relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 88,

Création de l'Agence de l'Union européenne pour la coopération des services répressifs

1. Une agence de l'Union européenne pour la coopération des services répressifs (Europol) est instituée en vue de soutenir la coopération entre les autorités répressives au sein de l'Union.

2. Europol instituée par le présent règlement se substitue et succède à Europol institué par la décision 2009/371/JAI.

1. Europol appuie et renforce l'action des autorités compétentes des États membres et leur collaboration mutuelle dans la prévention de la criminalité grave affectant deux ou plusieurs États membres, du terrorisme et des formes de criminalité qui portent atteinte à un intérêt commun qui fait l'objet d'une politique de l'Union, ainsi que dans la lutte contre ceux-ci, énumérées à l'annexe I.

2. Outre le paragraphe 1, les objectifs d'Europol s'étendent également aux infractions pénales connexes. Sont considérées comme des infractions pénales connexes:

1. Europol est chargée des missions suivantes pour atteindre les objectifs fixés à l'article 3:

2. Europol fournit des analyses stratégiques et des évaluations de la menace afin d'aider le Conseil et la Commission à établir les priorités stratégiques et opérationnelles de l'Union aux fins de la lutte contre la criminalité. Europol fournit également un appui pour la mise en œuvre opérationnelle de ces priorités.

3. Europol fournit des analyses stratégiques et des évaluations de la menace pour contribuer à une utilisation efficace et rationnelle des ressources disponibles au niveau national et de l'Union pour les activités opérationnelles, et fournir un appui à ces dernières.

4. Europol joue le rôle d'office central de répression du faux-monnayage de l'euro conformément à la décision 2005/511/JAI du Conseil (20). Europol facilite également la coordination des mesures prises par les autorités compétentes des États membres ou dans le cadre d'équipes communes d'enquête, s'il y a lieu en liaison avec des organes de l'Union et les autorités de pays tiers, afin de lutter contre le faux-monnayage de l'euro.

5. Europol n'applique pas de mesures coercitives dans l'exercice de ses missions.

1. Le personnel d'Europol peut participer aux activités des équipes communes d'enquête lorsqu'elles portent sur les formes de criminalité relevant des objectifs d'Europol. L'accord créant une équipe commune d'enquête fixe les conditions relatives à la participation du personnel d'Europol à l'équipe, et comprend les informations relatives aux règles en matière de responsabilité.

2. Le personnel d'Europol peut, dans les limites du droit des États membres dans lesquels une équipe commune d'enquête opère, prêter son concours à toutes les activités et à tous les échanges d'informations ayant lieu avec tout membre de cette équipe commune d'enquête.

3. Le personnel d'Europol participant à une équipe commune d'enquête peut, conformément au présent règlement, fournir à tous les membres de l'équipe les informations nécessaires traitées par Europol aux fins énoncées à l'article 18, paragraphe 2. Europol en informe simultanément les unités nationales des États membres représentés dans l'équipe ainsi que celles des États membres qui ont fourni les informations.

4. Les informations obtenues par le personnel d'Europol lors de sa participation à une équipe commune d'enquête peuvent, avec l'accord et sous la responsabilité de l'État membre qui les a fournies, être traitées par Europol aux fins énoncées à l'article 18, paragraphe 2, selon les conditions établies par le présent règlement.

5. Lorsque Europol a des motifs de croire que la constitution d'une équipe commune d'enquête apporterait une valeur ajoutée à une enquête, elle peut en faire la proposition aux États membres concernés et prendre des mesures en vue de les aider à créer cette équipe.

1. Dans les cas particuliers où Europol considère qu'une enquête pénale devrait être ouverte au sujet d'une forme de criminalité relevant de ses objectifs, elle demande aux autorités compétentes des États membres concernés, par l'intermédiaire des unités nationales, d'ouvrir, de mener ou de coordonner cette enquête pénale.

2. Les unités nationales informent sans retard Europol de la décision des autorités compétentes des États membres concernant toute demande introduite en application du paragraphe 1.

3. Si les autorités compétentes d'un État membre décident de ne pas donner suite à une demande présentée par Europol en application du paragraphe 1, elles informent Europol des motifs de leur décision, sans retard injustifié, et de préférence dans un délai d'un mois à compter de la réception de la demande. Toutefois, il est permis de ne pas communiquer les motifs si leur communication:

4. Europol informe immédiatement Eurojust de toute demande présentée en application du paragraphe 1 et de toute décision prise par une autorité compétente d'un État membre en application du paragraphe 2.

1. Les États membres et Europol coopèrent dans l'accomplissement de leurs missions respectives définies dans le présent règlement.

2. Chaque État membre met en place ou désigne une unité nationale, qui constitue l'organe de liaison entre Europol et les autorités compétentes de cet État membre. Chaque État membre désigne un fonctionnaire comme chef de son unité nationale.

3. Chaque État membre veille à ce que son unité nationale soit compétente, en vertu de son droit national, pour s'acquitter des missions assignées aux unités nationales dans le présent règlement, et notamment à ce qu'elle ait accès aux données des services répressifs nationaux et aux autres données pertinentes nécessaires à la coopération avec Europol.

4. Chaque État membre définit l'organisation de son unité nationale et détermine ses effectifs conformément à son droit national.

5. Conformément au paragraphe 2, l'unité nationale est l'organe de liaison entre Europol et les autorités compétentes des États membres. Toutefois, sous réserve des conditions fixées par les États membres, y compris l'intervention préalable de l'unité nationale, les États membres peuvent autoriser des contacts directs entre leurs autorités compétentes et Europol. L'unité nationale reçoit en même temps d'Europol toutes les informations échangées au cours des contacts directs entre Europol et les autorités compétentes, à moins que l'autorité nationale n'indique qu'elle n'a pas besoin de recevoir ces informations.

6. Les États membres, par l'intermédiaire de leur unité nationale ou, sous réserve du paragraphe 5, d'une autorité compétente, assurent notamment:

7. Sans préjudice de l'exercice, par les États membres, de leurs responsabilités en matière de maintien de l'ordre public et de protection de la sécurité intérieure, les États membres ne sont pas tenus, dans une affaire donnée, de fournir des informations conformément au paragraphe 6, point a), qui auraient pour effet:

Cependant, les États membres fournissent des informations dès qu'elles n'entrent plus dans le champ d'application des points a), b) ou c) du premier alinéa.

8. Les États membres veillent à ce que leurs cellules de renseignement financier, créées en application de la directive 2005/60/CE du Parlement européen et du Conseil (21), soient autorisées à coopérer avec Europol par l'intermédiaire de leur unité nationale en ce qui concerne les analyses, dans les limites de leur mandat et de leur compétence.

9. Les chefs des unités nationales se réunissent périodiquement, afin notamment d'examiner et de résoudre les problèmes qui se posent dans le cadre de leur coopération opérationnelle avec Europol.

10. Les frais exposés par les unités nationales pour les communications avec Europol sont à la charge des États membres et, à l'exception des frais de connexion, ne sont pas mis à la charge d'Europol.

11. Europol rédige un rapport annuel sur les informations fournies par chaque État membre en application du paragraphe 6, point a), sur la base des critères d'évaluation quantitatifs et qualitatifs fixés par le conseil d'administration. Ce rapport annuel est transmis au Parlement européen, au Conseil, à la Commission et aux parlements nationaux.

1. Chaque unité nationale désigne auprès d'Europol au moins un officier de liaison. Sauf dispositions contraires prévues dans le présent règlement, les officiers de liaison sont soumis au droit national de l'État membre qui procède à la désignation.

2. Les officiers de liaison, qui constituent les bureaux nationaux de liaison auprès d'Europol, sont chargés par leur unité nationale de représenter les intérêts de celle-ci au sein d'Europol conformément au droit national de l'État membre qui les a désignés et aux dispositions applicables au fonctionnement d'Europol.

3. Les officiers de liaison contribuent à l'échange d'informations entre Europol et leur État membre.

4. Les officiers de liaison contribuent, conformément à leur droit national, à l'échange d'informations entre leur État membre et les officiers de liaison des autres États membres, les pays tiers et les organisations internationales. Les infrastructures d'Europol peuvent également être utilisées, conformément au droit national, pour ces échanges bilatéraux lorsqu'il s'agit de formes de criminalité ne relevant pas des objectifs d'Europol. Tous ces échanges d'informations se font conformément au droit de l'Union et au droit national applicables.

5. Le conseil d'administration définit les droits et obligations des officiers de liaison à l'égard d'Europol. Les officiers de liaison jouissent des privilèges et des immunités nécessaires à l'exécution de leurs missions conformément à l'article 63, paragraphe 2.

6. Europol veille à ce que les officiers de liaison soient parfaitement informés de toutes ses activités et qu'ils y soient pleinement associés, dans la mesure nécessaire à l'exécution de leurs missions.

7. Europol assume les coûts liés à la mise à la disposition des États membres de locaux dans son immeuble et à l'octroi d'un soutien suffisant pour permettre aux officiers de liaison de remplir leurs fonctions. Tous les autres frais liés à la désignation d'officiers de liaison sont supportés par l'État membre qui procède à la désignation, y compris les frais liés à leur dotation en équipement, sauf si le Parlement européen et le Conseil en décident autrement sur recommandation du conseil d'administration.

1. Le conseil d'administration est composé d'un représentant de chaque État membre et d'un représentant de la Commission. Chaque représentant dispose du droit de vote.

2. Les membres du conseil d'administration sont nommés en tenant compte de leur connaissance de la coopération entre services répressifs.

3. Chaque membre du conseil d'administration a un membre suppléant, qui est nommé en tenant compte du critère fixé au paragraphe 2. Le suppléant représente le membre en son absence.

Il est également tenu compte du principe de la représentation équilibrée des hommes et des femmes au sein du conseil d'administration.

4. Sans préjudice du droit qu'ont les États membres et la Commission de mettre un terme au mandat de leurs membres et membres suppléants respectifs, le mandat au conseil d'administration est de quatre ans. Il peut être prolongé.

2. Si le conseil d'administration le considère nécessaire pour l'accomplissement des missions d'Europol, il peut suggérer au Conseil d'attirer l'attention de la Commission sur la nécessité de disposer d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), ou d'une recommandation de décision autorisant l'ouverture de négociations en vue de la conclusion d'un accord international visé à l'article 25, paragraphe 1, point b).

3. Le conseil d'administration adopte, conformément à l'article 110 du statut, une décision fondée sur l'article 2, paragraphe 1, du statut et sur l'article 6 du régime applicable aux autres agents, déléguant au directeur exécutif les compétences correspondantes relevant de l'autorité investie du pouvoir de nomination et établissant les conditions dans lesquelles cette délégation de compétences peut être suspendue. Le directeur exécutif est autorisé à subdéléguer ces compétences.

Lorsque des circonstances exceptionnelles l'exigent, le conseil d'administration peut, par voie de décision, suspendre temporairement la délégation des compétences relevant de l'autorité investie du pouvoir de nomination au directeur exécutif et toute subdélégation de celles-ci, et les exercer lui-même ou les déléguer à un de ses membres ou à un membre du personnel autre que le directeur exécutif.

1. Au plus tard le 30 novembre de chaque année, le conseil d'administration adopte un document contenant la programmation pluriannuelle et le programme de travail annuel d'Europol, sur la base d'un projet proposé par le directeur exécutif, en tenant compte de l'avis de la Commission et, en ce qui concerne la programmation pluriannuelle, après consultation du groupe de contrôle parlementaire conjoint. Il transmet ce document au Conseil, à la Commission et au groupe de contrôle parlementaire conjoint.

2. La programmation pluriannuelle expose la programmation stratégique globale, y compris les objectifs, les résultats attendus et les indicateurs de performance. Elle contient également la planification des ressources, y compris le budget pluriannuel et les effectifs. Elle comprend la stratégie pour les relations avec les pays tiers et les organisations internationales.

La programmation pluriannuelle est mise en œuvre au moyen de programmes de travail annuels et, s'il y a lieu, est mise à jour au vu des résultats des évaluations externes et internes. La conclusion de ces évaluations est également prise en compte, au besoin, dans le programme de travail annuel pour l'année suivante.

3. Le programme de travail annuel expose les objectifs détaillés, les résultats escomptés et les indicateurs de performance. Il contient, en outre, une description des actions à financer et une indication des ressources financières et humaines allouées à chaque action, conformément aux principes d'établissement du budget par activités et de la gestion fondée sur les activités. Le programme de travail annuel est cohérent par rapport à la programmation pluriannuelle. Il indique clairement les tâches qui ont été ajoutées, modifiées ou supprimées par rapport à l'exercice précédent.

