Master 2 Etudes Européennes et Internationales

Découvrez nos formations

 

Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI

 

 

RÈGLEMENT (UE) 2016/794 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 11 mai 2016

 

relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 88,

vu la proposition de la Commission européenne,

après transmission du projet d'acte législatif aux parlements nationaux,

statuant conformément à la procédure législative ordinaire (1),

considérant ce qui suit:

(1)

Europol a été créé par la décision 2009/371/JAI du Conseil (2) en tant qu'entité de l'Union, financée par le budget général de l'Union, afin de soutenir et de renforcer l'action des autorités compétentes des États membres et leur coopération mutuelle dans la prévention de la criminalité organisée, du terrorisme et d'autres formes graves de criminalité affectant deux États membres ou plus et dans la lutte contre ces phénomènes. La décision 2009/371/JAI remplaçait la convention sur la base de l'article K.3 du traité sur l'Union européenne portant création d'un Office européen de police (convention Europol) (3).

(2)

L'article 88 du traité sur le fonctionnement de l'Union européenne prévoit qu'Europol est régi par un règlement devant être adopté conformément à la procédure législative ordinaire. Il exige également la fixation des modalités de contrôle des activités d'Europol par le Parlement européen, contrôle auquel sont associés les parlements nationaux, sous réserve de l'article 12, point c), du traité sur l'Union européenne et de l'article 9 du protocole no 1 sur le rôle des parlements nationaux dans l'Union européenne, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne (ci-après dénommé «protocole no 1»), afin de renforcer la légitimité démocratique et la responsabilité d'Europol envers les citoyens de l'Union. Il convient, par conséquent, de remplacer la décision 2009/371/JAI par un règlement fixant, entre autres, les règles applicables à ce contrôle parlementaire.

(3)

Le «programme de Stockholm — une Europe ouverte et sûre qui sert et protège les citoyens» (4) appelle Europol à évoluer et à devenir le «centre névralgique de l'échange d'informations entre les services répressifs des États membres et à jouer le rôle de prestataire de services et de plate-forme pour les services répressifs». Il ressort d'une évaluation du fonctionnement d'Europol que son efficacité opérationnelle doit encore être accrue afin d'atteindre cet objectif.

(4)

Les réseaux criminels et terroristes à grande échelle constituent une menace importante pour la sécurité intérieure de l'Union ainsi que pour la sécurité et les moyens de subsistance de ses citoyens. Les évaluations de la menace disponibles montrent que les groupes criminels diversifient de plus en plus leurs activités («polycriminalité»), et que ces dernières revêtent un caractère de plus en plus transfrontalier. Il convient, dès lors, que les autorités répressives nationales coopèrent plus étroitement avec leurs homologues des autres États membres. Dans ce contexte, il est nécessaire de donner à Europol les moyens de mieux soutenir les États membres en matière de prévention de la criminalité ainsi que d'analyses et d'enquêtes criminelles à l'échelle de l'Union. L'évaluation de la décision 2009/371/JAI a également confirmé cette constatation.

(5)

Le présent règlement vise à modifier et à étendre les dispositions de la décision 2009/371/JAI ainsi que des décisions du Conseil 2009/934/JAI (5), 2009/935/JAI (6), 2009/936/JAI (7) et 2009/968/JAI (8) portant application de la décision 2009/371/JAI. Étant donné que les modifications à apporter à ces décisions sont significatives tant par leur nombre que par leur nature, il convient, dans un souci de clarté, de remplacer intégralement ces décisions pour les États membres liés par le présent règlement. Europol instituée par le présent règlement devrait remplacer Europol qui avait été institué par la décision 2009/371/JAI, qui, par conséquent, devrait être abrogée, et en assumer les fonctions.

(6)

Comme les formes graves de criminalité dépassent souvent les frontières intérieures, Europol devrait soutenir et renforcer les actions et la coopération des États membres visant à prévenir et à lutter contre les formes graves de criminalité affectant deux États membres ou plus. Le terrorisme constituant l'une des principales menaces pour la sécurité de l'Union, Europol devrait aider les États membres à faire face aux défis communs en la matière. En sa qualité d'agence de l'Union en matière répressive, Europol devrait également soutenir et renforcer les actions et la coopération visant à lutter contre les formes de criminalité affectant les intérêts de l'Union. Parmi les formes de criminalité relevant de sa compétence, la lutte contre la criminalité organisée continuera de figurer au rang des principaux objectifs d'Europol, étant donné que, au vu de son ampleur, de sa gravité et de ses conséquences, une action commune des États membres s'impose également. Europol devrait en outre apporter son appui à la prévention et à la répression des infractions pénales connexes commises pour se procurer les moyens de perpétrer les actes relevant de la compétence d'Europol, pour en faciliter l'exécution ou les perpétrer ou pour en assurer l'impunité.

(7)

Europol devrait fournir des analyses stratégiques et des évaluations de la menace afin d'aider le Conseil et la Commission à établir les priorités stratégiques et opérationnelles de l'Union aux fins de la lutte contre la criminalité et à les mettre en œuvre de manière opérationnelle. Lorsque la Commission le demande conformément à l'article 8 du règlement (UE) no 1053/2013 du Conseil (9), Europol devrait aussi effectuer des analyses de risque, y compris concernant la criminalité organisée, dans la mesure où les risques concernés peuvent nuire à l'application de l'acquis de Schengen par les États membres. En outre, à la demande du Conseil et de la Commission, Europol devrait, le cas échéant, fournir des analyses stratégiques et des évaluations de la menace afin de contribuer à l'évaluation des États qui sont candidats à l'adhésion à l'Union.

(8)

Les attaques contre les systèmes d'information affectant les organes de l'Union ou deux États membres ou plus constituent une menace croissante dans l'Union, en particulier au vu de leur rapidité, de leur impact et des difficultés à identifier leurs sources. Lorsqu'ils examinent des demandes d'Europol visant à ouvrir une enquête sur une attaque grave supposée être d'origine criminelle contre des systèmes d'information affectant des organes de l'Union ou deux États membres ou plus, les États membres devraient répondre à Europol sans retard, compte tenu du fait que la rapidité de la réponse est un élément clé pour lutter avec succès contre la criminalité informatique.

(9)

Compte tenu de l'importance de la coopération interagences, Europol et Eurojust devraient veiller à ce que les dispositions nécessaires soient prises pour optimiser leur coopération opérationnelle, en tenant dument compte de leurs missions et de leurs mandats respectifs ainsi que des intérêts des États membres. En particulier, Europol et Eurojust devraient s'informer mutuellement de toute activité impliquant le financement d'équipes communes d'enquête.

(10)

Lors de la création d'une équipe commune d'enquête, l'accord concerné devrait fixer les conditions relatives à la participation du personnel d'Europol à l'équipe. Europol devrait consigner par procès-verbal sa participation aux équipes communes d'enquête qui portent sur des activités criminelles relevant de ses objectifs.

(11)

Il convient qu'Europol puisse demander aux États membres d'ouvrir, de mener ou de coordonner des enquêtes pénales dans des affaires spécifiques où la coopération transfrontalière apporterait une valeur ajoutée. Europol devrait informer Eurojust de ces demandes.

(12)

Europol devrait être un centre névralgique de l'échange d'informations dans l'Union. Les informations collectées, stockées, traitées, analysées et échangées par Europol comprennent des éléments de renseignement criminel qui portent sur des informations concernant la criminalité ou des activités criminelles relevant des objectifs d'Europol, obtenus en vue d'établir si des actes criminels précis ont été commis ou peuvent être commis à l'avenir.

(13)

Afin d'assurer l'efficacité d'Europol dans son rôle de centre névralgique de l'échange d'informations, il convient d'imposer aux États membres des obligations claires pour ce qui est de la fourniture à Europol des données qui lui sont nécessaires pour atteindre ses objectifs. En s'acquittant de ces obligations, les États membres devraient veiller, en particulier, à fournir des données utiles à la lutte contre les formes de criminalité considérées comme des priorités opérationnelles et stratégiques dans les instruments pertinents de l'Union, en particulier les priorités définies par le Conseil dans le cadre du cycle politique de l'UE pour lutter contre la grande criminalité internationale organisée. Les États membres devraient également s'efforcer de transmettre à Europol une copie des échanges bilatéraux et multilatéraux d'informations intervenus avec d'autres États membres au sujet des formes de criminalité relevant des objectifs d'Europol. Lorsqu'ils fournissent à Europol les informations nécessaires, les États membres devraient également inclure des informations sur toute allégation d'attaque informatique affectant les organes de l'Union situés sur leur territoire. Dans le même temps, Europol devrait accroître son soutien aux États membres, de manière à intensifier la coopération mutuelle et le partage d'informations. Europol devrait présenter au Parlement européen, au Conseil, à la Commission et aux parlements nationaux un rapport annuel sur les informations fournies par chaque État membre.

(14)

Afin de garantir une coopération effective entre Europol et les États membres, il y a lieu de mettre en place une unité nationale dans chaque État membre (ci-après dénommée «unité nationale»). L'unité nationale devrait constituer le point de liaison entre les autorités nationales compétentes et Europol, jouant ainsi un rôle coordinateur en matière de coopération des États membres avec Europol et contribuant donc à garantir que tous les États membres répondent de manière uniforme aux demandes d'Europol. Afin de garantir un échange permanent et effectif d'informations entre Europol et les unités nationales et de faciliter leur coopération, chaque unité nationale devrait désigner au moins un officier de liaison auprès d'Europol.

(15)

Compte tenu de la structure décentralisée de certains États membres et de la nécessité de garantir des échanges rapides d'informations, il convient qu'Europol soit autorisée à coopérer directement avec les autorités compétentes des États membres, sous réserve des conditions fixées par les États membres, tout en tenant les unités nationales informées à leur demande.

(16)

Il convient d'encourager la constitution d'équipes communes d'enquête et de permettre au personnel d'Europol d'en faire partie. Afin que cette participation soit possible dans tous les États membres, le règlement (Euratom, CECA, CEE) no 549/69 du Conseil (10) dispose que les membres du personnel d'Europol ne bénéficient pas d'immunités lorsqu'ils participent à des équipes communes d'enquête.

(17)

Il est en outre nécessaire d'améliorer la gouvernance d'Europol, en recherchant des gains d'efficacité et en rationalisant les procédures.

(18)

La Commission et les États membres devraient être représentés au sein du conseil d'administration d'Europol (ci-après dénommé «conseil d'administration») afin de pouvoir effectivement en superviser le travail. Les membres et les membres suppléants du conseil d'administration devraient être nommés compte tenu de leurs compétences pertinentes en matière de gestion et d'administration ainsi qu'en matière budgétaire et de leur connaissance de la coopération entre services répressifs. Les membres suppléants devraient agir en qualité de membres en l'absence de ces derniers.

(19)

Il convient que toutes les parties représentées au conseil d'administration s'efforcent de limiter la rotation de leurs représentants au conseil d'administration, afin d'assurer la continuité du travail de celui-ci. Toutes les parties devraient viser à atteindre une représentation équilibrée entre hommes et femmes au sein du conseil d'administration.

(20)

Le conseil d'administration devrait pouvoir inviter des observateurs sans droit de vote dont l'avis peut être pertinent aux fins des débats, y compris un représentant désigné par le groupe de contrôle parlementaire conjoint.

(21)

Il convient de doter le conseil d'administration des pouvoirs nécessaires, notamment pour établir le budget, contrôler son exécution et adopter les règles financières et documents prévisionnels appropriés, ainsi que pour adopter des règles de prévention et de gestion des conflits d'intérêts à l'égard de ses membres, établir des procédures de travail transparentes pour la prise de décision par le directeur exécutif d'Europol et adopter le rapport d'activité annuel. Le conseil d'administration devrait exercer les compétences de l'autorité investie du pouvoir de nomination à l'égard du personnel de l'Agence, y compris du directeur exécutif.

(22)

Afin d'assurer un fonctionnement efficace d'Europol au jour le jour, il convient que le directeur exécutif soit à la fois son représentant légal et son dirigeant, qu'il agisse de façon indépendante dans l'exercice de ses fonctions et qu'il veille à ce qu'Europol remplisse les missions prévues par le présent règlement. Le directeur exécutif devrait notamment être chargé d'établir les documents budgétaires et prévisionnels soumis à la décision du conseil d'administration et de mettre en œuvre la programmation pluriannuelle et les programmes de travail annuels d'Europol ainsi que d'autres documents prévisionnels.

(23)

Afin de prévenir et de lutter contre les formes de criminalité relevant de ses objectifs, il est nécessaire qu'Europol dispose des informations les plus complètes et les plus récentes possible. En conséquence, Europol devrait pouvoir traiter les données que lui fournissent les États membres, les organes de l'Union, les pays tiers, les organisations internationales et, dans certaines conditions strictes fixées dans le présent règlement, les parties privées, ainsi que les informations provenant de sources accessibles au public, afin de parvenir à une compréhension des tendances et phénomènes criminels, de recueillir des informations sur les réseaux criminels et de déceler des liens entre différentes infractions pénales.

(24)

Pour qu'Europol puisse améliorer son efficacité au niveau de la précision des analyses de la criminalité qu'elle transmet aux autorités compétentes des États membres, elle devrait recourir aux nouvelles technologies pour traiter les données. Il importe en effet qu'Europol soit en mesure de déceler rapidement les liens entre des enquêtes et les modes opératoires communs à différents groupes criminels, de vérifier les recoupements de données et d'avoir une bonne vue d'ensemble des tendances, tout en garantissant un niveau élevé de protection des données à caractère personnel des personnes physiques. En conséquence, les bases de données d'Europol devraient être structurées de manière à permettre à Europol de choisir la structure informatique la plus efficace. Europol devrait également être en mesure de jouer le rôle de prestataire de services, en particulier en fournissant un réseau sécurisé pour l'échange de données, tel que l'application de réseau d'échange sécurisé d'informations (SIENA), qui vise à faciliter l'échange d'informations entre les États membres, Europol, les autres organes de l'Union, les pays tiers et les organisations internationales. Afin de garantir un niveau élevé de protection des données, il convient de définir la finalité des opérations de traitement et les droits d'accès ainsi que des garanties spécifiques supplémentaires. En particulier, les principes de nécessité et de proportionnalité devraient être respectés en ce qui concerne le traitement des données à caractère personnel.

