'administration en décide autrement dans le cadre de l'application du présent règlement.
Article 77
Entrée en vigueur et application
Toutefois, les articles 71, 72 et 73 sont applicables à partir du 13 juin 2016.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.
ANNEXE I
LISTE DES FORMES DE CRIMINALITÉ VISÉES À L'ARTICLE 3, PARAGRAPHE 1
ANNEXE II
A. Catégories de données à caractère personnel pouvant être collectées et traitées et catégories de personnes concernées dont les données peuvent être collectées et traitées à des fins de recoupement visées à l'article 18, paragraphe 2, point a)
1. Les données à caractère personnel collectées et traitées à des fins de recoupement doivent concerner:
des personnes qui, au regard du droit national de l'État membre concerné, sont soupçonnées d'avoir commis une infraction ou participé à une infraction relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;
des personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'elles commettront des infractions pénales relevant de la compétence d'Europol.
2. Les données relatives aux personnes visées au paragraphe 1 ne peuvent comprendre que les catégories de données à caractère personnel suivantes:
les nom, nom de jeune fille, prénoms et tout pseudonyme ou nom d'emprunt;
la date et le lieu de naissance;
la nationalité;
le sexe;
le lieu de résidence, la profession et l'endroit où se trouve la personne concernée;
les numéros de sécurité sociale, les permis de conduire, les pièces d'identité et les données concernant le passeport; et
au besoin, d'autres éléments permettant d'identifier la personne, notamment les signes physiques particuliers, objectifs et inaltérables, tels que les données dactyloscopiques et le profil ADN (établi à partir de l'ADN non codant).
3. Outre les données mentionnées au paragraphe 2, les catégories suivantes de données à caractère personnel concernant les personnes visées au paragraphe 1 peuvent être collectées et traitées:
les infractions pénales et infractions pénales présumées, avec leurs dates, lieux et modalités;
les moyens utilisés ou susceptibles d'avoir été utilisés pour commettre ces infractions pénales, y compris les informations relatives aux personnes morales;
les services traitant l'affaire et leurs numéros de dossiers;
la suspicion d'appartenance à une organisation criminelle;
les condamnations, si elles concernent des infractions pénales relevant de la compétence d'Europol;
la personne introduisant les données.
Ces données peuvent être communiquées à Europol même lorsqu'elles ne comportent pas encore de références aux personnes.
4. Les informations complémentaires détenues par Europol ou par les unités nationales sur les personnes visées au paragraphe 1 peuvent être communiquées sur demande à toute unité nationale ou à Europol. Pour les unités nationales, cette communication s'effectue dans le respect de leur droit national.
5. Si la procédure ouverte à l'égard de la personne concernée est définitivement classée ou si cette personne est définitivement acquittée, les données relatives à l'affaire ayant fait l'objet de cette décision sont effacées.
B. Catégories de données à caractère personnel pouvant être collectées et traitées et catégories de personnes concernées dont les données peuvent être collectées et traitées à des fins d'analyses de nature stratégique ou thématique, d'analyses opérationnelles ou de facilitation de l'échange d'informations visées à l'article 18, paragraphe 2, points b), c) et d)
1. Les données à caractère personnel collectées et traitées à des fins d'analyses de nature stratégique ou thématique, d'analyses opérationnelles ou de facilitation de l'échange d'informations entre les États membres, Europol, d'autres organes de l'Union, des pays tiers et des organisations internationales concernent:
des personnes qui, en application du droit national de l'État membre concerné, sont soupçonnées d'avoir commis une infraction ou participé à une infraction pénale relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;
des personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'elles commettront des infractions pénales relevant de la compétence d'Europol;
des personnes qui pourront être appelées à témoigner dans le cadre d'enquêtes portant sur les infractions considérées ou de poursuites pénales ultérieures;
des personnes qui ont été victimes d'une des infractions considérées ou pour lesquelles il existe certains faits qui permettent de penser qu'elles pourraient être les victimes d'une telle infraction;
des contacts et l'entourage; et
des personnes pouvant fournir des informations sur les infractions pénales considérées.