4. Lorsque, après l'adoption du programme de travail annuel, une nouvelle mission est confiée à Europol, le conseil d'administration modifie le programme de travail annuel.

5. Toute modification substantielle du programme de travail annuel est soumise à une procédure d'adoption identique à celle applicable à l'adoption du programme de travail annuel initial. Le conseil d'administration peut déléguer au directeur exécutif le pouvoir d'apporter des modifications non substantielles au programme de travail annuel.

1. Le conseil d'administration élit un président et un vice-président au sein du groupe des trois États membres qui ont élaboré conjointement le programme de dix-huit mois du Conseil. Ils exercent leur mandat pendant la période de dix-huit mois correspondant audit programme du Conseil. Toutefois, si le président ou le vice-président perd sa qualité de membre du conseil d'administration à un moment quelconque de son mandat de président ou de vice-président, ce mandat expire automatiquement à la même date.

2. Le président et le vice-président sont élus à la majorité des deux tiers des membres du conseil d'administration.

3. Le vice-président remplace d'office le président si celui-ci n'est pas en mesure d'assumer ses fonctions.

2. Le directeur exécutif participe aux délibérations du conseil d'administration.

3. Le conseil d'administration se réunit au moins deux fois par an en session ordinaire. En outre, il se réunit à l'initiative de son président, ou à la demande de la Commission ou d'au moins un tiers de ses membres.

4. Le conseil d'administration peut inviter toute personne dont l'avis peut être pertinent aux fins des débats, y compris, le cas échéant, un représentant du groupe de contrôle parlementaire conjoint, à participer aux réunions en tant qu'observateur sans droit de vote.

5. Les membres titulaires et les membres suppléants du conseil d'administration peuvent, sous réserve du règlement intérieur, être assistés aux réunions par des conseillers ou des experts.

1. Sans préjudice de l'article 11, paragraphe 1, points a) et b), de l'article 13, paragraphe 2, de l'article 50, paragraphe 2, de l'article 54, paragraphe 8, et de l'article 64, le conseil d'administration prend ses décisions à la majorité de ses membres.

2. Chaque membre dispose d'une voix. En l'absence d'un membre disposant du droit de vote, son suppléant peut exercer son droit de vote.

4. Le règlement intérieur du conseil d'administration fixe les modalités détaillées du vote, notamment les conditions dans lesquelles un membre peut agir au nom d'un autre membre, ainsi que les exigences en matière de quorum, le cas échéant.

1. Le directeur exécutif assure la gestion d'Europol. Il rend compte de sa gestion au conseil d'administration.

2. Sans préjudice des compétences de la Commission ou du conseil d'administration, le directeur exécutif est indépendant dans l'exercice de ses fonctions et ne sollicite ni n'accepte aucune instruction d'aucune administration ni d'aucun autre organe.

3. Le Conseil peut inviter le directeur exécutif à faire rapport sur l'exécution de ses fonctions.

5. Le directeur exécutif est chargé de la mise en œuvre des missions confiées à Europol par le présent règlement, notamment:

2. Europol peut directement extraire et traiter des informations, y compris des données à caractère personnel, provenant de sources accessibles au public, y compris l'internet et les données publiques.

3. Dans la mesure où Europol est en droit, en vertu d'instruments juridiques de l'Union, internationaux ou nationaux, d'interroger par voie automatisée des systèmes d'information de l'Union, internationaux ou nationaux, elle peut extraire et traiter de cette façon des informations, y compris des données à caractère personnel, si cela est nécessaire pour lui permettre d'accomplir ses missions. Les dispositions applicables de ces instruments juridiques de l'Union, internationaux ou nationaux régissent l'accès à ces informations et leur utilisation par Europol, dans la mesure où elles prévoient des règles d'accès et d'utilisation plus strictes que celles prévues par le présent règlement. L'accès à ces systèmes d'information n'est accordé qu'aux membres du personnel dûment habilités d'Europol et seulement dans la mesure où cela est nécessaire et proportionné à l'exécution de leurs missions.

1. Dans la mesure nécessaire pour atteindre ses objectifs tels qu'énoncés à l'article 3, Europol peut traiter des informations, y compris des données à caractère personnel.

2. Les données à caractère personnel ne peuvent être traitées que pour les finalités ci-après:

3. Le traitement aux fins des analyses opérationnelles visées au paragraphe 2, point c), est effectué au moyen de projets d'analyse opérationnelle auxquels s'appliquent les garanties spécifiques suivantes:

4. Le traitement visé aux paragraphes 2 et 3 est effectué dans le respect des garanties relatives à la protection des données prévues dans le présent règlement. Europol documente ces opérations de traitement comme il se doit. Cette documentation est, sur demande, mise à la disposition du délégué à la protection des données et du CEPD aux fins du contrôle de la licéité des opérations de traitement.

5. Les catégories de données à caractère personnel et les catégories de personnes concernées dont les données peuvent être collectées et traitées pour chacune des finalités visées au paragraphe 2 sont énumérées à l'annexe II.

6. Europol peut traiter temporairement des données afin de déterminer si, et, dans l'affirmative, pour quelle finalité visée au paragraphe 2, ces données sont pertinentes pour ses tâches. Le conseil d'administration, sur proposition du directeur exécutif et après consultation du CEPD, précise davantage les conditions relatives au traitement de ces données, notamment en ce qui concerne l'accès aux données et leur utilisation, ainsi que les délais de conservation et d'effacement des données, qui ne peuvent dépasser six mois, dans le strict respect des principes visés à l'article 28.

7. Le conseil d'administration, après consultation du CEPD, adopte, le cas échéant, des lignes directrices précisant davantage les procédures de traitement des informations aux fins énumérées au paragraphe 2, conformément à l'article 11, paragraphe 1, point q).

Détermination des finalités du traitement d'informations par Europol et des limitations en la matière

1. Tout État membre, organe de l'Union, pays tiers ou organisation internationale qui fournit des informations à Europol définit la ou les finalités du traitement de ces données conformément à l'article 18. À défaut, Europol, en accord avec le fournisseur des informations concerné, traite ces informations en vue de déterminer leur pertinence ainsi que la ou les finalités de leur traitement ultérieur. Europol ne peut traiter ces informations à des fins autres que celles pour lesquelles elles ont été fournies que si le fournisseur des informations l'y autorise.

2. Les États membres, les organes de l'Union, les pays tiers et les organisations internationales peuvent notifier, lors de la fourniture des informations à Europol, toute limitation de l'accès à ces données ou de leur utilisation, en termes généraux ou spécifiques, y compris en ce qui concerne leur transfert, effacement ou destruction. Lorsque la nécessité d'appliquer ces limitations apparaît après la fourniture des informations, ils en informent Europol. Europol se conforme à ces limitations.

3. Dans des cas dûment justifiés, Europol peut soumettre les informations extraites auprès de sources accessibles au public à des limitations d'accès ou d'utilisation par les États membres, les organes de l'Union, les pays tiers et les organisations internationales.

Accès des États membres et du personnel d'Europol aux informations conservées par Europol

1. Les États membres ont, conformément à leur droit national et à l'article 7, paragraphe 5, accès à toutes les informations fournies aux fins de l'article 18, paragraphe 2, points a) et b), et peuvent effectuer des recherches dans ces données. Cela s'entend sans préjudice du droit des États membres, des organes de l'Union, des pays tiers et des organisations internationales de notifier toute limitation conformément à l'article 19, paragraphe 2.

2. Les États membres disposent, conformément à leur droit national et à l'article 7, paragraphe 5, d'un accès indirect fondé sur un système de concordance/non-concordance («hit/no hit») aux informations fournies aux fins de l'article 18, paragraphe 2, point c). Cela s'entend sans préjudice de toute limitation notifiée par les États membres, les organes de l'Union, les pays tiers et les organisations internationales ayant fourni ces informations, conformément à l'article 19, paragraphe 2.

En cas de concordance, Europol engage la procédure permettant de partager l'information qui a généré cette concordance, conformément à la décision du fournisseur de l'information à Europol.

3. Conformément au droit national, les informations visées aux paragraphes 1 et 2 ne sont accessibles et ne font l'objet d'un traitement ultérieur par les États membres qu'aux fins de la prévention et de la répression:

4. Les membres du personnel d'Europol dûment habilités par le directeur exécutif ont accès aux informations traitées par Europol dans la mesure nécessaire à l'exécution de leurs fonctions et sans préjudice de l'article 67.

1. Europol prend toutes les mesures appropriées pour permettre à Eurojust et à l'OLAF, dans le cadre de leurs mandats respectifs, de disposer d'un accès indirect fondé sur un système de concordance/non-concordance («hit/no hit») aux informations fournies aux fins de l'article 18, paragraphe 2, points a), b) et c), sans préjudice de toute limitation notifiée par les États membres, les organes de l'Union, les pays tiers ou les organisations internationales ayant fourni les informations concernées, conformément à l'article 19, paragraphe 2.

En cas de concordance, Europol engage la procédure permettant de partager l'information qui a généré cette concordance, conformément à la décision du fournisseur de l'information à Europol et uniquement dans la mesure où les données générant la concordance sont nécessaires à l'accomplissement des missions d'Eurojust ou de l'OLAF.

2. Europol et Eurojust peuvent conclure un arrangement de travail leur assurant de manière réciproque et dans le cadre de leurs mandats respectifs, l'accès à toutes les informations fournies aux fins de l'article 18, paragraphe 2, point a), et la possibilité d'effectuer des recherches sur ces informations. Cela est sans préjudice du droit des États membres, des organes de l'Union, des pays tiers et des organisations internationales de notifier toute limitation de l'accès à ces données ou de leur utilisation et conformément aux garanties en matière de protection des données prévues dans le présent règlement.

3. Les recherches d'information relevant des paragraphes 1 et 2 ne sont effectuées qu'aux fins de déterminer si des informations disponibles auprès d'Eurojust ou de l'OLAF correspondent aux informations traitées au sein d'Europol.

4. Europol n'autorise la réalisation de recherches conformément aux paragraphes 1 et 2 qu'après avoir obtenu, de la part d'Eurojust, des informations sur les membres nationaux, les suppléants, les assistants et les membres du personnel d'Eurojust et, de la part de l'OLAF, des informations quant aux membres de son personnel qui ont été habilités à effectuer ces recherches.

5. Si, au cours de ses activités de traitement d'informations dans le cadre d'une enquête déterminée, Europol ou un État membre constate la nécessité d'une coordination, d'une coopération ou d'un appui conformément au mandat d'Eurojust ou de l'OLAF, Europol en informe ces derniers et engage la procédure de partage des informations, conformément à la décision de l'État membre ayant fourni les informations. Dans ce cas, Eurojust ou l'OLAF consultent Europol.

6. Eurojust, y compris son collège, ses membres nationaux, leurs suppléants, les assistants et les membres de son personnel, ainsi que l'OLAF respectent toute limitation de l'accès ou de l'utilisation, formulée en termes généraux ou spécifiques, notifiée par un État membre, un organe de l'Union, un pays tiers ou une organisation internationale, conformément à l'article 19, paragraphe 2.

7. Europol, Eurojust et l'OLAF s'informent mutuellement si, après consultation de leurs données réciproques conformément au paragraphe 2 ou à la suite d'une concordance conformément au paragraphe 1, il existe des indications selon lesquelles certaines données pourraient être erronées ou contredire d'autres données.

1. Conformément à l'article 4, paragraphe 1, point b), Europol communique sans retard à un État membre toute information le concernant. Si ces informations sont soumises à des limitations d'accès en application de l'article 19, paragraphe 2, qui en empêcheraient le partage, Europol consulte le fournisseur des informations qui a notifié la limitation d'accès afin d'obtenir l'autorisation de partager ces informations.

Dans un tel cas, les informations ne sont pas partagées sans autorisation explicite du fournisseur des informations.

2. Indépendamment de toute limitation d'accès, Europol communique à un État membre toute information le concernant si cela est absolument nécessaire aux fins de la prévention d'une menace imminente pour la vie des personnes.

Dans un tel cas, Europol informe simultanément le fournisseur des informations du partage de ces informations et justifie son analyse de la situation.

1. Dans la mesure où cela est nécessaire à l'accomplissement de ses missions, Europol peut établir et entretenir des relations de coopération avec des organes de l'Union conformément aux objectifs de ces derniers, avec des autorités de pays tiers, des organisations internationales et des parties privées.

2. Sous réserve de toute limitation en vertu de l'article 19, paragraphe 2, et sans préjudice de l'article 67, Europol peut procéder à un échange direct de toute information, à l'exception des données à caractère personnel, avec les entités visées au paragraphe 1 du présent article, dans la mesure où un tel échange est pertinent pour l'accomplissement de ses missions.