(25)

Europol devrait veiller à ce que toutes les données à caractère personnel traitées à des fins d'analyses opérationnelles se voient attribuer une finalité spécifique. Néanmoins, afin d'accomplir sa mission, Europol devrait être autorisée à traiter toutes les données à caractère personnel reçues pour identifier les liens entre de multiples formes de criminalité et d'enquêtes pénales et ne devrait pas se limiter à identifier les liens uniquement au sein d'une même forme de criminalité.

(26)

Pour respecter la propriété des données et la protection des données à caractère personnel, il convient que les États membres, les organes de l'Union, les pays tiers et les organisations internationales soient en mesure de déterminer la ou les finalités pour lesquelles Europol peut traiter les données qu'ils fournissent et de restreindre les droits d'accès. La limitation de la finalité est un principe fondamental du traitement des données à caractère personnel; elle contribue notamment à la transparence, à la sécurité juridique et à la prévisibilité, et revêt une importance particulièrement grande dans le domaine de la coopération entre services répressifs, dans lequel les personnes concernées ignorent habituellement que leurs données à caractère personnel sont collectées et traitées et où l'utilisation de données à caractère personnel peut avoir une incidence considérable sur la vie et les libertés des personnes physiques.

(27)

Afin que l'accès aux données ne soit autorisé qu'aux personnes qui doivent y avoir accès pour s'acquitter de leurs missions, il convient que le présent règlement définisse des règles précises sur les différents degrés de droits d'accès aux données traitées par Europol. Ces règles devraient être sans préjudice des limitations d'accès imposées par les fournisseurs de données, le principe de la propriété des données devant être respecté. Afin d'accroître l'efficacité de la prévention et de la répression des formes de criminalité relevant des objectifs d'Europol, il convient qu'Europol notifie aux États membres les informations qui les concernent.

(28)

Pour approfondir la coopération opérationnelle entre les agences et, en particulier, établir des liens entre les données déjà en possession des différentes agences, il convient qu'Europol permette à Eurojust et à l'Office européen de lutte antifraude (OLAF) de disposer d'un accès aux données disponibles chez Europol, fondé sur un système de concordance/non-concordance. Europol et Eurojust devraient être en mesure de conclure un arrangement de travail leur assurant de manière réciproque, dans le cadre de leurs mandats respectifs, l'accès à toutes les informations fournies à des fins de recoupement et la possibilité d'effectuer des recherches dans celles-ci, conformément aux garanties spécifiques et aux garanties en matière de protection des données prévues par le présent règlement. Tout accès aux données dont dispose Europol devrait, par des moyens techniques, être limité aux informations relevant des mandats respectifs de ces organes de l'Union.

(29)

Il convient qu'Europol entretienne des relations de coopération avec d'autres organes de l'Union, des autorités de pays tiers, des organisations internationales et des parties privées, dans la mesure nécessaire à l'accomplissement de ses missions.

(30)

Afin de garantir son efficacité opérationnelle, il convient qu'Europol puisse échanger toutes les informations pertinentes, à l'exception des données à caractère personnel, avec d'autres organes de l'Union, des autorités de pays tiers et des organisations internationales, dans la mesure nécessaire à l'accomplissement de ses missions. Puisque des entreprises, des sociétés, des associations commerciales, des organisations non gouvernementales et d'autres parties privées possèdent une expérience et des informations directement pertinentes pour prévenir et lutter contre les formes graves de criminalité et le terrorisme, il convient qu'Europol puisse également échanger de telles informations avec des parties privées. En vue de prévenir et de lutter contre la criminalité informatique, en ce qui concerne les incidents liés à la sécurité des réseaux et de l'information, il convient qu'en vertu de l'acte législatif applicable de l'Union fixant des mesures destinées à assurer un niveau commun élevé de sécurité des réseaux et de l'information dans l'Union, Europol coopère avec les autorités nationales chargées de la sécurité des réseaux et des systèmes d'information et qu'elle échange des informations avec celles-ci, à l'exception des données à caractère personnel.

(31)

Europol devrait être en mesure d'échanger des données à caractère personnel pertinentes avec d'autres organes de l'Union, dans la mesure nécessaire à l'accomplissement de ses missions ou de leurs missions.

(32)

Les formes graves de criminalité et le terrorisme présentent souvent des connexions au-delà du territoire de l'Union. Il convient par conséquent qu'Europol puisse échanger des données à caractère personnel avec les autorités des pays tiers et avec des organisations internationales telles que l'Organisation internationale de police criminelle (Interpol), dans la mesure nécessaire à l'accomplissement de ses missions.

(33)

Tous les États membres sont affiliés à Interpol. Pour exécuter sa mission, Interpol reçoit, conserve et diffuse des données pour aider les autorités répressives compétentes à prévenir et à lutter contre la criminalité internationale. Il est par conséquent approprié de renforcer la coopération entre Europol et Interpol en favorisant un échange efficace de données à caractère personnel tout en garantissant le respect des droits et des libertés fondamentales en ce qui concerne le traitement automatique des données à caractère personnel. Lorsque des données à caractère personnel sont transférées d'Europol à Interpol, le présent règlement devrait s'appliquer, en particulier les dispositions relatives aux transferts internationaux.

(34)

Afin de garantir la limitation de la finalité, il est important de veiller à ce que les données à caractère personnel ne puissent être transférées par Europol à des organes de l'Union, vers des pays tiers et à des organisations internationales que si cela est nécessaire pour prévenir ou lutter contre les formes de criminalité relevant des objectifs d'Europol. À cet effet, il est nécessaire de veiller à ce que, lors du transfert de données à caractère personnel, le destinataire s'engage à les utiliser personnellement ou à les transférer à une autorité compétente d'un pays tiers exclusivement aux fins auxquelles elles ont été initialement transférées. Tout transfert ultérieur des données devrait se faire dans le respect du présent règlement.

(35)

Europol devrait être en mesure de transférer des données à caractère personnel à une autorité d'un pays tiers ou à une organisation internationale sur la base d'une décision de la Commission constatant que le pays ou l'organisation internationale en question assure un niveau adéquat de protection des données (ci-après dénommée «décision d'adéquation»), ou, en l'absence d'une telle décision, en vertu d'un accord international conclu par l'Union au titre de l'article 218 du traité sur le fonctionnement de l'Union européenne, ou d'un accord de coopération autorisant l'échange de données à caractère personnel conclu entre Europol et le pays tiers avant l'entrée en vigueur du présent règlement. Compte tenu de l'article 9 du protocole no 36 sur les dispositions transitoires, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, les effets juridiques de tels accords doivent être préservés aussi longtemps que ces accords n'auront pas été abrogés, annulés ou modifiés en application des traités. Le cas échéant et conformément au règlement (CE) no 45/2001 du Parlement européen et du Conseil (11), la Commission devrait pouvoir consulter le Contrôleur européen de la protection des données (CEPD) avant et pendant la négociation d'un accord international. Lorsque le conseil d'administration identifie un besoin opérationnel de coopération avec un pays tiers ou une organisation internationale, il devrait pouvoir suggérer au Conseil d'attirer l'attention de la Commission sur la nécessité de disposer d'une décision d'adéquation ou d'une recommandation en vue de l'ouverture de négociations d'un accord international tel que visé plus haut.

(36)

Lorsqu'un transfert de données à caractère personnel ne peut se fonder sur une décision d'adéquation, ni sur un accord international conclu par l'Union, ni sur un accord de coopération existant, il convient que le conseil d'administration, en accord avec le CEPD, puisse autoriser un ensemble de transferts, lorsque des circonstances particulières l'exigent et moyennant l'existence de garanties adéquates. Le directeur exécutif devrait pouvoir autoriser le transfert de données au cas par cas, à titre exceptionnel, lorsqu'un tel transfert est requis, moyennant le respect de conditions particulières strictes.

(37)

Il convient qu'Europol ne puisse traiter des données à caractère personnel provenant de parties privées ou de particuliers que si ces données lui sont transférées par l'une des entités suivantes: une unité nationale conformément à son droit national; un point de contact dans un pays tiers ou une organisation internationale avec laquelle une coopération a été établie au moyen d'un accord de coopération autorisant l'échange de données à caractère personnel conclu conformément à l'article 23 de la décision 2009/371/JAI avant l'entrée en vigueur du présent règlement; une autorité d'un pays tiers ou une organisation internationale faisant l'objet d'une décision d'adéquation, ou avec laquelle l'Union a conclu un accord international en vertu de l'article 218 du traité sur le fonctionnement de l'Union européenne. Cependant, dans les cas où Europol reçoit des données à caractère personnel émanant directement de parties privées et l'unité nationale, l'autorité ou le point de contact concerné ne peut pas être identifié, Europol devrait pouvoir traiter ces données à caractère personnel uniquement dans le but d'identifier ces entités, et les données en question devraient être supprimées à moins que ces entités ne les soumettent à nouveau dans les quatre mois suivant le transfert. Europol devrait veiller, par des moyens techniques, à ce que, durant cette période, lesdites données ne soient pas accessibles en vue d'un traitement pour toute autre finalité.

(38)

Compte tenu de la menace exceptionnelle et spécifique que constituent pour la sécurité intérieure de l'Union le terrorisme et d'autres formes graves de criminalité, en particulier lorsqu'ils sont facilités, favorisés ou commis à l'aide de l'internet, les activités qu'Europol devrait mener sur la base du présent règlement, découlant de sa mise en œuvre des conclusions du Conseil du 12 mars 2015 et de l'appel lancé par le Conseil européen le 23 avril 2015 en particulier en rapport avec ces domaines prioritaires, notamment la pratique correspondante d'échanges directs de données à caractère personnel avec des parties privées, devraient être évaluées par la Commission le 1er mai 2019.

(39)

Toute information manifestement obtenue en violation évidente des droits de l'homme ne devrait pas faire l'objet de traitement.

(40)

Il convient de renforcer les règles relatives à la protection des données en vigueur au sein d'Europol, qui devraient reposer sur les principes qui sous-tendent le règlement (CE) no 45/2001 afin de garantir un niveau élevé de protection des personnes physiques à l'égard du traitement des données à caractère personnel. La déclaration no 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière annexée au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne reconnaissant la nature spécifique du traitement des données à caractère personnel dans le contexte répressif, il convient que les règles d'Europol en matière de protection des données soient autonomes tout en étant, dans le même temps, cohérentes avec d'autres instruments pertinents en matière de protection des données applicables au domaine de la coopération policière dans l'Union. Ces instruments comprennent, en particulier, la directive (UE) 2016/680 du Parlement européen et du Conseil (12), ainsi que la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe et sa recommandation no R (87) 15 (13).

(41)

Tout traitement de données à caractère personnel par Europol devrait être licite et loyal à l'égard des personnes concernées. Le principe de traitement loyal requiert une transparence du traitement permettant aux personnes concernées d'exercer les droits que leur confère le présent règlement. L'accès à leurs données à caractère personnel devrait néanmoins pouvoir être refusé ou limité si, en tenant dûment compte des intérêts des personnes concernées, ce refus ou cette limitation constitue une mesure nécessaire pour permettre à Europol de s'acquitter dûment de ses missions, pour protéger la sécurité et l'ordre public ou pour prévenir la criminalité, pour garantir qu'une enquête nationale ne sera pas compromise ou pour protéger les droits et les libertés de tiers. Afin de renforcer la transparence, Europol devrait mettre à la disposition du public un document exposant, sous une forme intelligible, les dispositions applicables en matière de traitement des données à caractère personnel et les moyens à la disposition des personnes concernées pour exercer leurs droits. Europol devrait également publier sur son site internet une liste des décisions d'adéquation, des accords et des arrangements administratifs relatifs au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales. En outre, afin d'accroître la transparence d'Europol vis-à-vis des citoyens de l'Union et sa responsabilité, Europol devrait publier sur son site internet une liste des membres de son conseil d'administration et, le cas échéant, les résumés exposant les résultats des réunions du conseil d'administration, tout en respectant les exigences en matière de protection des données.

(42)

Il convient, dans la mesure du possible, de différencier les données à caractère personnel en fonction de leur degré d'exactitude et de fiabilité. Il y a lieu de distinguer les faits des appréciations personnelles, afin de garantir tant la protection des personnes physiques que la qualité et la fiabilité des informations traitées par Europol. Dans le cas d'informations provenant de sources accessibles au public, en particulier de sources sur l'internet, Europol devrait, dans la mesure du possible, évaluer l'exactitude de ces informations et la fiabilité de leur source avec une diligence particulière, afin de répondre aux risques liés à l'internet en ce qui concerne la protection des données à caractère personnel et de la vie privée.

(43)

Le domaine de la coopération entre services répressifs implique le traitement de données à caractère personnel se rapportant à différentes catégories de personnes concernées. Europol devrait établir des distinctions aussi claires que possible entre les données à caractère personnel de ces différentes catégories de personnes concernées. Il importe de protéger, en particulier, les données à caractère personnel concernant des personnes telles que les victimes, les témoins et les personnes détenant des informations utiles, ainsi que les données à caractère personnel concernant les mineurs. Europol ne devrait traiter de données sensibles que si ces données complètent d'autres données à caractère personnel déjà traitées par Europol.