2. Les catégories de données à caractère personnel suivantes, y compris les données administratives connexes, peuvent être traitées en ce qui concerne les catégories de personnes visées au paragraphe 1, points a) et b):
renseignements d'état civil:
nom actuel et noms précédents;
prénom actuel et prénoms précédents;
nom de jeune fille;
nom et prénom du père (si nécessaire à des fins d'identification);
nom et prénom de la mère (si nécessaire à des fins d'identification);
sexe;
date de naissance;
lieu de naissance;
nationalité;
situation de famille;
pseudonymes;
surnom;
noms d'emprunt ou faux noms;
résidence et/ou domicile actuels et antérieurs;
description physique:
signalement physique;
signes particuliers (marques, cicatrices, tatouages, etc.);
moyens d'identification:
documents d'identité/permis de conduire;
numéros de la carte d'identité nationale/du passeport;
numéro d'identification national/numéro de sécurité sociale, le cas échéant;
représentations visuelles et autres informations concernant l'aspect extérieur;
informations permettant l'identification médico-légale, telles qu'empreintes digitales, profil ADN (établi à partir de l'ADN non codant), empreinte vocale, groupe sanguin, dossier dentaire;
profession et qualifications:
emploi et activité professionnelle actuels;
emploi et activité professionnelle précédents;
formation (scolaire/universitaire/professionnelle);
aptitudes;
compétences et autres connaissances (langues/autres);
informations d'ordre économique et financier:
données financières (comptes et codes bancaires, cartes de crédit, etc.);
avoirs liquides;
actions/autres avoirs;
données patrimoniales;
liens avec des sociétés et des entreprises;
contacts avec les banques et les établissements de crédit;
situation fiscale;
autres informations sur la gestion des avoirs financiers de la personne;
informations relatives au comportement:
mode de vie (par exemple, train de vie sans rapport avec les revenus) et habitudes;
déplacements;
lieux fréquentés;
armes et autres instruments dangereux;
degré de dangerosité;
risques particuliers, tels que probabilité de fuite, utilisation d'agents doubles, liens avec des membres de services répressifs;
traits de caractère ayant un rapport avec la criminalité;
toxicomanie;
contacts et entourage, y compris type et nature du contact ou de la relation;
moyens de communication utilisés, tels que téléphone (fixe/mobile), télécopieur, messageur, courrier électronique, adresses postales, connexion(s) sur l'internet;
moyens de transport utilisés tels que véhicules automobiles, embarcations, avions, avec indication de leurs éléments d'identification (numéros d'immatriculation);
informations relatives aux activités criminelles:
condamnations antérieures;
participation présumée à des activités criminelles;
modus operandi;
moyens utilisés ou susceptibles de l'être pour préparer/commettre des infractions;
appartenance à des groupes/organisations criminel(le)s et position au sein du groupe/de l'organisation;
rôle au sein de l'organisation criminelle;
zone géographique des activités criminelles;
objets recueillis lors des enquêtes, tels que cassettes vidéo et photographies;
indication d'autres systèmes d'information stockant des données sur la personne concernée:
Europol;
services de police/douaniers;
autres services répressifs;
organisations internationales;
entités publiques;
entités privées;
renseignements sur les personnes morales associées aux informations visées aux points e) et j):
dénomination de la personne morale;
localisation;
date et lieu de création;
numéro d'immatriculation administrative;
statut juridique;
capital;
secteur d'activité;
filiales nationales et internationales;
dirigeants;
liens avec les banques.