3. Le directeur exécutif informe le conseil d'administration de toutes les relations de coopération régulière qu'Europol a l'intention d'établir et de maintenir conformément aux paragraphes 1 et 2 ainsi que de leur évolution une fois qu'elles ont été établies.

4. Aux fins mentionnées aux paragraphes 1 et 2, Europol peut conclure des arrangements de travail avec des entités visées au paragraphe 1. De tels arrangements n'autorisent pas l'échange de données à caractère personnel et ne lient ni l'Union ni ses États membres.

5. Europol peut recevoir et traiter des données à caractère personnel d'entités mentionnées au paragraphe 1 dans la mesure où cela est nécessaire et proportionné pour l'accomplissement légitime de ses missions et sous réserve des dispositions du présent chapitre.

6. Sans préjudice de l'article 30, paragraphe 5, les données à caractère personnel ne sont transférées par Europol à des organes de l'Union, vers des pays tiers et à des organisations internationales que si cela est nécessaire pour prévenir et lutter contre les formes de criminalité relevant des objectifs d'Europol et conformément au présent règlement, et si le destinataire s'engage à ce que les données ne soient traitées qu'aux fins pour lesquelles elles ont été transférées. Si les données à transférer ont été fournies par un État membre, Europol demande le consentement de ce dernier, sauf si l'État membre a donné son accord préalable à ce transfert, en termes généraux ou sous réserve de conditions spécifiques. Cet accord est révocable à tout moment.

7. Les transferts ultérieurs de données à caractère personnel détenues par Europol, les États membres, les organes de l'Union, les pays tiers et les organisations internationales sont interdits, à moins qu'Europol ne les ait explicitement autorisés au préalable.

8. Europol veille à ce qu'un relevé détaillé de tous les transferts de données à caractère personnel ainsi que des motifs de ces transferts soit conservé, conformément au présent règlement.

9. Toute information manifestement obtenue en violation manifeste des droits de l'homme ne peut faire l'objet d'aucun traitement.

Sous réserve de toute limitation éventuelle en vertu de l'article 19, paragraphe 2 ou 3, et sans préjudice de l'article 67, Europol peut directement transférer des données à caractère personnel à un organe de l'Union, dans la mesure où cela est nécessaire à l'accomplissement de ses missions ou de celles de l'organe de l'Union destinataire.

Transfert de données à caractère personnel vers des pays tiers et à des organisations internationales

1. Sous réserve de toute limitation éventuelle en vertu de l'article 19, paragraphe 2 ou 3, et sans préjudice de l'article 67, Europol peut transférer des données à caractère personnel à une autorité d'un pays tiers ou à une organisation internationale, dans la mesure nécessaire à l'accomplissement de ses missions, sur l'un des fondements suivants:

Europol peut conclure des arrangements administratifs afin de mettre en œuvre ces accords ou ces décisions d'adéquation.

2. Le directeur exécutif informe le conseil d'administration des échanges de données à caractère personnel effectués sur la base de décisions d'adéquation en vertu du paragraphe 1, point a).

3. Europol publie sur son site internet et tient à jour une liste des décisions d'adéquation, des accords, des arrangements administratifs et des autres instruments relatifs au transfert de données à caractère personnel conformément au paragraphe 1.

4. Au plus tard le 14 juin 2021, la Commission évalue les dispositions figurant dans les accords de coopération visés au paragraphe 1, point c), en particulier celles concernant la protection des données. La Commission informe le Parlement européen et le Conseil du résultat de cette évaluation et peut, le cas échéant, présenter au Conseil une recommandation de décision autorisant l'ouverture de négociations en vue de la conclusion d'accords internationaux visés au paragraphe 1, point b).

5. Par dérogation au paragraphe 1, le directeur exécutif peut autoriser le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, au cas par cas, si ce transfert est:

Les données à caractère personnel ne sont pas transférées si le directeur exécutif estime que les libertés et les droits fondamentaux de la personne concernée prévalent sur l'intérêt public dans le cadre du transfert visé aux points d) et e).

Aucune dérogation ne peut être applicable aux transferts systématiques, en masse ou structurels.

6. Par dérogation au paragraphe 1, le conseil d'administration peut, en accord avec le CEPD, autoriser, pour une période ne pouvant dépasser un an, renouvelable, une série de transferts conformément au paragraphe 5, points a) à e), compte tenu de l'existence de garanties adéquates en ce qui concerne la protection de la vie privée et des libertés et des droits fondamentaux des personnes physiques. Cette autorisation doit être dûment justifiée et documentée.

7. Le directeur exécutif informe au plus vite le conseil d'administration et le CEPD des cas dans lesquels le paragraphe 5 a été appliqué.

8. Europol tient un relevé détaillé de tous les transferts effectués au titre du présent article.

1. Dans la mesure où cela est nécessaire à l'accomplissement de ses missions, Europol peut traiter des données à caractère personnel obtenues de parties privées à condition de les avoir reçues par l'intermédiaire:

2. Si Europol reçoit néanmoins des données à caractère personnel directement de parties privées et si l'unité nationale, le point de contact ou l'autorité concerné visé au paragraphe 1 ne peut pas être identifié, Europol ne peut traiter ces données qu'à la seule fin de procéder à cette identification. Les données à caractère personnel sont ensuite transmises immédiatement à l'unité nationale, au point de contact ou à l'autorité concerné et supprimées à moins que l'unité nationale, le point de contact ou l'autorité concerné ne soumette à nouveau ces données à caractère personnel conformément à l'article 19, paragraphe 1, dans les quatre mois suivant le transfert. Europol assure par des moyens techniques que, durant cette période, les données en question ne sont pas accessibles en vue d'un traitement pour toute autre finalité.

3. À la suite du transfert de données à caractère personnel conformément au paragraphe 5, point c), du présent article, Europol peut, en rapport avec celles-ci, recevoir des données à caractère personnel directement d'une partie privée que cette partie privée déclare être autorisée par la loi à transmettre conformément au droit applicable, afin de traiter ces données pour l'accomplissement de la mission prévue à l'article 4, paragraphe 1, point m).

4. Si Europol reçoit des données à caractère personnel d'une partie privée se trouvant dans un pays tiers avec lequel aucun accord n'a été conclu sur la base de l'article 23 de la décision 2009/371/JAI ou de l'article 218 du traité sur le fonctionnement de l'Union européenne, ou qui ne fait pas l'objet d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), du présent règlement, Europol ne peut transmettre ces données qu'à un État membre ou à un pays tiers concerné avec lequel un tel accord a été conclu.

5. Europol ne peut pas transférer de données à caractère personnel à des parties privées sauf, au cas par cas, lorsque cela est strictement nécessaire et sous réserve de toute limitation éventuelle stipulée en vertu de l'article 19, paragraphe 2 ou 3, et sans préjudice de l'article 67, lorsque:

6. En ce qui concerne le paragraphe 5, points a) et b), du présent article, si la partie privée concernée n'est pas établie dans l'Union ou dans un pays avec lequel Europol a un accord de coopération autorisant l'échange de données à caractère personnel, ou avec lequel l'Union a conclu un accord international en application de l'article 218 du traité sur le fonctionnement de l'Union européenne, ou qui fait l'objet d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), du présent règlement, le transfert n'est autorisé que si ce transfert est:

7. Europol veille à ce qu'un relevé détaillé de tous les transferts de données à caractère personnel ainsi que des motifs de ces transferts soit conservé conformément au présent règlement et communiqué sur demande au CEPD en application de l'article 40.

8. Si les données à caractère personnel reçues ou qui doivent être transférées portent atteinte aux intérêts d'un État membre, Europol informe immédiatement l'unité nationale de l'État membre concerné.

9. Europol ne peut prendre contact avec des parties privées afin d'extraire des données à caractère personnel.

10. La Commission évalue la pratique des échanges directs de données à caractère personnel avec des parties privées au plus tard le 1er mai 2019.

1. Dans la mesure où cela est nécessaire à l'accomplissement de ses missions, Europol peut recevoir et traiter des informations émanant de particuliers. Europol ne peut traiter des données à caractère personnel émanant de particuliers qu'à condition de les avoir reçues par l'intermédiaire:

2. Si Europol reçoit des informations, y compris des données à caractère personnel, d'un particulier résidant dans un pays tiers avec lequel aucun accord international n'a été conclu sur la base de l'article 23 de la décision 2009/371/JAI ou de l'article 218 du traité sur le fonctionnement de l'Union européenne, ou qui ne fait pas l'objet d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), du présent règlement, Europol ne peut transmettre ces informations qu'à un État membre ou à un pays tiers concerné avec lequel un tel accord international a été conclu.

3. Si les données à caractère personnel reçues portent atteinte aux intérêts d'un État membre, Europol informe immédiatement l'unité nationale de l'État membre concerné.

4. Europol ne peut prendre contact avec des particuliers afin d'extraire des informations.

5. Sans préjudice des articles 36 et 37, Europol ne peut pas transférer de données à caractère personnel à des particuliers.

2. Europol met à la disposition du public un document exposant, sous une forme intelligible, les dispositions applicables en matière de traitement des données à caractère personnel et les moyens disponibles pour l'exercice des droits des personnes concernées.

1. La fiabilité de la source des informations émanant d'un État membre est évaluée, dans la mesure du possible, par l'État membre qui les fournit, en utilisant les codes d'évaluation des sources suivants:

2. L'exactitude des informations émanant d'un État membre est évaluée, dans la mesure du possible, par l'État membre qui les fournit, en utilisant les codes d'évaluation des informations suivants:

3. Lorsque, sur la base d'informations déjà en sa possession, Europol arrive à la conclusion qu'il y a lieu de corriger l'évaluation prévue au paragraphe 1 ou 2, elle en informe l'État membre concerné et cherche à s'entendre avec lui sur la modification à apporter à l'évaluation. Europol ne modifie pas l'évaluation sans cet accord.

4. Lorsqu'Europol reçoit d'un État membre des informations non assorties d'une évaluation conformément au paragraphe 1 ou 2, elle s'efforce d'évaluer la fiabilité de la source ou l'exactitude des informations sur la base des informations déjà en sa possession. L'évaluation de données ou d'informations spécifiques a lieu en accord avec l'État membre qui les a fournies. Un État membre peut aussi s'entendre avec Europol, en termes généraux, sur l'évaluation de types de données déterminés et de sources déterminées. En l'absence d'accord dans un cas particulier ou en l'absence d'accord en termes généraux, Europol évalue les informations ou les données et leur attribue les codes d'évaluation (X) et (4) visés, respectivement, aux paragraphes 1 et 2.

5. Le présent article s'applique mutatis mutandis lorsqu'Europol reçoit des données ou des informations d'un organe de l'Union, d'un pays tiers, d'une organisation internationale ou d'une partie privée.

6. Europol évalue les informations provenant de sources accessibles au public en utilisant les codes d'évaluation mentionnés aux paragraphes 1 et 2.

7. Si les informations résultent d'une analyse réalisée par Europol dans l'accomplissement de ses missions, Europol évalue ces informations conformément au présent article et en accord avec les États membres participant à l'analyse.

Traitement de catégories particulières de données à caractère personnel et de différentes catégories de personnes concernées

1. Le traitement de données à caractère personnel concernant des victimes d'infraction pénale, des témoins ou d'autres personnes pouvant fournir des informations sur des infractions pénales, ou concernant des personnes de moins de 18 ans, est autorisé s'il est strictement nécessaire et proportionné pour prévenir ou lutter contre les formes de criminalité relevant des objectifs d'Europol.

2. Le traitement de données à caractère personnel, par des moyens automatisés ou autres, qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale et le traitement de données génétiques ou de données relatives à la santé ou à la vie sexuelle d'une personne sont interdits, à moins qu'ils ne soient strictement nécessaires et proportionnés pour prévenir ou lutter contre les formes de criminalité relevant des objectifs d'Europol et à moins que ces données ne complètent d'autres données à caractère personnel traitées par Europol. La sélection d'un groupe particulier de personnes sur la seule base de ces données à caractère personnel est interdite.

3. Europol a l'exclusivité de l'accès direct aux données à caractère personnel visées aux paragraphes 1 et 2. Le directeur exécutif autorise dûment un nombre limité de fonctionnaires d'Europol à avoir cet accès s'il est nécessaire à l'exécution de leurs tâches.

4. Aucune décision d'une autorité compétente produisant des effets juridiques défavorables à l'égard d'une personne concernée ne peut se fonder exclusivement sur le traitement automatisé des données visées au paragraphe 2, sauf si cette décision est expressément autorisée en vertu du droit national ou du droit de l'Union.