(44)

Eu égard au droit fondamental à la protection des données à caractère personnel, il convient qu'Europol ne conserve pas ces données plus longtemps qu'il n'est nécessaire à l'accomplissement de ses missions. La nécessité de continuer à conserver ces données devrait être examinée au plus tard trois ans après le début de leur traitement initial.

(45)

Afin de garantir la sécurité des données à caractère personnel, il convient qu'Europol et les États membres mettent en œuvre les mesures techniques et organisationnelles nécessaires.

(46)

Toute personne concernée devrait avoir un droit d'accès aux données à caractère personnel la concernant, un droit de rectification lorsque ces données sont inexactes, un droit d'effacement ou de limitation du traitement lorsque ces données ne sont plus nécessaires. Les coûts liés à l'exercice du droit d'accès aux données à caractère personnel ne devraient jamais représenter un obstacle à l'exercice effectif de ce droit. Il convient que les droits des personnes concernées et l'exercice de ces droits ne remettent pas en cause les obligations qui incombent à Europol et qu'ils soient soumis aux limitations prévues par le présent règlement.

(47)

La protection des droits et des libertés des personnes concernées exige une répartition claire des responsabilités au titre du présent règlement. Il convient notamment que les États membres soient responsables de l'exactitude des données qu'ils ont transférées à Europol et de leur mise à jour, ainsi que de la légalité de ces transferts de données. Europol devrait être responsable de l'exactitude des données communiquées par d'autres fournisseurs de données, ou provenant des analyses qu'elle effectue elle-même, et de leur mise à jour. Europol devrait également veiller à ce que les données soient traitées loyalement et licitement, et qu'elles soient recueillies et traitées pour une finalité spécifique. Europol devrait également veiller à ce que les données soient adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont traitées, qu'elles ne soient conservées que pendant la durée nécessaire à la réalisation de cette finalité et qu'elles soient traitées de manière à garantir un niveau approprié de sécurité des données à caractère personnel et de confidentialité du traitement des données.

(48)

Il convient qu'Europol tienne un relevé de la collecte, de la modification, de l'accès, de la divulgation, de la combinaison ou de l'effacement des données à caractère personnel, à des fins de vérification de la licéité du traitement des données, d'autocontrôle et de garantie de l'intégrité et de la sécurité des données. Europol devrait être tenue de coopérer avec le CEPD et de mettre les journaux ou la documentation à sa disposition, sur demande, pour qu'ils puissent servir au contrôle des opérations de traitement.

(49)

Il convient qu'Europol désigne un délégué à la protection des données pour l'aider à contrôler le respect du présent règlement. Ce délégué à la protection des données devrait être en mesure d'accomplir ses fonctions et ses missions en toute indépendance et de manière effective, et devrait être doté des ressources nécessaires.

(50)

Des structures de contrôle indépendantes, transparentes, responsables et efficaces sont indispensables pour protéger les personnes physiques à l'égard du traitement de leurs données à caractère personnel, comme l'exige l'article 8, paragraphe 3, de la charte des droits fondamentaux de l'Union européenne. Il convient que les autorités nationales chargées du contrôle du traitement des données à caractère personnel contrôlent la licéité des données à caractère personnel fournies par les États membres à Europol. Il convient que le CEPD contrôle la licéité des traitements de données effectués par Europol, en exerçant ses fonctions en toute indépendance. À cet égard, le mécanisme de consultation préalable constitue une garantie importante pour les nouveaux types d'opérations de traitement. Il ne devrait pas s'appliquer à des activités opérationnelles individuelles spécifiques telles que les projets d'analyse opérationnelle, mais à l'utilisation de nouveaux systèmes informatiques pour le traitement des données à caractère personnel et à toute modification importante de ceux-ci.

(51)

Il est important d'assurer un contrôle renforcé et efficace d'Europol et de garantir que le CEPD puisse disposer des compétences nécessaires en matière de protection des données dans un contexte répressif lorsqu'il assume la responsabilité de contrôler Europol en ce qui concerne la protection des données. Il convient que le CEPD et les autorités nationales de contrôle coopèrent étroitement dans des domaines spécifiques exigeant une participation nationale et assurent une application cohérente du présent règlement dans toute l'Union.

(52)

Sans préjudice de l'indépendance du CEPD et de sa responsabilité de contrôle d'Europol en ce qui concerne la protection des données, le CEPD et les autorités de contrôle nationales devraient, afin de faciliter leur coopération, se rencontrer régulièrement au sein du comité de coopération, lequel, en tant qu'organe consultatif, devrait formuler des avis, des lignes directrices et des recommandations et définir des bonnes pratiques sur les questions appelant une participation de l'échelon national.

(53)

Dès lors qu'Europol traite également des données à caractère personnel non opérationnelles, qui ne se rapportent pas à une enquête pénale, telles que les données à caractère personnel concernant son propre personnel, ses prestataires de services ou ses visiteurs, il convient que le traitement de telles données soit soumis au règlement (CE) no 45/2001.

(54)

Il convient que le CEPD reçoive et examine les réclamations des personnes concernées. L'enquête faisant suite à une réclamation devrait être menée, sous réserve d'un contrôle juridictionnel, dans la mesure appropriée au cas d'espèce. Il convient que l'autorité de contrôle nationale informe la personne concernée de l'état d'avancement et du résultat de la réclamation dans un délai raisonnable.

(55)

Il convient que toute personne physique ait le droit de former un recours juridictionnel contre une décision du CEPD la concernant.

(56)

Il convient qu'Europol soit soumise aux règles générales en matière de responsabilité contractuelle et extracontractuelle applicables aux institutions, agences et organes de l'Union, à l'exception des règles relatives à la responsabilité pour traitement illicite de données.

(57)

Il peut être malaisé pour la personne physique concernée de déterminer si le dommage subi du fait d'un traitement illicite de données est la conséquence de l'action d'Europol ou d'un État membre. Il convient, par conséquent, qu'Europol et l'État membre dans lequel le fait dommageable s'est produit soient solidairement responsables.

(58)

Tout en respectant le rôle du Parlement européen auquel sont associés les parlements nationaux dans le contrôle des activités d'Europol, il est nécessaire qu'Europol soit une organisation interne pleinement transparente et responsable. À cet effet, il y a lieu, eu égard à l'article 88 du traité sur le fonctionnement de l'Union européenne, de définir les modalités du contrôle des activités d'Europol par le Parlement européen en association avec les parlements nationaux. Ces modalités devraient être soumises à l'article 12, point c), du traité sur l'Union européenne et à l'article 9 du protocole no 1, qui prévoient que le Parlement européen et les parlements nationaux définissent ensemble l'organisation et la promotion d'une coopération interparlementaire efficace et régulière au sein de l'Union. Les modalités du contrôle des activités d'Europol à définir devraient tenir dûment compte de la nécessité de veiller à ce que le Parlement européen et les parlements nationaux soient sur un pied d'égalité, ainsi que de la nécessité de garantir la confidentialité des informations opérationnelles. Toutefois, la manière dont les parlements nationaux exercent leur contrôle sur leur gouvernement pour ce qui concerne les activités de l'Union relève de l'organisation et de la pratique constitutionnelle propre à chaque État membre.

(59)

Il convient que le statut des fonctionnaires de l'Union européenne (ci-après dénommé «statut») et le régime applicable aux autres agents de l'Union européenne (ci-après dénommé «régime applicable aux autres agents») fixés par le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (14) s'appliquent au personnel d'Europol. Il convient qu'Europol puisse engager du personnel des autorités compétentes des États membres en tant qu'agents temporaires dont la durée du service devrait être limitée afin de préserver le principe de rotation, puisque la réintégration ultérieure de ce personnel dans le service de l'autorité compétente d'origine favorise une coopération étroite entre Europol et les autorités compétentes des États membres. Il convient que les États membres prennent toutes les mesures nécessaires pour que ces membres du personnel engagés par Europol en tant qu'agents temporaires puissent réintégrer, à la fin de leur mission auprès d'Europol, l'administration nationale à laquelle ils appartiennent.

(60)

Eu égard à la nature des fonctions d'Europol et au rôle du directeur exécutif, la commission compétente du Parlement européen devrait pouvoir inviter le directeur exécutif à se présenter devant elle, avant sa nomination ainsi qu'avant le renouvellement éventuel de son mandat. Il convient que le directeur exécutif présente aussi le rapport annuel au Parlement européen et au Conseil. Il convient, par ailleurs, que le Parlement européen et le Conseil puissent inviter le directeur exécutif à faire rapport sur l'exécution de ses fonctions.

(61)

Afin de garantir la pleine autonomie et l'indépendance d'Europol, il convient de lui accorder un budget propre, alimenté essentiellement par une contribution du budget général de l'Union. Il convient que la procédure budgétaire de l'Union soit applicable en ce qui concerne la contribution de l'Union et toute autre subvention imputable au budget général de l'Union. La vérification des comptes devrait être effectuée par la Cour des comptes.

(62)

Le règlement délégué (UE) no 1271/2013 de la Commission (15) devrait s'appliquer à Europol.

(63)

Compte tenu de leurs pouvoirs juridiques et administratifs spécifiques et de leurs compétences techniques pour mener des activités d'échange d'informations, des opérations et des enquêtes transfrontalières, notamment dans le cadre d'équipes communes d'enquête, ainsi que pour fournir des locaux de formation, les autorités compétentes des États membres devraient pouvoir recevoir des subventions d'Europol sans appel de propositions, conformément à l'article 190, paragraphe 1, point d), du règlement délégué (UE) no 1268/2012 de la Commission (16).

(64)

Le règlement (UE, Euratom) no 883/2013 du Parlement européen et du Conseil (17) devrait s'appliquer à Europol.

(65)

Europol traite des données qui exigent une protection particulière puisqu'elles comprennent des informations sensibles non classifiées et classifiées de l'UE. Il convient, par conséquent, qu'Europol établisse des règles en matière de confidentialité et de traitement de ces informations. Les règles en matière de protection des informations classifiées de l'UE devraient être compatibles avec la décision 2013/488/UE du Conseil (18).

(66)

Il convient de procéder à l'évaluation régulière de l'application du présent règlement.

(67)

Les dispositions nécessaires relatives à l'implantation d'Europol à La Haye, où se trouve son siège, et les règles particulières applicables aux membres du personnel d'Europol et aux membres de leur famille devraient être arrêtées dans un accord de siège. Par ailleurs, l'État membre d'accueil devrait créer les conditions nécessaires au bon fonctionnement d'Europol, y compris en ce qui concerne la scolarisation multilingue à vocation européenne et les liaisons de transport adéquates, afin qu'elle puisse attirer du personnel de haute qualité représentant une couverture géographique aussi large que possible.

(68)

Europol instituée par le présent règlement remplace Europol qui avait été institué par la décision 2009/371/JAI, auquel elle succède. Il convient par conséquent qu'elle soit le successeur en droit de l'ensemble de ses contrats, y compris les contrats de travail, des obligations qui lui incombent et des biens qu'il a acquis. Il convient que les accords internationaux conclus par Europol institué par la décision 2009/371/JAI ainsi que les accords conclus par Europol institué par la convention Europol avant le 1er janvier 2010 demeurent en vigueur.

(69)

Pour permettre à Europol de continuer à remplir au mieux les missions d'Europol institué par la décision 2009/371/JAI, il convient de prévoir des mesures transitoires, notamment en ce qui concerne le conseil d'administration, le directeur exécutif et les membres du personnel employés en tant qu'agents locaux dans le cadre d'un contrat à durée indéterminée conclu par Europol institué par la convention Europol, lesquels devraient se voir offrir une possibilité d'emploi en tant qu'agents temporaires ou contractuels au titre du régime applicable aux autres agents.

(70)

L'acte du Conseil du 3 décembre 1998 (19) concernant le statut du personnel d'Europol a été abrogé par l'article 63 de la décision 2009/371/JAI. Cependant, il devrait continuer de s'appliquer au personnel employé par Europol avant l'entrée en vigueur de la décision 2009/371/JAI. En conséquence, des dispositions transitoires devraient prévoir que les contrats conclus conformément à ce statut restent régis par celui-ci.

(71)

Étant donné que l'objectif du présent règlement, à savoir l'établissement d'une entité chargée de la coopération des services répressifs au niveau de l'Union, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison des dimensions et des effets de l'action, l'être mieux au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre cet objectif.

(72)

Conformément à l'article 3 et à l'article 4 bis, paragraphe 1, du protocole no 21 sur la position du Royaume-Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, l'Irlande a notifié son souhait de participer à l'adoption et à l'application du présent règlement.

(73)

Conformément aux articles 1er et 2 ainsi qu'à l'article 4 bis, paragraphe 1, du protocole no 21 sur la position du Royaume-Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, et sans préjudice de l'article 4 dudit protocole, le Royaume-Uni ne participe pas à l'adoption du présent règlement et n'est pas lié par celui-ci ni soumis à son application.

(74)

Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark ne participe pas à l'adoption du présent règlement et n'est pas lié par celui-ci ni soumis à son application.

(75)

Le CEPD a été consulté et a rendu un avis le 31 mai 2013.

(76)

Le présent règlement respecte les droits fondamentaux et observe les principes reconnus en particulier par la charte des droits fondamentaux de l'Union européenne, notamment le droit à la protection des données à caractère personnel et le droit au respect de la vie privée, tels que garantis par les articles 8 et 7 de la charte, ainsi que par l'article 16 du traité sur le fonctionnement de l'Union européenne,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

DISPOSITIONS GÉNÉRALES, OBJECTIFS ET MISSIONS D'EUROPOL

Article premier

Création de l'Agence de l'Union européenne pour la coopération des services répressifs

1.   Une agence de l'Union européenne pour la coopération des services répressifs (Europol) est instituée en vue de soutenir la coopération entre les autorités répressives au sein de l'Union.