3. Les «contacts» et l'«entourage» visés au paragraphe 1, point e), sont des personnes pour lesquelles il y a lieu d'estimer qu'elles peuvent permettre d'obtenir des informations utiles à l'analyse sur les personnes visées au paragraphe 1, points a) et b), pour autant qu'elles ne soient pas incluses dans l'une des catégories de personnes visées au paragraphe 1, points a), b), c), d) et f). Les «contacts» sont des personnes qui ont des contacts sporadiques avec les personnes visées au paragraphe 1, points a) et b). L'«entourage» vise des personnes qui ont des contacts réguliers avec les personnes visées au paragraphe 1, points a) et b).
En ce qui concerne les contacts et l'entourage, les données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer que ces données sont nécessaires à l'analyse des relations de ces personnes avec les personnes visées au paragraphe 1, points a) et b). À cet égard, les précisions suivantes sont apportées:
les relations doivent être clarifiées au plus vite;
les données visées au paragraphe 2 sont effacées sans retard si l'hypothèse de l'existence d'une relation se révèle infondée;
toutes les données visées au paragraphe 2 peuvent être stockées si les contacts et l'entourage sont soupçonnés d'avoir commis une infraction relevant des objectifs d'Europol ou ont été condamnés pour avoir commis une telle infraction, ou s'il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'ils commettront une telle infraction;
les données visées au paragraphe 2 sur les contacts, et l'entourage, des contacts ainsi que les données sur les contacts, et l'entourage, de l'entourage ne peuvent pas être stockées, à l'exception des données sur le type et la nature de leurs contacts ou de leur relation avec les personnes visées au paragraphe 1, points a) et b);
s'il n'est pas possible de clarifier les éléments visés aux points précédents, il en est tenu compte lorsqu'une décision est prise sur la nécessité et la portée du stockage aux fins de la poursuite de l'analyse.
4. En ce qui concerne les personnes qui, comme visé au paragraphe 1, point d), ont été victimes d'une des infractions considérées ou pour lesquelles il existe certains faits qui permettent de penser qu'elles pourraient être victimes d'une telle infraction, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données suivantes:
identification de la victime;
raisons du choix de la victime;
dommage (physique, financier, psychologique, autre);
anonymat à préserver ou non;
éventuelle possibilité de participer à une audience;
informations relatives à des activités criminelles fournies par les personnes visées au paragraphe 1, point d), ou par leur intermédiaire, y compris si cela est nécessaire informations sur leurs relations avec d'autres personnes aux fins d'identifier les personnes visées au paragraphe 1, points a) et b).
Les autres données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer qu'elles sont nécessaires à l'analyse du rôle des personnes considérées en tant que victime ou victime potentielle.
Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.
5. En ce qui concerne les personnes qui, comme visé au paragraphe 1, point c), pourraient être appelées à témoigner dans le cadre d'enquêtes portant sur les infractions considérées ou de poursuites pénales ultérieures, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données répondant aux critères suivants:
informations relatives à des activités criminelles fournies par ces personnes, y compris informations sur leurs relations avec d'autres personnes figurant dans le fichier de travail à des fins d'analyse;
anonymat à préserver ou non;
protection à assurer ou non et par qui;
nouvelle identité;
éventuelle possibilité de participer à une audience.
Les autres données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer qu'elles sont nécessaires à l'analyse du rôle des personnes considérées en tant que témoins.
Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.
6. En ce qui concerne les personnes qui, comme mentionné au paragraphe 1, point f), peuvent fournir des informations sur les infractions pénales considérées, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données répondant aux critères suivants:
données d'identité codées;
type d'informations fournies;
anonymat à préserver ou non;
protection à assurer ou non et par qui;
nouvelle identité;
éventuelle possibilité de participer à une audience;
expériences négatives;
récompenses (pécuniaires/faveurs).
Les autres données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer qu'elles sont nécessaires à l'analyse du rôle de ces personnes en tant qu'informateurs.
Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.