5. Les données à caractère personnel visées aux paragraphes 1 et 2 ne sont pas transmises à des États membres, à des organes de l'Union, vers des pays tiers ou à des organisations internationales, à moins que cette transmission ne soit strictement nécessaire et proportionnée dans des cas particuliers concernant des formes de criminalité relevant des objectifs d'Europol et que cela ne soit conforme au chapitre V.

6. Tous les ans, Europol fournit au CEPD un aperçu statistique de toutes les données à caractère personnel visées au paragraphe 2 qu'elle a traitées.

Délais pour la conservation et l'effacement des données à caractère personnel

1. Les données à caractère personnel traitées par Europol ne sont conservées par celle-ci que pour la durée nécessaire et proportionnée aux finalités pour lesquelles ces données sont traitées.

2. Europol réexamine, en toute hypothèse, la nécessité de continuer à conserver les données à caractère personnel au plus tard trois ans après le début de leur traitement initial. Europol peut décider de continuer à conserver des données à caractère personnel jusqu'à l'examen suivant, qui a lieu à l'issue d'une nouvelle période de trois ans, si leur conservation reste nécessaire pour lui permettre de remplir ses missions. Les raisons de continuer à conserver les données sont justifiées et consignées. En l'absence de décision de conserver plus longtemps des données à caractère personnel, celles-ci sont effacées automatiquement après trois ans.

3. Si des données à caractère personnel visées à l'article 30, paragraphes 1 et 2, sont conservées pendant une durée supérieure à cinq ans, le CEPD en est informé.

4. Lorsqu'un État membre, un organe de l'Union, un pays tiers ou une organisation internationale a fait part, lors du transfert d'informations, d'une quelconque limitation en ce qui concerne l'effacement ou la destruction anticipé(e) des données à caractère personnel, conformément à l'article 19, paragraphe 2, Europol efface lesdites données conformément à ces limitations. Si, sur la base d'informations plus larges que celles en possession du fournisseur de données, il est jugé nécessaire de continuer à conserver des données pour qu'Europol puisse remplir ses missions, Europol sollicite auprès du fournisseur de données, en justifiant sa demande, l'autorisation de continuer à conserver les données.

5. Lorsqu'un État membre, un organe de l'Union, un pays tiers ou une organisation internationale efface de ses propres fichiers de données des données à caractère personnel fournies à Europol, il ou elle en informe cette dernière. Europol efface les données sauf si, sur la base d'informations plus larges que celles en possession du fournisseur de données, il est jugé nécessaire de continuer à conserver lesdites données pour qu'Europol puisse remplir ses missions. Europol informe le fournisseur de données du maintien de la conservation de ces données, en justifiant celui-ci.

1. Europol met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle ou la divulgation, la modification et l'accès non autorisés, ou contre toute autre forme de traitement non autorisé.

2. En ce qui concerne le traitement automatisé de données, Europol et chaque État membre mettent en œuvre les mesures qui sont propres à:

3. Europol et les États membres définissent des mécanismes pour que les besoins en matière de sécurité soient pris en compte au-delà des limites des systèmes d'information.

Europol met en œuvre les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement des données soit conforme au présent règlement et protège les droits des personnes concernées.

Notification aux autorités concernées d'une violation de données à caractère personnel

1. En cas de violation de données à caractère personnel, Europol en informe le CEPD ainsi que les autorités compétentes des États membres concernés, sans retard injustifié, conformément aux conditions fixées à l'article 7, paragraphe 5, ainsi que le fournisseur de données concerné.

3. Europol documente toute violation de données à caractère personnel, y compris le contexte, les effets de la violation et les mesures prises pour y remédier, permettant ainsi au CEPD de vérifier le respect du présent article.

Communication à la personne concernée d'une violation de données à caractère personnel

1. Sous réserve du paragraphe 4 du présent article, lorsque la violation de données à caractère personnel visée à l'article 34 risque de porter gravement atteinte aux droits et aux libertés de la personne concernée, Europol communique la violation de données à caractère personnel sans retard injustifié à la personne concernée.

2. La communication à la personne concernée visée au paragraphe 1 décrit, si possible, la nature de la violation des données à caractère personnel, recommande des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel et contient l'identité et les coordonnées du délégué à la protection des données.

3. Si Europol n'a pas les coordonnées de la personne concernée, elle demande au fournisseur de données de communiquer la violation des données à caractère personnel à la personne concernée et d'être informée de la décision prise. Les États membres qui fournissent les données communiquent la violation à la personne concernée conformément aux procédures prévues par leur droit national.

4. La communication à la personne concernée d'une violation de données à caractère personnel n'est pas nécessaire si:

5. La communication à la personne concernée peut être retardée, limitée ou omise lorsque, en tenant dûment compte des intérêts légitimes de la personne concernée, cela constitue une mesure nécessaire pour:

1. Toute personne concernée est en droit d'être informée, à des intervalles raisonnables, du fait que des données à caractère personnel la concernant sont traitées par Europol.

2. Sans préjudice du paragraphe 5, Europol fournit à la personne concernée les informations suivantes:

3. Toute personne concernée souhaitant exercer le droit d'accès à des données à caractère personnel la concernant peut introduire, sans encourir de coûts excessifs, une demande à cet effet auprès de l'autorité compétente dans l'État membre de son choix. Cette autorité la fait suivre sans retard à Europol et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande.

4. Europol confirme la réception de la demande introduite en vertu du paragraphe 3. Europol répond à la demande sans retard injustifié et, en tout état de cause, dans un délai de trois mois à compter de la réception par Europol de la demande de l'autorité nationale.

5. Europol consulte les autorités compétentes des États membres, conformément aux conditions définies à l'article 7, paragraphe 5, et le fournisseur de données concerné sur la décision à prendre. La décision d'accorder l'accès à des données à caractère personnel est subordonnée à une étroite coopération entre Europol et les États membres et le fournisseur de données directement concerné par l'accès de la personne concernée à ces données. Si un État membre ou le fournisseur de données s'oppose à la réponse proposée par Europol, il en notifie les motifs à cette dernière conformément au paragraphe 6 du présent article. Europol tient le plus grand compte de cette opposition. Europol notifie ensuite sa décision aux autorités compétentes concernées, conformément aux conditions définies à l'article 7, paragraphe 5, et au fournisseur de données.

6. La communication d'informations en réponse à toute demande au titre du paragraphe 1 peut être refusée ou limitée si ce refus ou cette limitation constitue une mesure nécessaire pour:

Lors de l'évaluation de l'applicabilité d'une dérogation, les droits fondamentaux et les intérêts de la personne concernée sont pris en compte.

7. En cas de refus ou de limitation de l'accès, Europol informe par écrit la personne concernée des motifs d'une telle décision et de son droit d'introduire une réclamation auprès du CEPD. Lorsque la communication de telles informations priverait d'effet le paragraphe 6, Europol informe uniquement la personne concernée qu'elle a effectué les vérifications, sans lui donner d'indications pouvant lui permettre de savoir si Europol traite ou non des données à caractère personnel la concernant.

1. Toute personne concernée ayant eu accès à des données à caractère personnel la concernant traitées par Europol conformément à l'article 36 a le droit de demander à Europol par l'intermédiaire de l'autorité désignée à cette fin dans l'État membre de son choix de rectifier des données à caractère personnel la concernant détenues par Europol si elles sont entachées d'erreur et de les compléter ou de les mettre à jour. Cette autorité fait suivre la demande à Europol sans délai et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande.

2. Toute personne concernée ayant eu accès à des données à caractère personnel la concernant traitées par Europol conformément à l'article 36 a le droit de demander à Europol, par l'intermédiaire de l'autorité désignée à cette fin dans l'État membre de son choix, l'effacement de données à caractère personnel la concernant détenues par Europol si elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ou sont traitées ultérieurement. Cette autorité fait suivre la demande à Europol sans retard et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande.

3. Europol soumet à limitation plutôt qu'elle n'efface les données à caractère personnel visées au paragraphe 2 lorsqu'il y a de bonnes raisons de croire que leur effacement pourrait porter atteinte aux intérêts légitimes de la personne concernée. Les données soumises à limitation ne sont traitées que pour les finalités qui ont empêché leur effacement.

4. Si des données à caractère personnel visées aux paragraphes 1, 2 et 3 détenues par Europol lui ont été fournies par des pays tiers, des organisations internationales ou des organes de l'Union, ont été fournies directement par des parties privées ou si elles ont été extraites par Europol auprès de sources accessibles au public ou résultent de ses propres analyses, Europol rectifie, efface ou soumet à limitation ces données et informe, le cas échéant, les fournisseurs de données.

5. Si des données à caractère personnel visées aux paragraphes 1, 2 et 3 détenues par Europol lui ont été fournies par des États membres, les États membres concernés rectifient, effacent ou soumettent à limitation ces données en collaboration avec Europol, dans le cadre de leurs compétences respectives.

6. Si des données à caractère personnel entachées d'erreur ont été transférées par un autre moyen approprié, ou si les erreurs que comportent les données fournies par les États membres sont dues à un transfert entaché d'erreur ou à un transfert effectué en violation du présent règlement, ou si elles proviennent d'une introduction, d'une reprise ou d'un stockage de données incorrect ou contraire au présent règlement effectué par Europol, Europol est tenu de rectifier ces données ou de les effacer en collaboration avec le fournisseur de données concerné.

7. Dans les cas visés aux paragraphes 4, 5 et 6, tous les destinataires des données concernées sont informés immédiatement. Ces destinataires procèdent alors à la rectification, à l'effacement ou à la limitation de ces données dans leur propre système, selon les règles qui leur sont applicables.

8. Europol informe la personne concernée par écrit, sans retard injustifié, et, en tout état de cause, dans un délai de trois mois à compter de la réception de la demande reçue conformément au paragraphe 1 ou 2, qu'il a été procédé à la rectification, à l'effacement ou à la limitation de données la concernant.

9. Dans un délai de trois mois à compter de la réception de la demande conformément au paragraphe 1 ou 2, Europol informe par écrit la personne concernée de tout refus de rectification, d'effacement ou de limitation, des motifs de ce refus ainsi que de la possibilité d'introduire une réclamation auprès du CEPD et de former un recours juridictionnel.

1. Europol conserve les données à caractère personnel d'une manière permettant d'établir leur source, visée à l'article 17.

2. La responsabilité de la qualité des données à caractère personnel, telle que visée à l'article 28, paragraphe 1, point d), incombe:

3. Si Europol constate que des données à caractère personnel fournies en vertu de l'article 17, paragraphe 1, points a) et b), sont entachées d'erreur de fait ou ont été stockées de façon illicite, elle en informe le fournisseur de données concerné.

4. Europol est responsable du respect des principes visés à l'article 28, paragraphe 1, points a), b), c), e) et f).

6. Dans le cas d'un transfert entre Europol et un organe de l'Union, la responsabilité de la légalité du transfert incombe à Europol.

Sans préjudice du premier alinéa, lorsque les données sont transférées par Europol sur demande du destinataire, la responsabilité de la légalité de ce transfert incombe tant à Europol qu'au destinataire.

7. Europol assume la responsabilité de toutes les opérations de traitement de données qu'elle effectue, à l'exception des échanges bilatéraux de données réalisés par l'intermédiaire de ses infrastructures entre des États membres, des organes de l'Union, des pays tiers et des organisations internationales auxquels elle n'a pas accès. Ces échanges bilatéraux ont lieu sous la responsabilité des entités concernées et conformément à leur droit. La sécurité de ces échanges est assurée conformément à l'article 32.

1. Tout nouveau type d'opérations de traitement à effectuer fait l'objet d'une consultation préalable lorsque:

2. La consultation préalable est effectuée par le CEPD après réception d'une notification du délégué à la protection des données qui contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et les libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties et les mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées par les données et d'autres personnes concernées.

3. Le CEPD rend son avis au conseil d'administration dans les deux mois qui suivent la réception de la notification. Ce délai peut être suspendu jusqu'à ce que le CEPD ait obtenu les informations complémentaires éventuellement demandées.

Si, de l'avis du CEPD, le traitement notifié risque d'entraîner une violation d'une disposition du présent règlement, il formule, s'il y a lieu, des propositions en vue d'éviter cette violation. Si Europol ne modifie pas l'opération de traitement en conséquence, le CEPD peut exercer les pouvoirs qui lui sont conférés à l'article 43, paragraphe 3.

4. Le CEPD tient un registre de toutes les opérations de traitement qui lui sont notifiées en vertu du paragraphe 1. Ce registre n'est pas rendu public.