2.   Europol instituée par le présent règlement se substitue et succède à Europol institué par la décision 2009/371/JAI.

Article 2

Définitions

Aux fins du présent règlement, on entend par:

a)

«autorités compétentes des États membres», l'ensemble des autorités de police et autres services répressifs existant dans les États membres qui sont compétents, en vertu du droit national, en matière de prévention et de lutte contre les infractions pénales. Les autorités compétentes comprennent également d'autres autorités publiques existant dans les États membres qui sont compétentes, en vertu du droit national, en matière de prévention et de lutte contre les infractions pénales relevant de la compétence d'Europol;

b)

«analyse stratégique», toutes les méthodes et techniques permettant de collecter, de stocker, de traiter et d'évaluer des informations en vue d'appuyer et d'élaborer une politique pénale qui contribue à prévenir et à lutter contre la criminalité de manière efficace et effective;

c)

«analyse opérationnelle», toutes les méthodes et techniques permettant de collecter, de stocker, de traiter et d'évaluer des informations en vue d'appuyer des enquêtes pénales;

d)

«organes de l'Union», les institutions, organes, missions, bureaux et agences institués par le traité sur l'Union européenne et le traité sur le fonctionnement de l'Union européenne ou sur la base de ces traités;

e)

«organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord;

f)

«parties privées», des entités et organismes constitués en vertu du droit d'un État membre ou d'un pays tiers, notamment des entreprises et des sociétés, des associations commerciales, des organisations sans but lucratif et autres personnes morales qui ne sont pas visées au point e);

g)

«particuliers», toute personne physique;

h)

«données à caractère personnel», toute information se rapportant à une personne concernée;

i)

«personne concernée», une personne physique identifiée ou identifiable, une «personne identifiable» étant une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel que un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

j)

«données génétiques», toutes les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique, et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;

k)

«traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;

l)

«destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers;

m)

«transfert de données à caractère personnel», la communication de données à caractère personnel, mises à disposition activement à un nombre limité de parties identifiées, l'accès auxdites données étant accordé au destinataire par l'expéditeur en toute connaissance de cause ou de manière intentionnelle;

n)

«violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à celles-ci;

o)

«consentement de la personne concernée», toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

p)

«données administratives à caractère personnel», toutes les données à caractère personnel traitées par Europol, hormis celles qui sont traitées dans le but d'atteindre les objectifs visés à l'article 3.

Article 3

Objectifs

1.   Europol appuie et renforce l'action des autorités compétentes des États membres et leur collaboration mutuelle dans la prévention de la criminalité grave affectant deux ou plusieurs États membres, du terrorisme et des formes de criminalité qui portent atteinte à un intérêt commun qui fait l'objet d'une politique de l'Union, ainsi que dans la lutte contre ceux-ci, énumérées à l'annexe I.

2.   Outre le paragraphe 1, les objectifs d'Europol s'étendent également aux infractions pénales connexes. Sont considérées comme des infractions pénales connexes:

a)

les infractions pénales commises pour se procurer les moyens de perpétrer des actes relevant de la compétence d'Europol;

b)

les infractions pénales commises pour faciliter l'exécution d'actes relevant de la compétence d'Europol, ou les perpétrer;

c)

les infractions pénales commises dans le but d'assurer l'impunité de ceux qui commettent des actes relevant de la compétence d'Europol.

Article 4

Missions

1.   Europol est chargée des missions suivantes pour atteindre les objectifs fixés à l'article 3:

a)

collecter, stocker, traiter, analyser et échanger des informations, y compris des éléments de renseignement criminel;

b)

communiquer sans retard aux États membres, par l'intermédiaire des unités nationales créées ou désignées en vertu de l'article 7, paragraphe 2, toute information ou tout lien existant entre des infractions pénales qui les concernent;

c)

coordonner, organiser et réaliser des enquêtes et des actions opérationnelles pour soutenir et renforcer les actions des autorités compétentes des États membres, qui sont menées:

i)

conjointement avec les autorités compétentes des États membres; ou

ii)

dans le cadre d'équipes communes d'enquête, conformément à l'article 5 et, s'il y a lieu, en liaison avec Eurojust;

d)

participer à des équipes communes d'enquête, ainsi que proposer leur constitution conformément à l'article 5;

e)

fournir aux États membres des informations et une aide à l'analyse lors d'événements internationaux majeurs;

f)

établir des évaluations de la menace, des analyses stratégiques et opérationnelles ainsi que des comptes rendus généraux;

g)

développer, partager et promouvoir une expertise en ce qui concerne les méthodes de prévention de la criminalité, les procédures d'enquête et les méthodes de police techniques et scientifiques, ainsi que dispenser des conseils aux États membres;

h)

soutenir les activités d'échange d'informations, les opérations et les enquêtes transfrontalières menées par les États membres, ainsi que les équipes communes d'enquête, notamment en fournissant un appui opérationnel, technique et financier;

i)

assurer des formations spécialisées et aider les États membres à organiser des formations, y compris par un soutien financier, dans le cadre de ses objectifs et en fonction des effectifs et des ressources budgétaires dont elle dispose, en coordination avec l'Agence de l'Union européenne pour la formation des services répressifs (CEPOL);

j)

coopérer avec les organes de l'Union institués sur la base du titre V du traité sur le fonctionnement de l'Union européenne et avec l'OLAF, en particulier par des échanges d'informations et en leur fournissant une aide à l'analyse dans les domaines relevant de leur compétence;

k)

fournir des informations et un appui aux structures et aux missions de gestion des crises de l'UE instituées sur la base du traité sur l'Union européenne, dans le cadre des objectifs d'Europol énoncés à l'article 3;

l)

développer des centres d'expertise spécialisée de l'Union pour lutter contre certaines formes de criminalité relevant des objectifs d'Europol, notamment le Centre européen de lutte contre la cybercriminalité;

m)

soutenir les actions des États membres en matière de prévention des formes de criminalité énumérées à l'annexe I qui sont facilitées, favorisées ou commises à l'aide de l'internet, et de lutte contre ces phénomènes, y compris, en coopération avec les États membres, le signalement de contenu sur internet, à l'aide duquel ces formes de criminalité sont facilitées, favorisées ou commises, aux fournisseurs de services en ligne concernés pour qu'ils examinent sur une base volontaire la compatibilité du contenu sur internet signalé avec leurs propres conditions générales.

2.   Europol fournit des analyses stratégiques et des évaluations de la menace afin d'aider le Conseil et la Commission à établir les priorités stratégiques et opérationnelles de l'Union aux fins de la lutte contre la criminalité. Europol fournit également un appui pour la mise en œuvre opérationnelle de ces priorités.

3.   Europol fournit des analyses stratégiques et des évaluations de la menace pour contribuer à une utilisation efficace et rationnelle des ressources disponibles au niveau national et de l'Union pour les activités opérationnelles, et fournir un appui à ces dernières.

4.   Europol joue le rôle d'office central de répression du faux-monnayage de l'euro conformément à la décision 2005/511/JAI du Conseil (20). Europol facilite également la coordination des mesures prises par les autorités compétentes des États membres ou dans le cadre d'équipes communes d'enquête, s'il y a lieu en liaison avec des organes de l'Union et les autorités de pays tiers, afin de lutter contre le faux-monnayage de l'euro.

5.   Europol n'applique pas de mesures coercitives dans l'exercice de ses missions.

CHAPITRE II

COOPÉRATION ENTRE LES ÉTATS MEMBRES ET EUROPOL

Article 5

Participation aux équipes communes d'enquête

1.   Le personnel d'Europol peut participer aux activités des équipes communes d'enquête lorsqu'elles portent sur les formes de criminalité relevant des objectifs d'Europol. L'accord créant une équipe commune d'enquête fixe les conditions relatives à la participation du personnel d'Europol à l'équipe, et comprend les informations relatives aux règles en matière de responsabilité.

2.   Le personnel d'Europol peut, dans les limites du droit des États membres dans lesquels une équipe commune d'enquête opère, prêter son concours à toutes les activités et à tous les échanges d'informations ayant lieu avec tout membre de cette équipe commune d'enquête.

3.   Le personnel d'Europol participant à une équipe commune d'enquête peut, conformément au présent règlement, fournir à tous les membres de l'équipe les informations nécessaires traitées par Europol aux fins énoncées à l'article 18, paragraphe 2. Europol en informe simultanément les unités nationales des États membres représentés dans l'équipe ainsi que celles des États membres qui ont fourni les informations.

4.   Les informations obtenues par le personnel d'Europol lors de sa participation à une équipe commune d'enquête peuvent, avec l'accord et sous la responsabilité de l'État membre qui les a fournies, être traitées par Europol aux fins énoncées à l'article 18, paragraphe 2, selon les conditions établies par le présent règlement.

5.   Lorsque Europol a des motifs de croire que la constitution d'une équipe commune d'enquête apporterait une valeur ajoutée à une enquête, elle peut en faire la proposition aux États membres concernés et prendre des mesures en vue de les aider à créer cette équipe.

Article 6

Demandes d'Europol visant à ouvrir une enquête pénale

1.   Dans les cas particuliers où Europol considère qu'une enquête pénale devrait être ouverte au sujet d'une forme de criminalité relevant de ses objectifs, elle demande aux autorités compétentes des États membres concernés, par l'intermédiaire des unités nationales, d'ouvrir, de mener ou de coordonner cette enquête pénale.

2.   Les unités nationales informent sans retard Europol de la décision des autorités compétentes des États membres concernant toute demande introduite en application du paragraphe 1.

3.   Si les autorités compétentes d'un État membre décident de ne pas donner suite à une demande présentée par Europol en application du paragraphe 1, elles informent Europol des motifs de leur décision, sans retard injustifié, et de préférence dans un délai d'un mois à compter de la réception de la demande. Toutefois, il est permis de ne pas communiquer les motifs si leur communication:

a)

était contraire aux intérêts essentiels de la sécurité de l'État membre concerné; ou

b)

compromettait le succès d'une enquête en cours ou la sécurité d'une personne physique.

4.   Europol informe immédiatement Eurojust de toute demande présentée en application du paragraphe 1 et de toute décision prise par une autorité compétente d'un État membre en application du paragraphe 2.

Article 7

Unités nationales Europol

1.   Les États membres et Europol coopèrent dans l'accomplissement de leurs missions respectives définies dans le présent règlement.

2.   Chaque État membre met en place ou désigne une unité nationale, qui constitue l'organe de liaison entre Europol et les autorités compétentes de cet État membre. Chaque État membre désigne un fonctionnaire comme chef de son unité nationale.

3.   Chaque État membre veille à ce que son unité nationale soit compétente, en vertu de son droit national, pour s'acquitter des missions assignées aux unités nationales dans le présent règlement, et notamment à ce qu'elle ait accès aux données des services répressifs nationaux et aux autres données pertinentes nécessaires à la coopération avec Europol.

4.   Chaque État membre définit l'organisation de son unité nationale et détermine ses effectifs conformément à son droit national.

5.   Conformément au paragraphe 2, l'unité nationale est l'organe de liaison entre Europol et les autorités compétentes des États membres. Toutefois, sous réserve des conditions fixées par les États membres, y compris l'intervention préalable de l'unité nationale, les États membres peuvent autoriser des contacts directs entre leurs autorités compétentes et Europol. L'unité nationale reçoit en même temps d'Europol toutes les informations échangées au cours des contacts directs entre Europol et les autorités compétentes, à moins que l'autorité nationale n'indique qu'elle n'a pas besoin de recevoir ces informations.

6.   Les États membres, par l'intermédiaire de leur unité nationale ou, sous réserve du paragraphe 5, d'une autorité compétente, assurent notamment:

a)

la communication à Europol des informations nécessaires à la réalisation de ses objectifs, y compris des informations relatives aux formes de criminalité à l'égard desquelles la prévention et la lutte sont considérées comme des priorités de l'Union;

b)

une communication et une coopération efficaces avec Europol, de la part de toutes les autorités compétentes concernées;

c)

une sensibilisation aux activités d'Europol;

d)

conformément à l'article 38, paragraphe 5, point a), le respect du droit national lors de la communication d'informations à Europol.

7.   Sans préjudice de l'exercice, par les États membres, de leurs responsabilités en matière de maintien de l'ordre public et de protection de la sécurité intérieure, les États membres ne sont pas tenus, dans une affaire donnée, de fournir des informations conformément au paragraphe 6, point a), qui auraient pour effet:

a)

d'être contraire aux intérêts essentiels de la sécurité de l'État membre;

b)

de compromettre le succès d'une enquête en cours ou la sécurité d'une personne physique; ou

c)

de divulguer des informations concernant des organisations ou des activités de renseignement spécifiques dans le domaine de la sûreté nationale.

Cependant, les États membres fournissent des informations dès qu'elles n'entrent plus dans le champ d'application des points a), b) ou c) du premier alinéa.

8.   Les États membres veillent à ce que leurs cellules de renseignement financier, créées en application de la directive 2005/60/CE du Parlement européen et du Conseil (21), soient autorisées à coopérer avec Europol par l'intermédiaire de leur unité nationale en ce qui concerne les analyses, dans les limites de leur mandat et de leur compétence.

9.   Les chefs des unités nationales se réunissent périodiquement, afin notamment d'examiner et de résoudre les problèmes qui se posent dans le cadre de leur coopération opérationnelle avec Europol.

10.   Les frais exposés par les unités nationales pour les communications avec Europol sont à la charge des États membres et, à l'exception des frais de connexion, ne sont pas mis à la charge d'Europol.

11.   Europol rédige un rapport annuel sur les informations fournies par chaque État membre en application du paragraphe 6, point a), sur la base des critères d'évaluation quantitatifs et qualitatifs fixés par le conseil d'administration. Ce rapport annuel est transmis au Parlement européen, au Conseil, à la Commission et aux parlements nationaux.