7. Si, à un moment au cours de l'analyse, il apparaît clairement, sur la base d'indications sérieuses et concordantes, qu'une personne devrait être inscrite dans une autre catégorie de personnes prévue par la présente annexe que celle dans laquelle elle a été inscrite à l'origine, Europol ne peut traiter, pour cette personne, que les données autorisées pour la nouvelle catégorie, toutes les autres données devant être effacées.
Si, sur la base de ces indications, il s'avère qu'une personne devrait être incluse dans plusieurs catégories différentes prévues par la présente annexe, Europol peut traiter toutes les données autorisées pour ces catégories.
( 1 ) Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).
( 2 ) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (JO L 172 du 17.5.2021, p. 79).
( 3 ) Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).
( 4 ) Décision 2008/617/JAI du Conseil du 23 juin 2008 relative à l’amélioration de la coopération entre les unités spéciales d’intervention des États membres de l’Union européenne dans les situations de crise (JO L 210 du 6.8.2008, p. 73).
( 5 ) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).
( 6 ) Règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) no 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission (JO L 312 du 7.12.2018, p. 56).
( 7 ) Directive (UE) 2019/1153 du Parlement européen et du Conseil du 20 juin 2019 fixant les règles facilitant l’utilisation d’informations financières et d’une autre nature aux fins de la prévention ou de la détection de certaines infractions pénales, ou des enquêtes ou des poursuites en la matière, et abrogeant la décision 2000/642/JAI du Conseil (JO L 186 du 11.7.2019, p. 122).
( 8 ) Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) no 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73).
( 9 ) Décision 2005/511/JAI du Conseil du 12 juillet 2005 visant à protéger l'euro contre le faux-monnayage par la désignation d'Europol comme office central de répression du faux-monnayage de l'euro (JO L 185 du 16.7.2005, p. 35).
( 10 ) Règlement (UE) 2019/452 du Parlement européen et du Conseil du 19 mars 2019 établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union (JO L 79 I du 21.3.2019, p. 1).
( 11 ) Règlement délégué (UE) 2019/715 de la Commission du 18 décembre 2018 portant règlement financier-cadre des organismes créés en vertu du traité sur le fonctionnement de l’Union européenne et du traité Euratom et visés à l’article 70 du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (JO L 122 du 10.5.2019, p. 1).
( 12 ) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
( 13 ) Décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres (JO L 190 du 18.7.2002, p. 1).
( 14 ) Règlement (CE) no 168/2007 du Conseil du 15 février 2007 portant création d’une Agence des droits fondamentaux de l’Union européenne (JO L 53 du 22.2.2007, p. 1).
( 15 ) Règlement (UE) 2015/2219 du Parlement européen et du Conseil du 25 novembre 2015 sur l’Agence de l’Union européenne pour la formation des services répressifs (CEPOL) et remplaçant et abrogeant la décision 2005/681/JAI du Conseil (JO L 319 du 4.12.2015, p. 1).
( 16 ) Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).
( 17 ) JO C 95 du 1.4.2014, p. 1.
( 18 ) Règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l’Union, modifiant les règlements (UE) no 1296/2013, (UE) no 1301/2013, (UE) no 1303/2013, (UE) no 1304/2013, (UE) no 1309/2013, (UE) no 1316/2013, (UE) no 223/2014, (UE) no 283/2014 et la décision no 541/2014/UE, et abrogeant le règlement (UE, Euratom) no 966/2012 (JO L 193 du 30.7.2018, p. 1).
( 19 ) Règlement no 1 portant fixation du régime linguistique de la Communauté économique européenne (JO 17 du 6.10.1958, p. 385/58).
( 20 ) JO L 136 du 31.5.1999, p. 15.
( 21 ) Règlement (Euratom, CE) no 2185/96 du Conseil du 11 novembre 1996 relatif aux contrôles et vérifications sur place effectués par la Commission pour la protection des intérêts financiers des Communautés européennes contre les fraudes et autres irrégularités (JO L 292 du 15.11.1996, p. 2).