1. À des fins de vérification de la licéité du traitement des données, d'autocontrôle et de garantie de l'intégrité et de la sécurité des données, Europol établit des relevés de la collecte, de la modification, de l'accès, de la divulgation, de la combinaison ou de l'effacement des données à caractère personnel. Ces journaux ou cette documentation sont effacés au bout de trois ans, sauf si les données qu'ils contiennent restent nécessaires à un contrôle en cours. Il n'existe pas de possibilité de modifier les journaux.

2. Les journaux ou la documentation établis en vertu du paragraphe 1 sont transmis sur demande au CEPD, au délégué à la protection des données et, si cela est nécessaire dans le cadre d'une enquête particulière, à l'unité nationale concernée. Les informations ainsi communiquées ne sont utilisées que pour contrôler la protection des données et garantir le traitement approprié des données, ainsi que leur intégrité et leur sécurité.

1. Le conseil d'administration nomme un délégué à la protection des données, qui est un membre du personnel. Dans l'exercice de ses fonctions, il agit en toute indépendance.

2. Le délégué à la protection des données est choisi en fonction de ses qualités personnelles et professionnelles et, en particulier, de ses connaissances spécialisées dans le domaine de la protection des données.

Il est veillé lors du choix du délégué à la protection des données à ce que l'exercice de la fonction qu'il exerce en cette qualité et de toute autre fonction officielle qu'il pourrait exercer, en particulier dans le cadre de l'application du présent règlement, ne puisse donner lieu à un conflit d'intérêts.

3. Le délégué à la protection des données est nommé pour une période de quatre ans. Son mandat peut être renouvelé, la durée totale ne pouvant toutefois dépasser huit ans. Le délégué à la protection des données ne peut être démis de ses fonctions par le conseil d'administration qu'avec le consentement du CEPD, s'il ne remplit plus les conditions requises pour l'exercice de ses fonctions.

4. Après la nomination du délégué à la protection des données, le nom de ce dernier est communiqué au CEPD par le conseil d'administration.

5. Le délégué à la protection des données ne reçoit aucune instruction dans l'exercice de ses fonctions.

6. Le délégué à la protection des données remplit notamment les fonctions suivantes en ce qui concerne les données à caractère personnel, à l'exception des données administratives à caractère personnel:

7. Le délégué à la protection des données exerce en outre les fonctions prévues par le règlement (CE) no 45/2001 en ce qui concerne les données administratives à caractère personnel.

8. Dans l'accomplissement de ses missions, le délégué à la protection des données a accès à toutes les données traitées par Europol ainsi qu'à tous les locaux d'Europol.

9. Si le délégué à la protection des données estime que les dispositions du présent règlement en matière de traitement des données à caractère personnel n'ont pas été respectées, il en informe le directeur exécutif et lui demande d'y remédier dans un délai déterminé.

Si le directeur exécutif ne résout pas le problème dans le délai imparti, le délégué à la protection des données en informe le conseil d'administration. Le délégué à la protection des données et le conseil d'administration conviennent d'un délai déterminé pour qu'une solution soit trouvée par ce dernier. Si le conseil d'administration ne résout pas le problème dans le délai imparti, le délégué à la protection des données saisit le CEPD.

10. Le conseil d'administration adopte des dispositions d'application concernant le délégué à la protection des données. Ces dispositions d'application portent notamment sur la procédure de sélection et la révocation, les missions, les fonctions et les compétences du délégué à la protection des données, ainsi que sur les moyens de garantir son indépendance.

11. Europol affecte au délégué à la protection des données le personnel et les ressources nécessaires à l'exercice de ses fonctions. Ce personnel n'a accès à l'ensemble des données traitées au sein d'Europol et aux locaux d'Europol que dans la mesure nécessaire à l'exécution de ses tâches.

12. Le délégué à la protection des données et son personnel sont tenus à l'obligation de confidentialité conformément à l'article 67, paragraphe 1.

1. Chaque État membre désigne une autorité de contrôle nationale. L'autorité de contrôle nationale est chargée de contrôler, en toute indépendance et conformément à son droit national, que le transfert, l'extraction et toute communication à Europol de données à caractère personnel par l'État membre concerné sont licites et d'examiner si un tel transfert, une telle extraction ou une telle communication viole les droits des personnes concernées. À cette fin, l'autorité de contrôle nationale a accès, auprès de l'unité nationale ou dans les locaux des officiers de liaison, aux données transmises à Europol par son État membre selon les procédures nationales applicables ainsi qu'aux journaux et à la documentation visés à l'article 40.

2. Pour exercer leur fonction de contrôle, les autorités de contrôle nationales ont accès aux bureaux et aux dossiers de leurs officiers de liaison respectifs au sein d'Europol.

3. Les autorités de contrôle nationales contrôlent, conformément aux procédures nationales applicables, les activités que mènent les unités nationales et celles des officiers de liaison, dans la mesure où ces activités concernent la protection des données à caractère personnel. Elles tiennent aussi le CEPD informé de toutes les mesures qu'elles prennent à l'égard d'Europol.

4. Toute personne a le droit de demander à l'autorité de contrôle nationale de s'assurer de la licéité de tout transfert ou de toute communication à Europol, sous quelque forme que ce soit, de données la concernant et de l'accès à ces données par l'État membre concerné. Ce droit est exercé conformément au droit national de l'État membre auprès duquel la demande est introduite.

1. Le CEPD est chargé de surveiller et de garantir l'application des dispositions du présent règlement concernant la protection des libertés et des droits fondamentaux des personnes physiques à l'égard des traitements de données à caractère personnel effectués par Europol, ainsi que de conseiller Europol et les personnes concernées sur toutes les questions concernant le traitement des données à caractère personnel. À ces fins, il exerce les fonctions définies au paragraphe 2 et les pouvoirs énoncés au paragraphe 3, tout en coopérant étroitement avec les autorités de contrôle nationales conformément à l'article 44.

5. Le CEPD établit un rapport annuel sur les activités de contrôle portant sur Europol, après consultation des autorités de contrôle nationales. Ce rapport est intégré au rapport annuel du CEPD visé à l'article 48 du règlement (CE) no 45/2001.

Ce rapport comprend des informations statistiques concernant les réclamations, les recherches et les enquêtes traitées conformément au paragraphe 2, ainsi que les transferts de données à caractère personnel vers des pays tiers et à des organisations internationales, les cas de consultation préalable et l'utilisation des pouvoirs énoncés au paragraphe 3.

6. LE CEPD, les fonctionnaires et les autres agents du secrétariat du CEPD sont tenus à l'obligation de confidentialité prévue à l'article 67, paragraphe 1.

1. Le CEPD agit en étroite coopération avec les autorités de contrôle nationales dans des domaines exigeant une participation nationale, notamment si lui-même ou une autorité de contrôle nationale constate des divergences majeures entre les pratiques des États membres ou des transferts potentiellement illicites dans l'utilisation des canaux d'échange d'informations d'Europol, ou dans le cadre de questions soulevées par une ou plusieurs autorités de contrôle nationales sur la mise en œuvre et l'interprétation du présent règlement.

2. Le CEPD recourt à l'expertise et à l'expérience des autorités de contrôle nationales dans l'exercice de ses fonctions décrites à l'article 43, paragraphe 2. Lorsqu'ils effectuent des inspections communes en collaboration avec le CEPD, les membres et le personnel des autorités de contrôle nationales, dans le respect des principes de subsidiarité et de proportionnalité, disposent de pouvoirs équivalents à ceux prévus à l'article 43, paragraphe 4, et sont tenus à une obligation équivalente à celle prévue à l'article 43, paragraphe 6. Le CEPD et les autorités de contrôle nationales, agissant dans le cadre de leurs compétences respectives, échangent les informations utiles et s'assistent mutuellement pour mener les audits et inspections.

3. Le CEPD tient les autorités de contrôle nationales pleinement informées de toute question les touchant directement ou les concernant de quelque manière que ce soit. À la demande d'une ou de plusieurs autorités de contrôle nationales, le CEPD fournit auxdites autorités des informations sur des questions particulières.

4. Dans certains cas portant sur des données provenant d'un ou de plusieurs États membres, y compris les cas visés à l'article 47, paragraphe 2, le CEPD consulte les autorités de contrôle nationales concernées. Le CEPD ne décide pas des suites à donner avant que ces autorités de contrôle nationales ne l'aient informé de leur avis, dans un délai qu'il précise et qui ne peut être inférieur à un mois ni supérieur à trois mois. Le CEPD tient le plus grand compte des avis respectifs des autorités de contrôle nationales concernées. Lorsque le CEPD a l'intention de ne pas se conformer à l'avis d'une autorité de contrôle nationale, il en informe ladite autorité, lui fournit une justification et soumet la question pour discussion au comité de coopération créé par l'article 45, paragraphe 1.

Lorsque le CEPD juge qu'un dossier est extrêmement urgent, il peut décider de prendre des mesures immédiates. Le CEPD informe alors immédiatement les autorités de contrôle nationales concernées et justifie le caractère urgent de la situation, ainsi que la mesure qu'il a prise.

1. Un comité de coopération ayant une fonction consultative est créé. Il est composé d'un représentant de l'autorité de contrôle nationale de chaque État membre et du CEPD.

2. Le comité de coopération s'acquitte en toute indépendance des missions dont il est chargé en vertu du paragraphe 3 et ne sollicite ni n'accepte aucune instruction d'aucun organe.

4. Le comité de coopération peut formuler des avis, des lignes directrices, des recommandations et des bonnes pratiques. Le CEPD et les autorités de contrôle nationales, agissant sans préjudice de leur indépendance et dans le cadre de leurs compétences respectives, tiennent le plus grand compte de ceux-ci.

5. Le comité de coopération se réunit en tant que de besoin et au moins deux fois par an. Le coût et l'organisation de ses réunions sont à la charge du CEPD.

6. Le règlement intérieur du comité de coopération est adopté lors de la première réunion à la majorité simple de ses membres. D'autres méthodes de travail sont mises au point d'un commun accord, en fonction des besoins.

Le règlement (CE) no 45/2001 s'applique à toutes les données administratives à caractère personnel détenues par Europol.

1. Toute personne concernée a le droit d'introduire une réclamation auprès du CEPD si elle estime que le traitement, par Europol, de données à caractère personnel la concernant n'est pas conforme au présent règlement.

2. Lorsque la réclamation concerne une décision visée à l'article 36 ou 37, le CEPD consulte les autorités de contrôle nationales de l'État membre qui a fourni les données ou l'État membre directement concerné. La décision du CEPD, qui peut aller jusqu'au refus de communication d'informations, est prise en tenant compte de l'avis de l'autorité de contrôle nationale.

3. Lorsque la réclamation concerne le traitement de données fournies à Europol par un État membre, le CEPD et l'autorité de contrôle nationale de l'État membre qui a fourni les données, agissant dans le cadre de leurs compétences respectives, s'assurent que les contrôles nécessaires de la licéité du traitement des données ont été correctement effectués.

4. Lorsque la réclamation concerne le traitement de données fournies à Europol par un organe de l'Union, un pays tiers ou une organisation internationale, ou de données extraites par Europol auprès de sources accessibles au public ou résultant de ses propres analyses, le CEPD s'assure qu'Europol a correctement effectué les contrôles nécessaires de la licéité du traitement des données.

Toute décision du CEPD peut faire l'objet d'un recours devant la Cour de justice de l'Union européenne.

1. La responsabilité contractuelle d'Europol est régie par la législation applicable au contrat en question.

2. La Cour de justice de l'Union européenne est compétente pour statuer en vertu de toute clause compromissoire contenue dans un contrat conclu par Europol.

3. Sans préjudice de l'article 49, en matière de responsabilité extracontractuelle, Europol, conformément aux principes généraux communs aux droits des États membres, répare tout dommage causé par ses services ou par son personnel dans l'exercice de leurs fonctions.

4. La Cour de justice de l'Union européenne est compétente pour connaître des litiges concernant la réparation des dommages visés au paragraphe 3.

5. La responsabilité personnelle des membres du personnel d'Europol envers Europol est régie par les dispositions du statut ou du régime applicable aux autres agents qui leur sont applicables.

Responsabilité du fait d'un traitement incorrect de données et droit à réparation

1. Toute personne physique ayant subi un dommage du fait d'une opération de traitement de données illicite a le droit d'obtenir réparation du préjudice subi, soit d'Europol conformément à l'article 340 du traité sur le fonctionnement de l'Union européenne, soit de l'État membre où le fait dommageable s'est produit, conformément à son droit national. La personne physique forme un recours contre Europol devant la Cour de justice de l'Union européenne ou contre l'État membre devant une juridiction nationale compétente de cet État membre.

2. Le conseil d'administration est saisi de tout litige entre Europol et les États membres quant à la responsabilité ultime en matière de réparation accordée à une personne physique conformément au paragraphe 1, lequel statue à la majorité des deux tiers de ses membres, sans préjudice du droit de former un recours contre cette décision conformément à l'article 263 du traité sur le fonctionnement de l'Union européenne.