Article 8

Officiers de liaison

1.   Chaque unité nationale désigne auprès d'Europol au moins un officier de liaison. Sauf dispositions contraires prévues dans le présent règlement, les officiers de liaison sont soumis au droit national de l'État membre qui procède à la désignation.

2.   Les officiers de liaison, qui constituent les bureaux nationaux de liaison auprès d'Europol, sont chargés par leur unité nationale de représenter les intérêts de celle-ci au sein d'Europol conformément au droit national de l'État membre qui les a désignés et aux dispositions applicables au fonctionnement d'Europol.

3.   Les officiers de liaison contribuent à l'échange d'informations entre Europol et leur État membre.

4.   Les officiers de liaison contribuent, conformément à leur droit national, à l'échange d'informations entre leur État membre et les officiers de liaison des autres États membres, les pays tiers et les organisations internationales. Les infrastructures d'Europol peuvent également être utilisées, conformément au droit national, pour ces échanges bilatéraux lorsqu'il s'agit de formes de criminalité ne relevant pas des objectifs d'Europol. Tous ces échanges d'informations se font conformément au droit de l'Union et au droit national applicables.

5.   Le conseil d'administration définit les droits et obligations des officiers de liaison à l'égard d'Europol. Les officiers de liaison jouissent des privilèges et des immunités nécessaires à l'exécution de leurs missions conformément à l'article 63, paragraphe 2.

6.   Europol veille à ce que les officiers de liaison soient parfaitement informés de toutes ses activités et qu'ils y soient pleinement associés, dans la mesure nécessaire à l'exécution de leurs missions.

7.   Europol assume les coûts liés à la mise à la disposition des États membres de locaux dans son immeuble et à l'octroi d'un soutien suffisant pour permettre aux officiers de liaison de remplir leurs fonctions. Tous les autres frais liés à la désignation d'officiers de liaison sont supportés par l'État membre qui procède à la désignation, y compris les frais liés à leur dotation en équipement, sauf si le Parlement européen et le Conseil en décident autrement sur recommandation du conseil d'administration.

CHAPITRE III

ORGANISATION D'EUROPOL

Article 9

Structure administrative et de gestion d'Europol

La structure administrative et de gestion d'Europol comprend:

a)

le conseil d'administration;

b)

un directeur exécutif;

c)

s'il y a lieu, d'autres organes consultatifs créés par le conseil d'administration conformément à l'article 11, paragraphe 1, point s);

SECTION 1

Conseil d'administration

Article 10

Composition du conseil d'administration

1.   Le conseil d'administration est composé d'un représentant de chaque État membre et d'un représentant de la Commission. Chaque représentant dispose du droit de vote.

2.   Les membres du conseil d'administration sont nommés en tenant compte de leur connaissance de la coopération entre services répressifs.

3.   Chaque membre du conseil d'administration a un membre suppléant, qui est nommé en tenant compte du critère fixé au paragraphe 2. Le suppléant représente le membre en son absence.

Il est également tenu compte du principe de la représentation équilibrée des hommes et des femmes au sein du conseil d'administration.

4.   Sans préjudice du droit qu'ont les États membres et la Commission de mettre un terme au mandat de leurs membres et membres suppléants respectifs, le mandat au conseil d'administration est de quatre ans. Il peut être prolongé.

Article 11

Fonctions du conseil d'administration

1.   Le conseil d'administration:

a)

adopte chaque année, à la majorité des deux tiers de ses membres et conformément à l'article 12, un document contenant la programmation pluriannuelle d'Europol et son programme de travail annuel pour l'année suivante;

b)

adopte, à la majorité des deux tiers de ses membres, le budget annuel d'Europol et exerce d'autres fonctions en rapport avec le budget d'Europol, en vertu du chapitre X;

c)

adopte un rapport d'activité annuel consolidé sur les activités d'Europol et le transmet, au plus tard le 1er juillet de l'année suivante, au Parlement européen, au Conseil, à la Commission, à la Cour des comptes et aux parlements nationaux. Le rapport d'activité annuel consolidé est rendu public;

d)

adopte les règles financières applicables à Europol, conformément à l'article 61;

e)

adopte une stratégie antifraude interne proportionnée aux risques de fraude, tenant compte du rapport coûts-avantages des mesures à mettre en œuvre;

f)

adopte des règles de prévention et de gestion des conflits d'intérêts à l'égard de ses membres, y compris en liaison avec leur déclaration d'intérêt;

g)

conformément au paragraphe 2, exerce, vis-à-vis du personnel d'Europol, les compétences conférées à l'autorité investie du pouvoir de nomination par le statut et à l'autorité habilitée à conclure les contrats d'engagement par le régime applicable aux autres agents (ci-après dénommées «compétences relevant de l'autorité investie du pouvoir de nomination»);

h)

adopte les règles d'exécution appropriées visant à donner effet au statut et du régime applicable aux autres agents, conformément à l'article 110 du statut;

i)

adopte des règles internes relatives à la procédure de sélection du directeur exécutif, y compris les règles relatives à la composition du comité de sélection qui garantissent son indépendance et son impartialité;

j)

propose au Conseil une liste restreinte de candidats pour le poste de directeur exécutif et les postes de directeurs exécutifs adjoints et, s'il y a lieu, propose au Conseil de prolonger leur mandat ou de les démettre de leurs fonctions, conformément aux articles 54 et 55;

k)

établit des indicateurs de performance et supervise l'action du directeur exécutif, y compris la mise en œuvre des décisions du conseil d'administration;

l)

nomme un délégué à la protection des données, qui est fonctionnellement indépendant dans l'exercice de ses fonctions;

m)

nomme un comptable, qui est soumis au statut et au régime applicable aux autres agents et fonctionnellement indépendant dans l'exercice de ses fonctions;

n)

met en place, le cas échéant, une structure d'audit interne;

o)

assure un suivi adéquat des conclusions et recommandations issues des divers rapports d'audit et évaluations internes ou externes, ainsi que des enquêtes de l'OLAF et du CEPD;

p)

détermine les critères d'évaluation à utiliser pour le rapport annuel, conformément à l'article 7, paragraphe 11;

q)

adopte des lignes directrices précisant davantage les procédures de traitement des informations par Europol conformément à l'article 18, après consultation du CEPD;

r)

autorise la conclusion d'arrangements de travail et d'arrangements administratifs conformément à l'article 23, paragraphe 4, et à l'article 25, paragraphe 1, respectivement;

s)

décide, en prenant en considération à la fois les exigences opérationnelles et financières, de la mise en place des structures internes d'Europol, y compris des centres d'expertise spécialisée de l'Union visés à l'article 4, paragraphe 1, point l), sur proposition du directeur exécutif;

t)

adopte son règlement intérieur, y compris des dispositions concernant les missions et le fonctionnement de son secrétariat;

u)

adopte, le cas échéant, d'autres règles internes.

2.   Si le conseil d'administration le considère nécessaire pour l'accomplissement des missions d'Europol, il peut suggérer au Conseil d'attirer l'attention de la Commission sur la nécessité de disposer d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), ou d'une recommandation de décision autorisant l'ouverture de négociations en vue de la conclusion d'un accord international visé à l'article 25, paragraphe 1, point b).

3.   Le conseil d'administration adopte, conformément à l'article 110 du statut, une décision fondée sur l'article 2, paragraphe 1, du statut et sur l'article 6 du régime applicable aux autres agents, déléguant au directeur exécutif les compétences correspondantes relevant de l'autorité investie du pouvoir de nomination et établissant les conditions dans lesquelles cette délégation de compétences peut être suspendue. Le directeur exécutif est autorisé à subdéléguer ces compétences.

Lorsque des circonstances exceptionnelles l'exigent, le conseil d'administration peut, par voie de décision, suspendre temporairement la délégation des compétences relevant de l'autorité investie du pouvoir de nomination au directeur exécutif et toute subdélégation de celles-ci, et les exercer lui-même ou les déléguer à un de ses membres ou à un membre du personnel autre que le directeur exécutif.

Article 12

Programmation pluriannuelle et programmes de travail annuels

1.   Au plus tard le 30 novembre de chaque année, le conseil d'administration adopte un document contenant la programmation pluriannuelle et le programme de travail annuel d'Europol, sur la base d'un projet proposé par le directeur exécutif, en tenant compte de l'avis de la Commission et, en ce qui concerne la programmation pluriannuelle, après consultation du groupe de contrôle parlementaire conjoint. Il transmet ce document au Conseil, à la Commission et au groupe de contrôle parlementaire conjoint.

2.   La programmation pluriannuelle expose la programmation stratégique globale, y compris les objectifs, les résultats attendus et les indicateurs de performance. Elle contient également la planification des ressources, y compris le budget pluriannuel et les effectifs. Elle comprend la stratégie pour les relations avec les pays tiers et les organisations internationales.

La programmation pluriannuelle est mise en œuvre au moyen de programmes de travail annuels et, s'il y a lieu, est mise à jour au vu des résultats des évaluations externes et internes. La conclusion de ces évaluations est également prise en compte, au besoin, dans le programme de travail annuel pour l'année suivante.

3.   Le programme de travail annuel expose les objectifs détaillés, les résultats escomptés et les indicateurs de performance. Il contient, en outre, une description des actions à financer et une indication des ressources financières et humaines allouées à chaque action, conformément aux principes d'établissement du budget par activités et de la gestion fondée sur les activités. Le programme de travail annuel est cohérent par rapport à la programmation pluriannuelle. Il indique clairement les tâches qui ont été ajoutées, modifiées ou supprimées par rapport à l'exercice précédent.

4.   Lorsque, après l'adoption du programme de travail annuel, une nouvelle mission est confiée à Europol, le conseil d'administration modifie le programme de travail annuel.

5.   Toute modification substantielle du programme de travail annuel est soumise à une procédure d'adoption identique à celle applicable à l'adoption du programme de travail annuel initial. Le conseil d'administration peut déléguer au directeur exécutif le pouvoir d'apporter des modifications non substantielles au programme de travail annuel.

Article 13

Président et vice-président du conseil d'administration

1.   Le conseil d'administration élit un président et un vice-président au sein du groupe des trois États membres qui ont élaboré conjointement le programme de dix-huit mois du Conseil. Ils exercent leur mandat pendant la période de dix-huit mois correspondant audit programme du Conseil. Toutefois, si le président ou le vice-président perd sa qualité de membre du conseil d'administration à un moment quelconque de son mandat de président ou de vice-président, ce mandat expire automatiquement à la même date.

2.   Le président et le vice-président sont élus à la majorité des deux tiers des membres du conseil d'administration.

3.   Le vice-président remplace d'office le président si celui-ci n'est pas en mesure d'assumer ses fonctions.

Article 14

Réunions du conseil d'administration

1.   Le président convoque le conseil d'administration.

2.   Le directeur exécutif participe aux délibérations du conseil d'administration.

3.   Le conseil d'administration se réunit au moins deux fois par an en session ordinaire. En outre, il se réunit à l'initiative de son président, ou à la demande de la Commission ou d'au moins un tiers de ses membres.

4.   Le conseil d'administration peut inviter toute personne dont l'avis peut être pertinent aux fins des débats, y compris, le cas échéant, un représentant du groupe de contrôle parlementaire conjoint, à participer aux réunions en tant qu'observateur sans droit de vote.

5.   Les membres titulaires et les membres suppléants du conseil d'administration peuvent, sous réserve du règlement intérieur, être assistés aux réunions par des conseillers ou des experts.

6.   Europol assure le secrétariat du conseil d'administration.

Article 15

Procédure de vote du conseil d'administration

1.   Sans préjudice de l'article 11, paragraphe 1, points a) et b), de l'article 13, paragraphe 2, de l'article 50, paragraphe 2, de l'article 54, paragraphe 8, et de l'article 64, le conseil d'administration prend ses décisions à la majorité de ses membres.

2.   Chaque membre dispose d'une voix. En l'absence d'un membre disposant du droit de vote, son suppléant peut exercer son droit de vote.

3.   Le directeur exécutif ne participe pas au vote.

4.   Le règlement intérieur du conseil d'administration fixe les modalités détaillées du vote, notamment les conditions dans lesquelles un membre peut agir au nom d'un autre membre, ainsi que les exigences en matière de quorum, le cas échéant.

SECTION 2

Directeur exécutif

Article 16

Responsabilités du directeur exécutif

1.   Le directeur exécutif assure la gestion d'Europol. Il rend compte de sa gestion au conseil d'administration.

2.   Sans préjudice des compétences de la Commission ou du conseil d'administration, le directeur exécutif est indépendant dans l'exercice de ses fonctions et ne sollicite ni n'accepte aucune instruction d'aucune administration ni d'aucun autre organe.

3.   Le Conseil peut inviter le directeur exécutif à faire rapport sur l'exécution de ses fonctions.

4.   Le directeur exécutif est le représentant légal d'Europol.

5.   Le directeur exécutif est chargé de la mise en œuvre des missions confiées à Europol par le présent règlement, notamment:

a)

l'administration courante d'Europol;

b)

la présentation au conseil d'administration de propositions relatives à la mise en place des structures internes d'Europol;

c)

la mise en œuvre des décisions adoptées par le conseil d'administration;

d)

l'élaboration du projet de programmation pluriannuelle et des programmes de travail annuels et leur présentation au conseil d'administration après consultation de la Commission;

e)

la mise en œuvre de la programmation pluriannuelle et des programmes de travail annuels et l'établissement d'un rapport destiné au conseil d'administration sur leur mise en œuvre;

f)

l'élaboration d'un projet de règles d'exécution visant à donner effet au statut et au régime applicable aux autres agents, conformément à l'article 110 du statut;

g)

l'élaboration du projet de rapport annuel consolidé sur les activités d'Europol et sa présentation pour adoption au conseil d'administration;

h)

l'élaboration d'un plan d'action donnant suite aux conclusions des rapports d'audit et des évaluations internes ou externes, ainsi qu'aux rapports d'enquête et aux recommandations résultant des enquêtes de l'OLAF et du CEPD, et la présentation de rapports semestriels à la Commission et de rapports réguliers au conseil d'administration sur les progrès accomplis;

i)

la protection des intérêts financiers de l'Union par l'application de mesures préventives contre la fraude, la corruption et toute autre activité illégale et, sans préjudice des pouvoirs d'enquête de l'OLAF, par des contrôles efficaces et, si des irrégularités sont constatées, par le recouvrement des montants indûment versés et, le cas échéant, par des sanctions administratives et financières effectives, proportionnées et dissuasives;

j)

l'élaboration d'un projet de stratégie antifraude interne pour Europol et sa présentation pour adoption au conseil d'administration;

k)

l'élaboration d'un projet de règles internes de prévention et de gestion des conflits d'intérêts à l'égard des membres du conseil d'administration et sa présentation pour adoption au conseil d'administration;

l)

l'élaboration du projet de règles financières applicable à Europol;

m)

l'établissement du projet d'état prévisionnel des recettes et dépenses d'Europol et l'exécution de son budget;

n)

l'assistance au président du conseil d'administration en ce qui concerne la préparation des réunions du conseil d'administration;

o)

l'information régulière du conseil d'administration sur la mise en œuvre des priorités stratégiques et opérationnelles de l'Union en matière de lutte contre la criminalité;

p)

l'exécution d'autres missions en vertu du présent règlement.

CHAPITRE IV

TRAITEMENT DE L'INFORMATION

Article 17

Sources d'information

1.   Europol ne traite que les informations qui lui ont été fournies:

a)

par les États membres, conformément à leur droit national et à l'article 7;

b)

par les organes de l'Union, les pays tiers et les organisations internationales, conformément au chapitre V;

c)

par les parties privées et les particuliers, conformément au chapitre V.

2.   Europol peut directement extraire et traiter des informations, y compris des données à caractère personnel, provenant de sources accessibles au public, y compris l'internet et les données publiques.

3.   Dans la mesure où Europol est en droit, en vertu d'instruments juridiques de l'Union, internationaux ou nationaux, d'interroger par voie automatisée des systèmes d'information de l'Union, internationaux ou nationaux, elle peut extraire et traiter de cette façon des informations, y compris des données à caractère personnel, si cela est nécessaire pour lui permettre d'accomplir ses missions. Les dispositions applicables de ces instruments juridiques de l'Union, internationaux ou nationaux régissent l'accès à ces informations et leur utilisation par Europol, dans la mesure où elles prévoient des règles d'accès et d'utilisation plus strictes que celles prévues par le présent règlement. L'accès à ces systèmes d'information n'est accordé qu'aux membres du personnel dûment habilités d'Europol et seulement dans la mesure où cela est nécessaire et proportionné à l'exécution de leurs missions.

Article 18

Finalités des activités de traitement d'informations

1.   Dans la mesure nécessaire pour atteindre ses objectifs tels qu'énoncés à l'article 3, Europol peut traiter des informations, y compris des données à caractère personnel.

2.   Les données à caractère personnel ne peuvent être traitées que pour les finalités ci-après:

a)

recoupements visant à établir des liens ou d'autres rapports pertinents entre des informations relatives:

i)

aux personnes qui sont soupçonnées d'avoir commis une infraction pénale ou d'avoir participé à une infraction pénale relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;

ii)

aux personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire qu'elles commettront des infractions pénales relevant de la compétence d'Europol;

b)

analyses de nature stratégique ou thématique;

c)

analyses opérationnelles;

d)

facilitation de l'échange d'informations entre les États membres, Europol, d'autres organes de l'Union, des pays tiers et des organisations internationales.

3.   Le traitement aux fins des analyses opérationnelles visées au paragraphe 2, point c), est effectué au moyen de projets d'analyse opérationnelle auxquels s'appliquent les garanties spécifiques suivantes:

a)

pour chaque projet d'analyse opérationnelle, le directeur exécutif définit la finalité spécifique, les catégories de données à caractère personnel et les catégories de personnes concernées, les participants, la durée de conservation et les conditions d'accès, de transfert et d'utilisation des données concernées et en informe le conseil d'administration et le CEPD;

b)

les données à caractère personnel ne peuvent être collectées et traitées qu'aux fins du projet d'analyse opérationnelle spécifié. Lorsqu'il apparaît que les données à caractère personnel peuvent être utiles pour un autre projet d'analyse opérationnelle, un traitement ultérieur de ces données n'est autorisé que dans la mesure où il est nécessaire et proportionné et où les données à caractère personnel sont compatibles avec les dispositions prévues au point a) qui s'appliquent à l'autre projet d'analyse;

c)

seul le personnel habilité peut avoir accès aux données du projet concerné et les traiter.

4.   Le traitement visé aux paragraphes 2 et 3 est effectué dans le respect des garanties relatives à la protection des données prévues dans le présent règlement. Europol documente ces opérations de traitement comme il se doit. Cette documentation est, sur demande, mise à la disposition du délégué à la protection des données et du CEPD aux fins du contrôle de la licéité des opérations de traitement.

5.   Les catégories de données à caractère personnel et les catégories de personnes concernées dont les données peuvent être collectées et traitées pour chacune des finalités visées au paragraphe 2 sont énumérées à l'annexe II.

6.   Europol peut traiter temporairement des données afin de déterminer si, et, dans l'affirmative, pour quelle finalité visée au paragraphe 2, ces données sont pertinentes pour ses tâches. Le conseil d'administration, sur proposition du directeur exécutif et après consultation du CEPD, précise davantage les conditions relatives au traitement de ces données, notamment en ce qui concerne l'accès aux données et leur utilisation, ainsi que les délais de conservation et d'effacement des données, qui ne peuvent dépasser six mois, dans le strict respect des principes visés à l'article 28.

7.   Le conseil d'administration, après consultation du CEPD, adopte, le cas échéant, des lignes directrices précisant davantage les procédures de traitement des informations aux fins énumérées au paragraphe 2, conformément à l'article 11, paragraphe 1, point q).

Article 19

Détermination des finalités du traitement d'informations par Europol et des limitations en la matière

1.   Tout État membre, organe de l'Union, pays tiers ou organisation internationale qui fournit des informations à Europol définit la ou les finalités du traitement de ces données conformément à l'article 18. À défaut, Europol, en accord avec le fournisseur des informations concerné, traite ces informations en vue de déterminer leur pertinence ainsi que la ou les finalités de leur traitement ultérieur. Europol ne peut traiter ces informations à des fins autres que celles pour lesquelles elles ont été fournies que si le fournisseur des informations l'y autorise.

2.   Les États membres, les organes de l'Union, les pays tiers et les organisations internationales peuvent notifier, lors de la fourniture des informations à Europol, toute limitation de l'accès à ces données ou de leur utilisation, en termes généraux ou spécifiques, y compris en ce qui concerne leur transfert, effacement ou destruction. Lorsque la nécessité d'appliquer ces limitations apparaît après la fourniture des informations, ils en informent Europol. Europol se conforme à ces limitations.

3.   Dans des cas dûment justifiés, Europol peut soumettre les informations extraites auprès de sources accessibles au public à des limitations d'accès ou d'utilisation par les États membres, les organes de l'Union, les pays tiers et les organisations internationales.

Article 20

Accès des États membres et du personnel d'Europol aux informations conservées par Europol

1.   Les États membres ont, conformément à leur droit national et à l'article 7, paragraphe 5, accès à toutes les informations fournies aux fins de l'article 18, paragraphe 2, points a) et b), et peuvent effectuer des recherches dans ces données. Cela s'entend sans préjudice du droit des États membres, des organes de l'Union, des pays tiers et des organisations internationales de notifier toute limitation conformément à l'article 19, paragraphe 2.

2.   Les États membres disposent, conformément à leur droit national et à l'article 7, paragraphe 5, d'un accès indirect fondé sur un système de concordance/non-concordance («hit/no hit») aux informations fournies aux fins de l'article 18, paragraphe 2, point c). Cela s'entend sans préjudice de toute limitation notifiée par les États membres, les organes de l'Union, les pays tiers et les organisations internationales ayant fourni ces informations, conformément à l'article 19, paragraphe 2.

En cas de concordance, Europol engage la procédure permettant de partager l'information qui a généré cette concordance, conformément à la décision du fournisseur de l'information à Europol.

3.   Conformément au droit national, les informations visées aux paragraphes 1 et 2 ne sont accessibles et ne font l'objet d'un traitement ultérieur par les États membres qu'aux fins de la prévention et de la répression:

a)

des formes de criminalité qui relèvent de la compétence d'Europol; et

b)

d'autres formes graves de criminalité énoncées dans la décision-cadre 2002/584/JAI du Conseil (22).

4.   Les membres du personnel d'Europol dûment habilités par le directeur exécutif ont accès aux informations traitées par Europol dans la mesure nécessaire à l'exécution de leurs fonctions et sans préjudice de l'article 67.

Article 21

Accès d'Eurojust et de l'OLAF aux informations conservées par Europol

1.   Europol prend toutes les mesures appropriées pour permettre à Eurojust et à l'OLAF, dans le cadre de leurs mandats respectifs, de disposer d'un accès indirect fondé sur un système de concordance/non-concordance («hit/no hit») aux informations fournies aux fins de l'article 18, paragraphe 2, points a), b) et c), sans préjudice de toute limitation notifiée par les États membres, les organes de l'Union, les pays tiers ou les organisations internationales ayant fourni les informations concernées, conformément à l'article 19, paragraphe 2.

En cas de concordance, Europol engage la procédure permettant de partager l'information qui a généré cette concordance, conformément à la décision du fournisseur de l'information à Europol et uniquement dans la mesure où les données générant la concordance sont nécessaires à l'accomplissement des missions d'Eurojust ou de l'OLAF.

2.   Europol et Eurojust peuvent conclure un arrangement de travail leur assurant de manière réciproque et dans le cadre de leurs mandats respectifs, l'accès à toutes les informations fournies aux fins de l'article 18, paragraphe 2, point a), et la possibilité d'effectuer des recherches sur ces informations. Cela est sans préjudice du droit des États membres, des organes de l'Union, des pays tiers et des organisations internationales de notifier toute limitation de l'accès à ces données ou de leur utilisation et conformément aux garanties en matière de protection des données prévues dans le présent règlement.

3.   Les recherches d'information relevant des paragraphes 1 et 2 ne sont effectuées qu'aux fins de déterminer si des informations disponibles auprès d'Eurojust ou de l'OLAF correspondent aux informations traitées au sein d'Europol.

4.   Europol n'autorise la réalisation de recherches conformément aux paragraphes 1 et 2 qu'après avoir obtenu, de la part d'Eurojust, des informations sur les membres nationaux, les suppléants, les assistants et les membres du personnel d'Eurojust et, de la part de l'OLAF, des informations quant aux membres de son personnel qui ont été habilités à effectuer ces recherches.

5.   Si, au cours de ses activités de traitement d'informations dans le cadre d'une enquête déterminée, Europol ou un État membre constate la nécessité d'une coordination, d'une coopération ou d'un appui conformément au mandat d'Eurojust ou de l'OLAF, Europol en informe ces derniers et engage la procédure de partage des informations, conformément à la décision de l'État membre ayant fourni les informations. Dans ce cas, Eurojust ou l'OLAF consultent Europol.

6.   Eurojust, y compris son collège, ses membres nationaux, leurs suppléants, les assistants et les membres de son personnel, ainsi que l'OLAF respectent toute limitation de l'accès ou de l'utilisation, formulée en termes généraux ou spécifiques, notifiée par un État membre, un organe de l'Union, un pays tiers ou une organisation internationale, conformément à l'article 19, paragraphe 2.

7.   Europol, Eurojust et l'OLAF s'informent mutuellement si, après consultation de leurs données réciproques conformément au paragraphe 2 ou à la suite d'une concordance conformément au paragraphe 1, il existe des indications selon lesquelles certaines données pourraient être erronées ou contredire d'autres données.

Article 22

Obligation d'informer les États membres

1.   Conformément à l'article 4, paragraphe 1, point b), Europol communique sans retard à un État membre toute information le concernant. Si ces informations sont soumises à des limitations d'accès en application de l'article 19, paragraphe 2, qui en empêcheraient le partage, Europol consulte le fournisseur des informations qui a notifié la limitation d'accès afin d'obtenir l'autorisation de partager ces informations.

Dans un tel cas, les informations ne sont pas partagées sans autorisation explicite du fournisseur des informations.

2.   Indépendamment de toute limitation d'accès, Europol communique à un État membre toute information le concernant si cela est absolument nécessaire aux fins de la prévention d'une menace imminente pour la vie des personnes.

Dans un tel cas, Europol informe simultanément le fournisseur des informations du partage de ces informations et justifie son analyse de la situation.

CHAPITRE V

RELATIONS AVEC LES PARTENAIRES

SECTION 1

Dispositions communes

Article 23

Dispositions communes

1.   Dans la mesure où cela est nécessaire à l'accomplissement de ses missions, Europol peut établir et entretenir des relations de coopération avec des organes de l'Union conformément aux objectifs de ces derniers, avec des autorités de pays tiers, des organisations internationales et des parties privées.

2.   Sous réserve de toute limitation en vertu de l'article 19, paragraphe 2, et sans préjudice de l'article 67, Europol peut procéder à un échange direct de toute information, à l'exception des données à caractère personnel, avec les entités visées au paragraphe 1 du présent article, dans la mesure où un tel échange est pertinent pour l'accomplissement de ses missions.

3.   Le directeur exécutif informe le conseil d'administration de toutes les relations de coopération régulière qu'Europol a l'intention d'établir et de maintenir conformément aux paragraphes 1 et 2 ainsi que de leur évolution une fois qu'elles ont été établies.