1. En application de l'article 88 du traité sur le fonctionnement de l'Union européenne, le contrôle des activités d'Europol est effectué par le Parlement européen, avec les parlements nationaux. Ils constituent un groupe de contrôle parlementaire conjoint spécialisé, établi ensemble par les parlements nationaux et la commission compétente du Parlement européen. L'organisation et le règlement intérieur du groupe de contrôle parlementaire conjoint sont définis par le Parlement européen et les parlements nationaux ensemble, conformément à l'article 9 du protocole no 1.

2. Le groupe de contrôle parlementaire conjoint assure le contrôle politique des activités d'Europol dans l'accomplissement de sa mission, y compris en ce qui concerne leur incidence sur les libertés et les droits fondamentaux des personnes physiques.

3. Europol transmet les documents suivants au groupe de contrôle parlementaire conjoint pour information, dans le respect des obligations de réserve et de confidentialité:

4. Le groupe de contrôle parlementaire conjoint peut demander d'autres documents pertinents nécessaires à l'exécution de ses missions relatives au contrôle politique des activités d'Europol, sous réserve du règlement (CE) no 1049/2001 du Parlement européen et du Conseil (23) et sans préjudice des articles 52 et 67 du présent règlement.

5. Le groupe de contrôle parlementaire conjoint peut établir des conclusions sommaires concernant le contrôle politique des activités d'Europol et soumettre ces conclusions au Parlement européen et aux parlements nationaux. Le Parlement européen les transmet pour information au Conseil, à la Commission et à Europol.

Accès du Parlement européen aux informations traitées par Europol ou par son intermédiaire

1. Pour permettre au Parlement européen d'exercer le contrôle parlementaire sur les activités d'Europol conformément à l'article 51, l'accès du Parlement européen aux informations sensibles non classifiées traitées par Europol ou par son intermédiaire qui lui est octroyé, à sa demande, est conforme aux règles visées à l'article 67, paragraphe 1.

2. L'accès du Parlement européen aux informations classifiées de l'UE traitées par Europol ou par son intermédiaire est conforme à l'accord interinstitutionnel du 12 mars 2014 entre le Parlement européen et le Conseil relatif à la transmission au Parlement européen et au traitement par celui-ci des informations classifiées détenues par le Conseil concernant d'autres questions que celles relevant de la politique étrangère et de sécurité commune (24) et aux règles visées à l'article 67, paragraphe 2, du présent règlement.

3. Les modalités nécessaires de l'accès du Parlement européen aux informations visées aux paragraphes 1 et 2 sont régies par les arrangements de travail conclus entre Europol et le Parlement européen.

1. Le statut et le régime applicable aux autres agents, ainsi que les règles adoptées par accord entre les institutions de l'Union visant à donner effet au statut et au régime applicable aux autres agents, s'appliquent au personnel d'Europol, à l'exception du personnel qui, au 1er mai 2017, est lié par un contrat d'engagement conclu par Europol tel qu'institué par la convention Europol, sans préjudice de l'article 73, paragraphe 4, du présent règlement. Ces contrats continuent à être régis par l'acte du Conseil du 3 décembre 1998.

2. Le personnel d'Europol se compose d'agents temporaires et/ou contractuels. Le conseil d'administration est informé une fois par an des contrats à durée indéterminée octroyés par le directeur exécutif. Le conseil d'administration décide quels sont les postes temporaires prévus au tableau des effectifs qui ne peuvent être occupés que par du personnel des autorités compétentes des États membres. Le personnel recruté pour occuper ces postes est composé d'agents temporaires et ne peut se voir octroyer que des contrats à durée déterminée, renouvelables une fois pour une période déterminée.

1. Le directeur exécutif est engagé en qualité d'agent temporaire d'Europol au titre de l'article 2, point a), du régime applicable aux autres agents.

2. Le directeur exécutif est nommé par le Conseil, sur la base d'une liste restreinte de candidats proposée par le comité de sélection, à la suite d'une procédure de sélection ouverte et transparente.

La liste restreinte est dressée par un comité de sélection établi par le conseil d'administration et composé de membres désignés par les États membres et d'un représentant de la Commission.

Aux fins de la conclusion d'un contrat avec le directeur exécutif, Europol est représentée par le président du conseil d'administration.

Avant d'être nommé, le candidat retenu par le Conseil peut être invité à se présenter devant la commission compétente du Parlement européen, qui rend ensuite un avis non contraignant.

3. Le mandat du directeur exécutif est de quatre ans. Au terme de cette période, la Commission, en association avec le conseil d'administration, procède à une évaluation qui tient compte:

4. Le Conseil, statuant sur une proposition du conseil d'administration qui tient compte de l'évaluation visée au paragraphe 3, peut prolonger une fois le mandat du directeur exécutif, et ce pour une durée n'excédant pas quatre ans.

5. Le conseil d'administration informe le Parlement européen de son intention de proposer au Conseil de prolonger le mandat du directeur exécutif. Dans le mois précédant cette prolongation, le directeur exécutif peut être invité à se présenter devant la commission compétente du Parlement européen.

6. Un directeur exécutif dont le mandat a été prolongé ne participe pas à une autre procédure de sélection pour le même poste à la fin de la période globale.

7. Le directeur exécutif ne peut être démis de ses fonctions que sur décision du Conseil, statuant sur proposition du conseil d'administration. Le Parlement européen est informé de cette décision.

8. Le conseil d'administration statue sur les propositions à présenter au Conseil concernant la nomination, la prolongation du mandat ou la révocation du directeur exécutif à la majorité des deux tiers de ses membres ayant voix délibérative.

1. Le directeur exécutif est assisté par trois directeurs exécutifs adjoints. Le directeur exécutif définit leurs missions.

2. L'article 54 s'applique aux directeurs exécutifs adjoints. Le directeur exécutif est consulté préalablement à leur nomination, à la prolongation de leur mandat ou à leur révocation.

2. Le conseil d'administration adopte une décision établissant le régime applicable aux experts nationaux détachés auprès d'Europol.

1. Toutes les recettes et dépenses d'Europol font l'objet de prévisions pour chaque exercice, qui coïncide avec l'année civile, et sont inscrites au budget d'Europol.

3. Sans préjudice d'autres ressources, les recettes d'Europol comprennent une contribution de l'Union inscrite au budget général de l'Union.

4. Europol peut bénéficier d'un financement de l'Union sous la forme de conventions de délégation ou de subventions ad hoc conformément aux règles financières visées à l'article 61 et aux dispositions des instruments pertinents appuyant les politiques de l'Union.

5. Les dépenses d'Europol comprennent la rémunération du personnel, les dépenses administratives et d'infrastructure et les frais de fonctionnement.

6. Les engagements budgétaires portant sur des actions relatives à des projets à grande échelle qui s'étendent sur plus d'un exercice financier peuvent être fractionnés en plusieurs tranches annuelles.

1. Chaque année, le directeur exécutif établit un projet d'état prévisionnel des recettes et des dépenses d'Europol pour l'exercice suivant, comprenant le tableau des effectifs, et le transmet au conseil d'administration.

2. Le conseil d'administration, sur la base de ce projet d'état prévisionnel, adopte un projet d'état prévisionnel des recettes et des dépenses d'Europol pour l'exercice suivant et le transmet à la Commission au plus tard le 31 janvier de chaque année.

3. Le conseil d'administration transmet la version définitive de l'état prévisionnel des recettes et des dépenses d'Europol, qui comporte un projet de tableau des effectifs, au Parlement européen, au Conseil et à la Commission au plus tard le 31 mars de chaque année.

4. La Commission transmet l'état prévisionnel au Parlement européen et au Conseil, en même temps que le projet de budget général de l'Union.

5. Sur la base de l'état prévisionnel, la Commission inscrit dans le projet de budget général de l'Union les prévisions qu'elle estime nécessaires pour l'établissement du tableau des effectifs et le montant de la contribution à charge du budget général, et saisit le Parlement européen et le Conseil conformément aux articles 313 et 314 du traité sur le fonctionnement de l'Union européenne.

6. Le Parlement européen et le Conseil autorisent les crédits au titre de la contribution de l'Union destinée à Europol.

7. Le Parlement européen et le Conseil adoptent le tableau des effectifs d'Europol.

8. Le budget d'Europol est arrêté par le conseil d'administration. Il devient définitif après l'adoption définitive du budget général de l'Union. Si nécessaire, il est ajusté en conséquence.

9. Le règlement délégué (UE) no 1271/2013 s'applique à tout projet de construction susceptible d'avoir des incidences notables sur le budget d'Europol.

2. Le directeur exécutif transmet annuellement au Parlement européen et au Conseil toute information pertinente au sujet des résultats de toute procédure d'évaluation.

1. Le comptable d'Europol transmet les comptes provisoires de l'exercice (ci-après dénommé «année N») au comptable de la Commission et à la Cour des comptes au plus tard le 1er mars de l'exercice suivant (ci-après dénommé «année N + 1»).

2. Europol transmet un rapport sur la gestion budgétaire et financière de l'année N au Parlement européen, au Conseil et à la Cour des comptes au plus tard le 31 mars de l'année N + 1.

3. Le comptable de la Commission transmet à la Cour des comptes les comptes provisoires d'Europol de l'année N, consolidés avec les comptes de la Commission, au plus tard le 31 mars de l'année N + 1.

4. Dès réception des observations formulées par la Cour des comptes sur les comptes provisoires d'Europol de l'année N en vertu de l'article 148 du règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil (25), le comptable d'Europol établit les comptes définitifs d'Europol pour ladite année. Le directeur exécutif les soumet ensuite pour avis au conseil d'administration.

5. Le conseil d'administration rend un avis sur les comptes définitifs d'Europol pour l'année N.

6. Au plus tard le 1er juillet de l'année N + 1, le comptable d'Europol transmet les comptes définitifs de l'année N, accompagnés de l'avis du conseil d'administration visé au paragraphe 5, au Parlement européen, au Conseil, à la Commission, à la Cour des comptes et aux parlements nationaux.

7. Les comptes définitifs pour l'année N sont publiés au Journal officiel de l'Union européenne au plus tard le 15 novembre de l'année N + 1.

8. Le directeur exécutif adresse à la Cour des comptes, au plus tard le 30 septembre de l'année N + 1, une réponse aux observations formulées par celle-ci dans son rapport annuel. Il transmet également cette réponse au conseil d'administration.

9. Le directeur exécutif soumet au Parlement européen, à la demande de celui-ci, toute information nécessaire au bon déroulement de la procédure de décharge pour l'année N, comme prévu à l'article 109, paragraphe 3, du règlement délégué (UE) no 1271/2013.

10. Sur recommandation du Conseil statuant à la majorité qualifiée, le Parlement européen donne décharge au directeur exécutif sur l'exécution du budget de l'exercice N avant le 15 mai de l'année N + 2.

1. Les règles financières applicables à Europol sont adoptées par le conseil d'administration après consultation de la Commission. Elles ne s'écartent du règlement délégué (UE) no 1271/2013 que si les exigences spécifiques du fonctionnement d'Europol le nécessitent et avec l'accord préalable de la Commission.

2. Europol peut octroyer des fonds liés à l'accomplissement de missions visées à l'article 4.

3. Europol peut octroyer des fonds sans appel à propositions aux États membres pour leur permettre de mener leurs opérations et leurs enquêtes transfrontalières et de dispenser des formations en rapport avec les missions visées à l'article 4, paragraphe 1, points h) et i).

4. En ce qui concerne le soutien financier à apporter aux équipes communes d'enquête, Europol et Eurojust établissent conjointement les règles et les conditions selon lesquelles les demandes de soutien sont traitées.

1. Europol est une agence de l'Union. Elle est dotée de la personnalité juridique.

2. Dans chaque État membre, Europol possède la capacité juridique la plus large reconnue aux personnes morales par le droit national. Europol peut, notamment, acquérir et aliéner des biens immobiliers et mobiliers et ester en justice.

3. Conformément au protocole no 6 sur la fixation des sièges des institutions et de certains organes, organismes et services de l'Union européenne annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne (ci-après dénommé «protocole no 6»), le siège d'Europol est fixé à La Haye.

1. Le protocole no 7 sur les privilèges et immunités de l'Union européenne, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, s'applique à Europol ainsi qu'à son personnel.

2. Les privilèges et immunités des officiers de liaison et des membres de leurs familles font l'objet d'un accord entre le Royaume des Pays-Bas et les autres États membres. Cet accord prévoit les privilèges et immunités nécessaires au bon exercice des fonctions des officiers de liaison.