4.   Aux fins mentionnées aux paragraphes 1 et 2, Europol peut conclure des arrangements de travail avec des entités visées au paragraphe 1. De tels arrangements n'autorisent pas l'échange de données à caractère personnel et ne lient ni l'Union ni ses États membres.

5.   Europol peut recevoir et traiter des données à caractère personnel d'entités mentionnées au paragraphe 1 dans la mesure où cela est nécessaire et proportionné pour l'accomplissement légitime de ses missions et sous réserve des dispositions du présent chapitre.

6.   Sans préjudice de l'article 30, paragraphe 5, les données à caractère personnel ne sont transférées par Europol à des organes de l'Union, vers des pays tiers et à des organisations internationales que si cela est nécessaire pour prévenir et lutter contre les formes de criminalité relevant des objectifs d'Europol et conformément au présent règlement, et si le destinataire s'engage à ce que les données ne soient traitées qu'aux fins pour lesquelles elles ont été transférées. Si les données à transférer ont été fournies par un État membre, Europol demande le consentement de ce dernier, sauf si l'État membre a donné son accord préalable à ce transfert, en termes généraux ou sous réserve de conditions spécifiques. Cet accord est révocable à tout moment.

7.   Les transferts ultérieurs de données à caractère personnel détenues par Europol, les États membres, les organes de l'Union, les pays tiers et les organisations internationales sont interdits, à moins qu'Europol ne les ait explicitement autorisés au préalable.

8.   Europol veille à ce qu'un relevé détaillé de tous les transferts de données à caractère personnel ainsi que des motifs de ces transferts soit conservé, conformément au présent règlement.

9.   Toute information manifestement obtenue en violation manifeste des droits de l'homme ne peut faire l'objet d'aucun traitement.

SECTION 2

Transferts et échanges de données à caractère personnel

Article 24

Transfert de données à caractère personnel vers des organes de l'Union

Sous réserve de toute limitation éventuelle en vertu de l'article 19, paragraphe 2 ou 3, et sans préjudice de l'article 67, Europol peut directement transférer des données à caractère personnel à un organe de l'Union, dans la mesure où cela est nécessaire à l'accomplissement de ses missions ou de celles de l'organe de l'Union destinataire.

Article 25

Transfert de données à caractère personnel vers des pays tiers et à des organisations internationales

1.   Sous réserve de toute limitation éventuelle en vertu de l'article 19, paragraphe 2 ou 3, et sans préjudice de l'article 67, Europol peut transférer des données à caractère personnel à une autorité d'un pays tiers ou à une organisation internationale, dans la mesure nécessaire à l'accomplissement de ses missions, sur l'un des fondements suivants:

a)

une décision de la Commission adoptée conformément à l'article 36 de la directive (UE) 2016/680, selon laquelle le pays tiers ou un territoire ou un secteur de traitement de données au sein de ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat (ci-après dénommée «décision d'adéquation»);

b)

un accord international conclu entre l'Union et le pays tiers ou l'organisation internationale concerné, en vertu de l'article 218 du traité sur le fonctionnement de l'Union européenne, offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et des droits fondamentaux des personnes;

c)

un accord de coopération autorisant l'échange de données à caractère personnel, conclu avant le 1er mai 2017 entre Europol et le pays tiers ou l'organisation internationale concerné, conformément à l'article 23 de la décision 2009/371/JAI.

Europol peut conclure des arrangements administratifs afin de mettre en œuvre ces accords ou ces décisions d'adéquation.

2.   Le directeur exécutif informe le conseil d'administration des échanges de données à caractère personnel effectués sur la base de décisions d'adéquation en vertu du paragraphe 1, point a).

3.   Europol publie sur son site internet et tient à jour une liste des décisions d'adéquation, des accords, des arrangements administratifs et des autres instruments relatifs au transfert de données à caractère personnel conformément au paragraphe 1.

4.   Au plus tard le 14 juin 2021, la Commission évalue les dispositions figurant dans les accords de coopération visés au paragraphe 1, point c), en particulier celles concernant la protection des données. La Commission informe le Parlement européen et le Conseil du résultat de cette évaluation et peut, le cas échéant, présenter au Conseil une recommandation de décision autorisant l'ouverture de négociations en vue de la conclusion d'accords internationaux visés au paragraphe 1, point b).

5.   Par dérogation au paragraphe 1, le directeur exécutif peut autoriser le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, au cas par cas, si ce transfert est:

a)

nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne;

b)

nécessaire à la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit de l'État membre transférant les données à caractère personnel le prévoit;

c)

essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers;

d)

nécessaire dans des cas particuliers à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales; ou

e)

nécessaire dans des cas particuliers à la constatation, à l'exercice ou à la défense d'un droit en justice en rapport avec la prévention et la détection d'une infraction pénale spécifique, les enquêtes et les poursuites en la matière, ou avec l'exécution d'une sanction pénale spécifique.

Les données à caractère personnel ne sont pas transférées si le directeur exécutif estime que les libertés et les droits fondamentaux de la personne concernée prévalent sur l'intérêt public dans le cadre du transfert visé aux points d) et e).

Aucune dérogation ne peut être applicable aux transferts systématiques, en masse ou structurels.

6.   Par dérogation au paragraphe 1, le conseil d'administration peut, en accord avec le CEPD, autoriser, pour une période ne pouvant dépasser un an, renouvelable, une série de transferts conformément au paragraphe 5, points a) à e), compte tenu de l'existence de garanties adéquates en ce qui concerne la protection de la vie privée et des libertés et des droits fondamentaux des personnes physiques. Cette autorisation doit être dûment justifiée et documentée.

7.   Le directeur exécutif informe au plus vite le conseil d'administration et le CEPD des cas dans lesquels le paragraphe 5 a été appliqué.

8.   Europol tient un relevé détaillé de tous les transferts effectués au titre du présent article.

Article 26

Échanges de données à caractère personnel avec des parties privées

1.   Dans la mesure où cela est nécessaire à l'accomplissement de ses missions, Europol peut traiter des données à caractère personnel obtenues de parties privées à condition de les avoir reçues par l'intermédiaire:

a)

d'une unité nationale, conformément au droit national;

b)

du point de contact d'un pays tiers ou d'une organisation internationale avec lesquels Europol a conclu, avant le 1er mai 2017, un accord de coopération autorisant l'échange de données à caractère personnel conformément à l'article 23 de la décision 2009/371/JAI; ou

c)

d'une autorité d'un pays tiers ou d'une organisation internationale faisant l'objet d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), du présent règlement, ou avec laquelle l'Union a conclu un accord international en vertu de l'article 218 du traité sur le fonctionnement de l'Union européenne.

2.   Si Europol reçoit néanmoins des données à caractère personnel directement de parties privées et si l'unité nationale, le point de contact ou l'autorité concerné visé au paragraphe 1 ne peut pas être identifié, Europol ne peut traiter ces données qu'à la seule fin de procéder à cette identification. Les données à caractère personnel sont ensuite transmises immédiatement à l'unité nationale, au point de contact ou à l'autorité concerné et supprimées à moins que l'unité nationale, le point de contact ou l'autorité concerné ne soumette à nouveau ces données à caractère personnel conformément à l'article 19, paragraphe 1, dans les quatre mois suivant le transfert. Europol assure par des moyens techniques que, durant cette période, les données en question ne sont pas accessibles en vue d'un traitement pour toute autre finalité.

3.   À la suite du transfert de données à caractère personnel conformément au paragraphe 5, point c), du présent article, Europol peut, en rapport avec celles-ci, recevoir des données à caractère personnel directement d'une partie privée que cette partie privée déclare être autorisée par la loi à transmettre conformément au droit applicable, afin de traiter ces données pour l'accomplissement de la mission prévue à l'article 4, paragraphe 1, point m).

4.   Si Europol reçoit des données à caractère personnel d'une partie privée se trouvant dans un pays tiers avec lequel aucun accord n'a été conclu sur la base de l'article 23 de la décision 2009/371/JAI ou de l'article 218 du traité sur le fonctionnement de l'Union européenne, ou qui ne fait pas l'objet d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), du présent règlement, Europol ne peut transmettre ces données qu'à un État membre ou à un pays tiers concerné avec lequel un tel accord a été conclu.

5.   Europol ne peut pas transférer de données à caractère personnel à des parties privées sauf, au cas par cas, lorsque cela est strictement nécessaire et sous réserve de toute limitation éventuelle stipulée en vertu de l'article 19, paragraphe 2 ou 3, et sans préjudice de l'article 67, lorsque:

a)

le transfert est, indubitablement, dans l'intérêt de la personne concernée et que soit le consentement de la personne concernée a été donné, soit les circonstances permettent de présumer sans équivoque qu'il y a eu consentement; ou

b)

le transfert est absolument nécessaire aux fins de la prévention de la commission imminente d'une forme de criminalité, y compris le terrorisme, qui relève de la compétence d'Europol; ou

c)

le transfert de données à caractère personnel qui sont accessibles au public est strictement nécessaire à l'accomplissement de la mission prévue à l'article 4, paragraphe 1, point m), et les conditions suivantes sont remplies:

i)

le transfert concerne un cas individuel et spécifique; et

ii)

il n'existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l'intérêt public exigeant le transfert dans le cas en question.

6.   En ce qui concerne le paragraphe 5, points a) et b), du présent article, si la partie privée concernée n'est pas établie dans l'Union ou dans un pays avec lequel Europol a un accord de coopération autorisant l'échange de données à caractère personnel, ou avec lequel l'Union a conclu un accord international en application de l'article 218 du traité sur le fonctionnement de l'Union européenne, ou qui fait l'objet d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), du présent règlement, le transfert n'est autorisé que si ce transfert est:

a)

nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou

b)

nécessaire à la sauvegarde des intérêts légitimes de la personne concernée; ou

c)

essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers; ou

d)

nécessaire dans des cas particuliers à des fins de prévention et de détection d'une infraction pénale relevant de la compétence d'Europol, d'enquêtes et de poursuites en la matière; ou

e)

nécessaire, dans des cas particuliers, à la constatation, à l'exercice ou à la défense d'un droit en justice en rapport avec la prévention et la détection d'une infraction pénale relevant de la compétence d'Europol, les enquêtes et les poursuites en la matière.

7.   Europol veille à ce qu'un relevé détaillé de tous les transferts de données à caractère personnel ainsi que des motifs de ces transferts soit conservé conformément au présent règlement et communiqué sur demande au CEPD en application de l'article 40.

8.   Si les données à caractère personnel reçues ou qui doivent être transférées portent atteinte aux intérêts d'un État membre, Europol informe immédiatement l'unité nationale de l'État membre concerné.

9.   Europol ne peut prendre contact avec des parties privées afin d'extraire des données à caractère personnel.

10.   La Commission évalue la pratique des échanges directs de données à caractère personnel avec des parties privées au plus tard le 1er mai 2019.

Article 27

Informations émanant de particuliers

1.   Dans la mesure où cela est nécessaire à l'accomplissement de ses missions, Europol peut recevoir et traiter des informations émanant de particuliers. Europol ne peut traiter des données à caractère personnel émanant de particuliers qu'à condition de les avoir reçues par l'intermédiaire:

a)

d'une unité nationale, conformément au droit national;

b)

du point de contact d'un pays tiers ou d'une organisation internationale avec lesquels Europol a conclu, avant le 1er mai 2017, un accord de coopération autorisant l'échange de données à caractère personnel conformément à l'article 23 de la décision 2009/371/JAI; ou

c)

d'une autorité d'un pays tiers ou d'une organisation internationale faisant l'objet d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), ou avec laquelle l'Union a conclu un accord international en vertu de l'article 218 du traité sur le fonctionnement de l'Union européenne.

2.   Si Europol reçoit des informations, y compris des données à caractère personnel, d'un particulier résidant dans un pays tiers avec lequel aucun accord international n'a été conclu sur la base de l'article 23 de la décision 2009/371/JAI ou de l'article 218 du traité sur le fonctionnement de l'Union européenne, ou qui ne fait pas l'objet d'une décision d'adéquation visée à l'article 25, paragraphe 1, point a), du présent règlement, Europol ne peut transmettre ces informations qu'à un État membre ou à un pays tiers concerné avec lequel un tel accord international a été conclu.

3.   Si les données à caractère personnel reçues portent atteinte aux intérêts d'un État membre, Europol informe immédiatement l'unité nationale de l'État membre concerné.

4.   Europol ne peut prendre contact avec des particuliers afin d'extraire des informations.

5.   Sans préjudice des articles 36 et 37, Europol ne peut pas transférer de données à caractère personnel à des particuliers.

CHAPITRE VI

GARANTIES RELATIVES À LA PROTECTION DES DONNÉES

Article 28

Principes généraux en matière de protection des données

1.   Les données à caractère personnel sont:

a)

traitées loyalement et licitement;

b)

collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Le traitement ultérieur de données à caractère personnel à des fins de recherches historiques, statistiques ou scientifiques n'est pas considéré comme incompatible à condition qu'Europol fournisse des garanties appropriées, notamment pour éviter tout traitement des données à d'autres fins;

c)

adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées;

d)

exactes et tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans retard;

e)

conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées; et

f)

traitées de manière à leur assurer un niveau de sécurité approprié.

2.   Europol met à la disposition du public un document exposant, sous une forme intelligible, les dispositions applicables en matière de traitement des données à caractère personnel et les moyens disponibles pour l'exercice des droits des personnes concernées.