2. Le conseil d'administration arrête à la majorité des deux tiers de ses membres le régime linguistique interne d'Europol.

3. Les travaux de traduction requis pour le fonctionnement d'Europol sont effectués par le Centre de traduction des organes de l'Union européenne.

1. Le règlement (CE) no 1049/2001 s'applique aux documents détenus par Europol.

2. Le conseil d'administration adopte au plus tard le 14 décembre 2016 les modalités d'application du règlement (CE) no 1049/2001 en ce qui concerne les documents d'Europol.

3. Les décisions prises par Europol en application de l'article 8 du règlement (CE) no 1049/2001 peuvent faire l'objet d'une plainte auprès du Médiateur européen ou d'un recours devant la Cour de justice de l'Union européenne, conformément aux articles 228 et 263 du traité sur le fonctionnement de l'Union européenne.

4. Europol publie sur son site internet une liste des membres de son conseil d'administration et les résumés exposant les résultats des réunions du conseil d'administration. La publication de ces résumés est omise ou limitée à titre temporaire ou permanent si elle risque de compromettre l'accomplissement des missions d'Europol, compte tenu des obligations de réserve et de confidentialité d'Europol et de son caractère opérationnel.

1. Pour faciliter la lutte contre la fraude, la corruption et toute autre activité illégale en vertu du règlement (UE, Euratom) no 883/2013, Europol adhère, pour le 30 octobre 2017 au plus tard, à l'accord interinstitutionnel du 25 mai 1999 entre le Parlement européen, le Conseil de l'Union européenne et la Commission des Communautés européennes relatif aux enquêtes internes effectuées par l'Office européen de lutte antifraude (OLAF) (27) et arrête les dispositions appropriées qui s'appliquent à tout le personnel d'Europol, en utilisant le modèle figurant à l'annexe dudit accord.

2. La Cour des comptes dispose d'un pouvoir d'audit, sur pièces et sur place, à l'égard de tous les bénéficiaires de subventions, contractants et sous-traitants qui ont reçu, par l'intermédiaire d'Europol, des fonds de l'Union.

3. L'OLAF peut mener des enquêtes, et notamment effectuer des contrôles et vérifications sur place, en vue d'établir l'existence éventuelle d'une fraude, d'un acte de corruption ou de toute autre activité illégale portant atteinte aux intérêts financiers de l'Union, dans le cadre d'une subvention ou d'un contrat octroyé par Europol. Ces enquêtes sont menées conformément aux dispositions et procédures prévues par le règlement (UE, Euratom) no 883/2013 et par le règlement (Euratom, CE) no 2185/96 du Conseil (28).

4. Sans préjudice des paragraphes 1, 2 et 3, les arrangements de travail avec des organes de l'Union, des autorités de pays tiers, des organisations internationales et des parties privées, les contrats, les conventions de subvention et les décisions de subvention d'Europol contiennent des dispositions permettant expressément à la Cour des comptes et à l'OLAF de procéder aux audits et aux enquêtes visés aux paragraphes 2 et 3, conformément à leurs compétences respectives.

Règles en matière de protection des informations sensibles non classifiées et des informations classifiées

1. Europol établit des règles relatives aux obligations de réserve et de confidentialité et à la protection des informations sensibles non classifiées.

2. Europol établit des règles relatives à la protection des informations classifiées de l'UE qui sont conformes à la décision 2013/488/UE afin d'assurer un niveau de protection équivalent de ces informations.

1. Au plus tard le 1er mai 2022 et tous les cinq ans par la suite, la Commission veille à ce qu'il soit procédé à une évaluation portant, notamment, sur l'impact, l'efficacité et l'efficience de l'action d'Europol et de ses méthodes de travail. Cette évaluation peut notamment étudier la nécessité éventuelle de modifier la structure, le fonctionnement, le domaine d'action et les missions d'Europol, ainsi que les implications financières d'une telle modification.

2. La Commission transmet le rapport d'évaluation au conseil d'administration. Le conseil d'administration fait part de ses observations sur le rapport d'évaluation dans un délai de trois mois à compter de la date de réception. La Commission transmet ensuite le rapport d'évaluation final, accompagné de ses conclusions ainsi que d'une annexe contenant les observations du conseil d'administration, au Parlement européen, au Conseil, aux parlements nationaux et au conseil d'administration. Le cas échéant, les principales conclusions du rapport d'évaluation sont rendues publiques.

Les activités d'Europol sont soumises aux enquêtes du Médiateur européen conformément à l'article 228 du traité sur le fonctionnement de l'Union européenne.

Les dispositions nécessaires relatives à l'implantation d'Europol au Royaume des Pays-Bas et aux prestations à fournir par le Royaume des Pays-Bas, ainsi que les règles particulières qui y sont applicables au directeur exécutif, aux membres du conseil d'administration, au personnel d'Europol et aux membres de leurs familles, sont arrêtées dans un accord de siège conclu entre Europol et le Royaume des Pays-Bas conformément au protocole no 6.

1. Europol telle qu'elle est instituée par le présent règlement est le successeur en droit, pour l'ensemble des contrats conclus par Europol institué par la décision 2009/371/JAI, des obligations qui incombent à ce dernier et des biens qu'il a acquis.

2. Le présent règlement n'affecte pas la validité juridique des accords conclus par Europol institué par la décision 2009/371/JAI avant le 13 juin 2016 ni des accords conclus par Europol institué par la convention Europol avant le 1er janvier 2010.

1. Le mandat des membres du conseil d'administration institué sur la base de l'article 37 de la décision 2009/371/JAI prend fin le 1er mai 2017.

2. Pendant la période comprise entre le 13 juin 2016 et le 1er mai 2017, le conseil d'administration institué sur la base de l'article 37 de la décision 2009/371/JAI:

3. Sans retard après le 13 juin 2016, la Commission prend les mesures nécessaires pour que le conseil d'administration institué en vertu de l'article 10 entame ses travaux le 1er mai 2017.

4. Au plus tard le 14 décembre 2016, les États membres communiquent à la Commission les noms des personnes qu'ils ont désignées en tant que membres et membres suppléants du conseil d'administration conformément à l'article 10.

5. Le conseil d'administration institué conformément à l'article 10 tient sa première réunion le1er mai 2017. À cette occasion, il prend, s'il y a lieu, des décisions comme le prévoit l'article 76.

Arrangements transitoires concernant le directeur exécutif, les directeurs adjoints et le personnel

1. Le directeur d'Europol nommé sur la base de l'article 38 de la décision 2009/371/JAI est chargé, pour la durée restante de son mandat, d'exercer les responsabilités de directeur exécutif prévues à l'article 16 du présent règlement. Les autres conditions de son contrat demeurent inchangées. Si son mandat se termine entre le 13 juin 2016 et le 1er mai 2017, il est automatiquement prolongé jusqu'au 1er mai 2018.

2. Dans le cas où le directeur nommé sur la base de l'article 38 de la décision 2009/371/JAI refuse ou n'est pas en mesure de se conformer au paragraphe 1 du présent article, le conseil d'administration désigne un directeur exécutif intérimaire pour exercer les fonctions attribuées au directeur exécutif pendant une période n'excédant pas dix-huit mois, dans l'attente de la nomination prévue à l'article 54, paragraphe 2, du présent règlement.

3. Les paragraphes 1 et 2 du présent article s'appliquent aux directeurs adjoints nommés sur la base de l'article 38 de la décision 2009/371/JAI.

4. Conformément au régime applicable aux autres agents, l'autorité visée à son article 6, premier alinéa, propose un contrat d'agent temporaire ou contractuel à durée indéterminée à toute personne employée en tant qu'agent local, au 1er mai 2017, dans le cadre d'un contrat à durée indéterminée conclu par Europol tel qu'institué par la convention Europol. L'offre d'emploi est fondée sur les tâches que l'agent temporaire ou contractuel devra exécuter. Le contrat concerné prend effet au plus tard le 1er mai 2018. L'agent qui n'accepte pas l'offre visée au présent paragraphe peut conserver sa relation contractuelle avec Europol conformément à l'article 53, paragraphe 1.

La procédure de décharge pour les budgets approuvés sur la base de l'article 42 de la décision 2009/371/JAI se déroule conformément aux règles établies par son article 43.

1. Les décisions 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI sont remplacées par le présent règlement pour les États membres liés par le présent règlement, avec effet à compter du 1er mai 2017.

Par conséquent, les décisions 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI sont abrogées avec effet à compter du 1er mai 2017.

2. À l'égard des États membres liés par le présent règlement, les références faites aux décisions visées au paragraphe 1 s'entendent comme faites au présent règlement.

Maintien en vigueur des règles internes adoptées par le conseil d'administration

Les règles internes et les mesures adoptées par le conseil d'administration sur la base de la décision 2009/371/JAI demeurent en vigueur après le 1er mai 2017, sauf si le conseil d'administration en décide autrement dans le cadre de l'application du présent règlement.

1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Toutefois, les articles 71, 72 et 73 sont applicables à partir du 13 juin 2016.

(1) Position du Parlement européen du 25 février 2014 (non encore parue au Journal officiel) et position du Conseil en première lecture du 10 mars 2016 (non encore parue au Journal officiel). Position du Parlement européen du 11 mai 2016 (non encore parue au Journal officiel).

(2) Décision 2009/371/JAI du Conseil du 6 avril 2009 portant création de l'Office européen de police (Europol) (JO L 121 du 15.5.2009, p. 37).

(5) Décision 2009/934/JAI du Conseil du 30 novembre 2009 portant adoption des règles d'application régissant les relations d'Europol avec ses partenaires, notamment l'échange de données à caractère personnel et d'informations classifiées (JO L 325 du 11.12.2009, p. 6).

(6) Décision 2009/935/JAI du Conseil du 30 novembre 2009 établissant la liste des États et organisations tiers avec lesquels Europol conclut des accords (JO L 325 du 11.12.2009, p. 12).

(7) Décision 2009/936/JAI du Conseil du 30 novembre 2009 portant adoption des règles d'application relatives aux fichiers de travail à des fins d'analyse Europol (JO L 325 du 11.12.2009, p. 14).

(8) Décision 2009/968/JAI du Conseil du 30 novembre 2009 portant adoption des règles relatives à la confidentialité des informations d'Europol (JO L 332 du 17.12.2009, p. 17).

(9) Règlement (UE) no 1053/2013 du Conseil du 7 octobre 2013 portant création d'un mécanisme d'évaluation et de contrôle destiné à vérifier l'application de l'acquis de Schengen et abrogeant la décision du comité exécutif du 16 septembre 1998 concernant la création d'une commission permanente d'évaluation et d'application de Schengen (JO L 295 du 6.11.2013, p. 27).

(10) Règlement (Euratom, CECA, CEE) no 549/69 du Conseil du 25 mars 1969 déterminant les catégories des fonctionnaires et agents des Communautés européennes auxquelles s'appliquent les dispositions des articles 12, 13, deuxième alinéa, et 14 du protocole sur les privilèges et immunités des Communautés (JO L 74 du 27.3.1969, p. 1).

(11) Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(12) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

(13) Recommandation du Comité des Ministres du Conseil de l'Europe no R (87) 15 aux États membres visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police, 17.9.1987.

(15) Règlement délégué (UE) no 1271/2013 de la Commission du 30 septembre 2013 portant règlement financier-cadre des organismes visés à l'article 208 du règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil (JO L 328 du 7.12.2013, p. 42).

(16) Règlement délégué (UE) no 1268/2012 de la Commission du 29 octobre 2012 relatif aux règles d'application du règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil relatif aux règles financières applicables au budget général de l'Union (JO L 362 du 31.12.2012, p. 1).

(17) Règlement (UE, Euratom) no 883/2013 du Parlement européen et du Conseil du 11 septembre 2013 relatif aux enquêtes effectuées par l'Office européen de lutte antifraude (OLAF) et abrogeant le règlement (CE) no 1073/1999 du Parlement européen et du Conseil et le règlement (Euratom) no 1074/1999 du Conseil (JO L 248 du 18.9.2013, p. 1).

(18) Décision 2013/488/UE du Conseil du 23 septembre 2013 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'Union européenne (JO L 274 du 15.10.2013, p. 1).

(20) Décision 2005/511/JAI du Conseil du 12 juillet 2005 visant à protéger l'euro contre le faux-monnayage par la désignation d'Europol comme office central de répression du faux-monnayage de l'euro (JO L 185 du 16.7.2005, p. 35).

(21) Directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme (JO L 309 du 25.11.2005, p. 15).

(22) Décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres (JO L 190 du 18.7.2002, p. 1).

(23) Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).

(25) Règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif aux règles financières applicables au budget général de l'Union et abrogeant le règlement (CE, Euratom) no 1605/2002 du Conseil (JO L 298 du 26.10.2012, p. 1).

(26) Règlement no 1 portant fixation du régime linguistique de la Communauté économique européenne (JO 17 du 6.10.1958, p. 385/58).

(28) Règlement (Euratom, CE) no 2185/96 du Conseil du 11 novembre 1996 relatif aux contrôles et vérifications sur place effectués par la Commission pour la protection des intérêts financiers des Communautés européennes contre les fraudes et autres irrégularités (JO L 292 du 15.11.1996, p. 2).

ANNEXE II

A. Catégories de données à caractère personnel pouvant être collectées et traitées et catégories de personnes concernées dont les données peuvent être collectées et traitées à des fins de recoupement visées à l'article 18, paragraphe 2, point a)

Les données à caractère personnel collectées et traitées à des fins de recoupement doivent concerner:

a)	des personnes qui, au regard du droit national de l'État membre concerné, sont soupçonnées d'avoir commis une infraction ou participé à une infraction relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;

b)	des personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'elles commettront des infractions pénales relevant de la compétence d'Europol.

Les données relatives aux personnes visées au paragraphe 1 ne peuvent comprendre que les catégories de données à caractère personnel suivantes:

a)	les nom, nom de jeune fille, prénoms et tout pseudonyme ou nom d'emprunt;

b)	la date et le lieu de naissance;

c)	la nationalité;

le sexe;

e)	le lieu de résidence, la profession et l'endroit où se trouve la personne concernée;

f)	les numéros de sécurité sociale, les permis de conduire, les pièces d'identité et les données concernant le passeport; et

g)	au besoin, d'autres éléments permettant d'identifier la personne, notamment les signes physiques particuliers, objectifs et inaltérables, tels que les données dactyloscopiques et le profil ADN (établi à partir de l'ADN non codant).

Outre les données mentionnées au paragraphe 2, les catégories suivantes de données à caractère personnel concernant les personnes visées au paragraphe 1 peuvent être collectées et traitées:

a)	les infractions pénales et infractions pénales présumées, avec leurs dates, lieux et modalités;

b)	les moyens utilisés ou susceptibles d'avoir été utilisés pour commettre ces infractions pénales, y compris les informations relatives aux personnes morales;

c)	les services traitant l'affaire et leurs numéros de dossiers;

d)	la suspicion d'appartenance à une organisation criminelle;

e)	les condamnations, si elles concernent des infractions pénales relevant de la compétence d'Europol;

f)	la personne introduisant les données.

Ces données peuvent être communiquées à Europol même lorsqu'elles ne comportent pas encore de références aux personnes.

Les informations complémentaires détenues par Europol ou par les unités nationales sur les personnes visées au paragraphe 1 peuvent être communiquées sur demande à toute unité nationale ou à Europol. Pour les unités nationales, cette communication s'effectue dans le respect de leur droit national.

Si la procédure ouverte à l'égard de la personne concernée est définitivement classée ou si cette personne est définitivement acquittée, les données relatives à l'affaire ayant fait l'objet de cette décision sont effacées.

B. Catégories de données à caractère personnel pouvant être collectées et traitées et catégories de personnes concernées dont les données peuvent être collectées et traitées à des fins d'analyses de nature stratégique ou thématique, d'analyses opérationnelles ou de facilitation de l'échange d'informations visées à l'article 18, paragraphe 2, points b), c) et d)

Les données à caractère personnel collectées et traitées à des fins d'analyses de nature stratégique ou thématique, d'analyses opérationnelles ou de facilitation de l'échange d'informations entre les États membres, Europol, d'autres organes de l'Union, des pays tiers et des organisations internationales concernent:

a)	des personnes qui, en application du droit national de l'État membre concerné, sont soupçonnées d'avoir commis une infraction ou participé à une infraction pénale relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;

b)	des personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'elles commettront des infractions pénales relevant de la compétence d'Europol;

c)	des personnes qui pourront être appelées à témoigner dans le cadre d'enquêtes portant sur les infractions considérées ou de poursuites pénales ultérieures;

d)	des personnes qui ont été victimes d'une des infractions considérées ou pour lesquelles il existe certains faits qui permettent de penser qu'elles pourraient être les victimes d'une telle infraction;

e)	des contacts et l'entourage; et

f)	des personnes pouvant fournir des informations sur les infractions pénales considérées.

Les catégories de données à caractère personnel suivantes, y compris les données administratives connexes, peuvent être traitées en ce qui concerne les catégories de personnes visées au paragraphe 1, points a) et b):

renseignements d'état civil:

i)	nom actuel et noms précédents;

ii)	prénom actuel et prénoms précédents;

iii)	nom de jeune fille;

iv)	nom et prénom du père (si nécessaire à des fins d'identification);

v)	nom et prénom de la mère (si nécessaire à des fins d'identification);

vi)

sexe;

vii)	date de naissance;

viii)

lieu de naissance;

ix)	nationalité;

x)	situation de famille;

xi)	pseudonymes;

xii)

surnom;

xiii)

noms d'emprunt ou faux noms;

xiv)	résidence et/ou domicile actuels et antérieurs;

description physique:

i)	signalement physique;

ii)	signes particuliers (marques, cicatrices, tatouages, etc.);

moyens d'identification:

i)	documents d'identité/permis de conduire;

ii)	numéros de la carte d'identité nationale/du passeport;

iii)	numéro d'identification national/numéro de sécurité sociale, le cas échéant;

iv)	représentations visuelles et autres informations concernant l'aspect extérieur;

v)	informations permettant l'identification médico-légale, telles qu'empreintes digitales, profil ADN (établi à partir de l'ADN non codant), empreinte vocale, groupe sanguin, dossier dentaire;

profession et qualifications:

i)	emploi et activité professionnelle actuels;

ii)	emploi et activité professionnelle précédents;

iii)	formation (scolaire/universitaire/professionnelle);

iv)	aptitudes;

v)	compétences et autres connaissances (langues/autres);

informations d'ordre économique et financier:

i)	données financières (comptes et codes bancaires, cartes de crédit, etc.);

ii)	avoirs liquides;

iii)	actions/autres avoirs;

iv)	données patrimoniales;

v)	liens avec des sociétés et des entreprises;

vi)	contacts avec les banques et les établissements de crédit;

vii)	situation fiscale;

viii)

autres informations sur la gestion des avoirs financiers de la personne;

informations relatives au comportement:

i)	mode de vie (par exemple, train de vie sans rapport avec les revenus) et habitudes;

ii)	déplacements;

iii)	lieux fréquentés;

iv)	armes et autres instruments dangereux;

v)	degré de dangerosité;

vi)	risques particuliers, tels que probabilité de fuite, utilisation d'agents doubles, liens avec des membres de services répressifs;

vii)	traits de caractère ayant un rapport avec la criminalité;

viii)

toxicomanie;

g)	contacts et entourage, y compris type et nature du contact ou de la relation;

h)	moyens de communication utilisés, tels que téléphone (fixe/mobile), télécopieur, messageur, courrier électronique, adresses postales, connexion(s) sur l'internet;

i)	moyens de transport utilisés tels que véhicules automobiles, embarcations, avions, avec indication de leurs éléments d'identification (numéros d'immatriculation);

informations relatives aux activités criminelles:

i)	condamnations antérieures;

ii)	participation présumée à des activités criminelles;

iii)	modus operandi;

iv)	moyens utilisés ou susceptibles de l'être pour préparer/commettre des infractions;

v)	appartenance à des groupes/organisations criminel(le)s et position au sein du groupe/de l'organisation;

vi)	rôle au sein de l'organisation criminelle;

vii)	zone géographique des activités criminelles;

viii)

objets recueillis lors des enquêtes, tels que cassettes vidéo et photographies;

indication d'autres systèmes d'information stockant des données sur la personne concernée:

Europol;

ii)	services de police/douaniers;

iii)	autres services répressifs;

iv)	organisations internationales;

v)	entités publiques;

vi)	entités privées;

renseignements sur les personnes morales associées aux informations visées aux points e) et j):

i)	dénomination de la personne morale;

ii)	localisation;

iii)	date et lieu de création;

iv)	numéro d'immatriculation administrative;

v)	statut juridique;

vi)

capital;

vii)	secteur d'activité;

viii)

filiales nationales et internationales;

ix)	dirigeants;

x)	liens avec les banques.

Les «contacts» et l'«entourage» visés au paragraphe 1, point e), sont des personnes pour lesquelles il y a lieu d'estimer qu'elles peuvent permettre d'obtenir des informations utiles à l'analyse sur les personnes visées au paragraphe 1, points a) et b), pour autant qu'elles ne soient pas incluses dans l'une des catégories de personnes visées au paragraphe 1, points a), b), c), d) et f). Les «contacts» sont des personnes qui ont des contacts sporadiques avec les personnes visées au paragraphe 1, points a) et b). L'«entourage» vise des personnes qui ont des contacts réguliers avec les personnes visées au paragraphe 1, points a) et b).

En ce qui concerne les contacts et l'entourage, les données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer que ces données sont nécessaires à l'analyse des relations de ces personnes avec les personnes visées au paragraphe 1, points a) et b). À cet égard, les précisions suivantes sont apportées:

a)	les relations doivent être clarifiées au plus vite;

b)	les données visées au paragraphe 2 sont effacées sans retard si l'hypothèse de l'existence d'une relation se révèle infondée;

toutes les données visées au paragraphe 2 peuvent être stockées si les contacts et l'entourage sont soupçonnés d'avoir commis une infraction relevant des objectifs d'Europol ou ont été condamnés pour avoir commis une telle infraction, ou s'il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'ils commettront une telle infraction;

les données visées au paragraphe 2 sur les contacts, et l'entourage, des contacts ainsi que les données sur les contacts, et l'entourage, de l'entourage ne peuvent pas être stockées, à l'exception des données sur le type et la nature de leurs contacts ou de leur relation avec les personnes visées au paragraphe 1, points a) et b);

e)	s'il n'est pas possible de clarifier les éléments visés aux points précédents, il en est tenu compte lorsqu'une décision est prise sur la nécessité et la portée du stockage aux fins de la poursuite de l'analyse.

En ce qui concerne les personnes qui, comme visé au paragraphe 1, point d), ont été victimes d'une des infractions considérées ou pour lesquelles il existe certains faits qui permettent de penser qu'elles pourraient être victimes d'une telle infraction, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données suivantes:

a)	identification de la victime;

b)	raisons du choix de la victime;

c)	dommage (physique, financier, psychologique, autre);

d)	anonymat à préserver ou non;

e)	éventuelle possibilité de participer à une audience;

informations relatives à des activités criminelles fournies par les personnes visées au paragraphe 1, point d), ou par leur intermédiaire, y compris si cela est nécessaire informations sur leurs relations avec d'autres personnes aux fins d'identifier les personnes visées au paragraphe 1, points a) et b).

Les autres données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer qu'elles sont nécessaires à l'analyse du rôle des personnes considérées en tant que victime ou victime potentielle.

Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.

En ce qui concerne les personnes qui, comme visé au paragraphe 1, point c), pourraient être appelées à témoigner dans le cadre d'enquêtes portant sur les infractions considérées ou de poursuites pénales ultérieures, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données répondant aux critères suivants:

a)	informations relatives à des activités criminelles fournies par ces personnes, y compris informations sur leurs relations avec d'autres personnes figurant dans le fichier de travail à des fins d'analyse;

b)	anonymat à préserver ou non;

c)	protection à assurer ou non et par qui;

d)	nouvelle identité;

e)	éventuelle possibilité de participer à une audience.

Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.

En ce qui concerne les personnes qui, comme mentionné au paragraphe 1, point f), peuvent fournir des informations sur les infractions pénales considérées, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données répondant aux critères suivants:

a)	données d'identité codées;

b)	type d'informations fournies;

c)	anonymat à préserver ou non;

d)	protection à assurer ou non et par qui;

e)	nouvelle identité;

f)	éventuelle possibilité de participer à une audience;

g)	expériences négatives;

h)	récompenses (pécuniaires/faveurs).

Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.

Si, à un moment au cours de l'analyse, il apparaît clairement, sur la base d'indications sérieuses et concordantes, qu'une personne devrait être inscrite dans une autre catégorie de personnes prévue par la présente annexe que celle dans laquelle elle a été inscrite à l'origine, Europol ne peut traiter, pour cette personne, que les données autorisées pour la nouvelle catégorie, toutes les autres données devant être effacées.

Si, sur la base de ces indications, il s'avère qu'une personne devrait être incluse dans plusieurs catégories différentes prévues par la présente annexe, Europol peut traiter toutes les données autorisées pour ces catégories.