Article 29

Évaluation de la fiabilité de la source et de l'exactitude des informations

1.   La fiabilité de la source des informations émanant d'un État membre est évaluée, dans la mesure du possible, par l'État membre qui les fournit, en utilisant les codes d'évaluation des sources suivants:

 

(A): il n'existe aucun doute quant à l'authenticité, à la fiabilité et à la compétence de la source, ou l'information provient d'une source qui s'est révélée fiable dans tous les cas;

 

(B): l'information provient d'une source qui s'est révélée fiable dans la plupart des cas;

 

(C): l'information provient d'une source qui s'est révélée non fiable dans la plupart des cas;

 

(X): la fiabilité de la source ne peut être évaluée.

2.   L'exactitude des informations émanant d'un État membre est évaluée, dans la mesure du possible, par l'État membre qui les fournit, en utilisant les codes d'évaluation des informations suivants:

 

(1): aucun doute n'est permis quant à l'exactitude de l'information;

 

(2): la source a eu directement connaissance de l'information, mais le fonctionnaire qui la transmet n'en a pas eu directement connaissance;

 

(3): la source n'a pas eu directement connaissance de l'information, mais celle-ci est corroborée par d'autres informations déjà enregistrées;

 

(4): la source n'a pas eu directement connaissance de l'information et celle-ci ne peut être corroborée d'aucune manière.

3.   Lorsque, sur la base d'informations déjà en sa possession, Europol arrive à la conclusion qu'il y a lieu de corriger l'évaluation prévue au paragraphe 1 ou 2, elle en informe l'État membre concerné et cherche à s'entendre avec lui sur la modification à apporter à l'évaluation. Europol ne modifie pas l'évaluation sans cet accord.

4.   Lorsqu'Europol reçoit d'un État membre des informations non assorties d'une évaluation conformément au paragraphe 1 ou 2, elle s'efforce d'évaluer la fiabilité de la source ou l'exactitude des informations sur la base des informations déjà en sa possession. L'évaluation de données ou d'informations spécifiques a lieu en accord avec l'État membre qui les a fournies. Un État membre peut aussi s'entendre avec Europol, en termes généraux, sur l'évaluation de types de données déterminés et de sources déterminées. En l'absence d'accord dans un cas particulier ou en l'absence d'accord en termes généraux, Europol évalue les informations ou les données et leur attribue les codes d'évaluation (X) et (4) visés, respectivement, aux paragraphes 1 et 2.

5.   Le présent article s'applique mutatis mutandis lorsqu'Europol reçoit des données ou des informations d'un organe de l'Union, d'un pays tiers, d'une organisation internationale ou d'une partie privée.

6.   Europol évalue les informations provenant de sources accessibles au public en utilisant les codes d'évaluation mentionnés aux paragraphes 1 et 2.

7.   Si les informations résultent d'une analyse réalisée par Europol dans l'accomplissement de ses missions, Europol évalue ces informations conformément au présent article et en accord avec les États membres participant à l'analyse.

Article 30

Traitement de catégories particulières de données à caractère personnel et de différentes catégories de personnes concernées

1.   Le traitement de données à caractère personnel concernant des victimes d'infraction pénale, des témoins ou d'autres personnes pouvant fournir des informations sur des infractions pénales, ou concernant des personnes de moins de 18 ans, est autorisé s'il est strictement nécessaire et proportionné pour prévenir ou lutter contre les formes de criminalité relevant des objectifs d'Europol.

2.   Le traitement de données à caractère personnel, par des moyens automatisés ou autres, qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale et le traitement de données génétiques ou de données relatives à la santé ou à la vie sexuelle d'une personne sont interdits, à moins qu'ils ne soient strictement nécessaires et proportionnés pour prévenir ou lutter contre les formes de criminalité relevant des objectifs d'Europol et à moins que ces données ne complètent d'autres données à caractère personnel traitées par Europol. La sélection d'un groupe particulier de personnes sur la seule base de ces données à caractère personnel est interdite.

3.   Europol a l'exclusivité de l'accès direct aux données à caractère personnel visées aux paragraphes 1 et 2. Le directeur exécutif autorise dûment un nombre limité de fonctionnaires d'Europol à avoir cet accès s'il est nécessaire à l'exécution de leurs tâches.

4.   Aucune décision d'une autorité compétente produisant des effets juridiques défavorables à l'égard d'une personne concernée ne peut se fonder exclusivement sur le traitement automatisé des données visées au paragraphe 2, sauf si cette décision est expressément autorisée en vertu du droit national ou du droit de l'Union.

5.   Les données à caractère personnel visées aux paragraphes 1 et 2 ne sont pas transmises à des États membres, à des organes de l'Union, vers des pays tiers ou à des organisations internationales, à moins que cette transmission ne soit strictement nécessaire et proportionnée dans des cas particuliers concernant des formes de criminalité relevant des objectifs d'Europol et que cela ne soit conforme au chapitre V.

6.   Tous les ans, Europol fournit au CEPD un aperçu statistique de toutes les données à caractère personnel visées au paragraphe 2 qu'elle a traitées.

Article 31

Délais pour la conservation et l'effacement des données à caractère personnel

1.   Les données à caractère personnel traitées par Europol ne sont conservées par celle-ci que pour la durée nécessaire et proportionnée aux finalités pour lesquelles ces données sont traitées.

2.   Europol réexamine, en toute hypothèse, la nécessité de continuer à conserver les données à caractère personnel au plus tard trois ans après le début de leur traitement initial. Europol peut décider de continuer à conserver des données à caractère personnel jusqu'à l'examen suivant, qui a lieu à l'issue d'une nouvelle période de trois ans, si leur conservation reste nécessaire pour lui permettre de remplir ses missions. Les raisons de continuer à conserver les données sont justifiées et consignées. En l'absence de décision de conserver plus longtemps des données à caractère personnel, celles-ci sont effacées automatiquement après trois ans.

3.   Si des données à caractère personnel visées à l'article 30, paragraphes 1 et 2, sont conservées pendant une durée supérieure à cinq ans, le CEPD en est informé.

4.   Lorsqu'un État membre, un organe de l'Union, un pays tiers ou une organisation internationale a fait part, lors du transfert d'informations, d'une quelconque limitation en ce qui concerne l'effacement ou la destruction anticipé(e) des données à caractère personnel, conformément à l'article 19, paragraphe 2, Europol efface lesdites données conformément à ces limitations. Si, sur la base d'informations plus larges que celles en possession du fournisseur de données, il est jugé nécessaire de continuer à conserver des données pour qu'Europol puisse remplir ses missions, Europol sollicite auprès du fournisseur de données, en justifiant sa demande, l'autorisation de continuer à conserver les données.

5.   Lorsqu'un État membre, un organe de l'Union, un pays tiers ou une organisation internationale efface de ses propres fichiers de données des données à caractère personnel fournies à Europol, il ou elle en informe cette dernière. Europol efface les données sauf si, sur la base d'informations plus larges que celles en possession du fournisseur de données, il est jugé nécessaire de continuer à conserver lesdites données pour qu'Europol puisse remplir ses missions. Europol informe le fournisseur de données du maintien de la conservation de ces données, en justifiant celui-ci.

6.   L'effacement de données à caractère personnel n'a pas lieu:

a)

s'il risque de nuire aux intérêts d'une personne concernée qui doit être protégée. Dans ce cas, les données ne peuvent être utilisées qu'avec le consentement exprès et écrit de la personne concernée;

b)

si la personne concernée conteste l'exactitude des données, pendant une durée permettant aux États membres ou à Europol, si nécessaire, de vérifier cette exactitude;

c)

si les données à caractère personnel doivent être conservées à des fins probatoires ou pour la constatation, l'exercice ou la défense d'un droit en justice; ou

d)

si la personne concernée s'oppose à leur effacement et demande, en lieu et place, la limitation de leur utilisation.

Article 32

Sécurité du traitement

1.   Europol met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle ou la divulgation, la modification et l'accès non autorisés, ou contre toute autre forme de traitement non autorisé.

2.   En ce qui concerne le traitement automatisé de données, Europol et chaque État membre mettent en œuvre les mesures qui sont propres à:

a)

interdire à toute personne non autorisée d'accéder aux installations utilisées pour le traitement de données à caractère personnel (contrôle à l'entrée des installations);

b)

empêcher toute lecture, copie ou modification ou tout retrait non autorisés de supports de données (contrôle des supports de données);

c)

empêcher l'introduction non autorisée de données ainsi que tout examen, toute modification ou tout effacement non autorisés de données à caractère personnel stockées (contrôle du stockage);

d)

empêcher que les systèmes de traitement automatisé de données puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données (contrôle des utilisateurs);

e)

garantir que, pour l'utilisation d'un système de traitement automatisé des données, les personnes autorisées ne puissent accéder qu'aux données pour lesquelles elles ont une autorisation d'accès (contrôle de l'accès);

f)

garantir qu'il soit possible de vérifier et de déterminer à quelles instances des données à caractère personnel peuvent être ou ont été transmises en utilisant le système de transmission de données (contrôle de la transmission);

g)

garantir qu'il soit possible de vérifier et de déterminer quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé de données, à quel moment et par quelle personne elles y ont été introduites (contrôle de l'introduction);

h)

garantir qu'il soit possible de vérifier et de déterminer quelles données ont été consultées, par quel membre du personnel, à quelle date et à quelle heure (registre d'accès);

i)

empêcher que, lors du transfert de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée (contrôle du transport);

j)

garantir qu'il soit possible de réparer immédiatement les systèmes employés en cas de dérangement (remise en état); et

k)

garantir que les fonctions du système ne soient pas défectueuses, que les erreurs de fonctionnement soient immédiatement signalées (fiabilité) et que les données conservées ne puissent être faussées par un dysfonctionnement du système (intégrité).

3.   Europol et les États membres définissent des mécanismes pour que les besoins en matière de sécurité soient pris en compte au-delà des limites des systèmes d'information.

Article 33

Protection des données dès la conception

Europol met en œuvre les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement des données soit conforme au présent règlement et protège les droits des personnes concernées.

Article 34

Notification aux autorités concernées d'une violation de données à caractère personnel

1.   En cas de violation de données à caractère personnel, Europol en informe le CEPD ainsi que les autorités compétentes des États membres concernés, sans retard injustifié, conformément aux conditions fixées à l'article 7, paragraphe 5, ainsi que le fournisseur de données concerné.

2.   La notification visée au paragraphe 1, à tout le moins:

a)

décrit la nature de la violation de données à caractère personnel, y compris, si possible et s'il y a lieu, les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d'enregistrements de données concernés;

b)

décrit les conséquences probables de la violation de données à caractère personnel;

c)

décrit les mesures proposées ou prises par Europol pour remédier à la violation de données à caractère personnel; et

d)

le cas échéant, recommande des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel.

3.   Europol documente toute violation de données à caractère personnel, y compris le contexte, les effets de la violation et les mesures prises pour y remédier, permettant ainsi au CEPD de vérifier le respect du présent article.

Article 35

Communication à la personne concernée d'une violation de données à caractère personnel

1.   Sous réserve du paragraphe 4 du présent article, lorsque la violation de données à caractère personnel visée à l'article 34 risque de porter gravement atteinte aux droits et aux libertés de la personne concernée, Europol communique la violation de données à caractère personnel sans retard injustifié à la personne concernée.

2.   La communication à la personne concernée visée au paragraphe 1 décrit, si possible, la nature de la violation des données à caractère personnel, recommande des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel et contient l'identité et les coordonnées du délégué à la protection des données.

3.   Si Europol n'a pas les coordonnées de la personne concernée, elle demande au fournisseur de données de communiquer la violation des données à caractère personnel à la personne concernée et d'être informée de la décision prise. Les États membres qui fournissent les données communiquent la violation à la personne concernée conformément aux procédures prévues par leur droit national.

4.   La communication à la personne concernée d'une violation de données à caractère personnel n'est pas nécessaire si:

a)

Europol a appliqué aux données à caractère personnel concernées par ladite violation des mesures de protection technologiques appropriées qui rendent les données incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès;

b)

Europol a pris des mesures ultérieures qui garantissent que les droits et les libertés des personnes concernées ne risquent plus de subir une grave atteinte; ou

c)

cette communication demanderait des efforts disproportionnés, eu égard notamment au nombre de cas concernés. Dans ce cas, il est procédé à une communication publique ou à une mesure similaire visant à informer les personnes concernées d'une manière tout aussi efficace.

5.   La communication à la personne concernée peut être retardée, limitée ou omise lorsque, en tenant dûment compte des intérêts légitimes de la personne concernée, cela constitue une mesure nécessaire pour:

a)

éviter d'entraver des recherches, des enquêtes ou des procédures officielles ou judiciaires;

b)

éviter de nuire à la prévention, à la détection, à la recherche et à la poursuite d'infractions pénales, ou pour exécuter des sanctions pénales;

c)

protéger la sécurité nationale et l'ordre public;

d)

pour protéger les droits et les libertés de tiers.

Article 36

Droit d'accès de la personne concernée

1.   Toute personne concernée est en droit d'être informée, à des intervalles raisonnables, du fait que des données à caractère personnel la concernant sont traitées par Europol.

2.   Sans préjudice du paragraphe 5, Europol fournit à la personne concernée les informations suivantes:

a)

la confirmation que des données la concernant font ou non l'objet d'un traitement;

b)

des informations portant au moins sur les finalités de l'opération de traitement, les catégories de données concernées, et les destinataires ou les catégories de destinataires auxquels les données sont communiquées;

c)

la communication, sous une forme intelligible, des données faisant l'objet des traitements ainsi que de toute information disponible sur leurs sources.

d)

une indication du fondement juridique du traitement des données;

e)

la durée envisagée pendant laquelle les données à caractère personnel seront conservées;

f)

l'existence du droit de demander à Europol la rectification ou l'effacement des données à caractère personnel relatives à la personne concernée, ou la limitation de leur traitement.

3.   Toute personne concernée souhaitant exercer le droit d'accès à des données à caractère personnel la concernant peut introduire, sans encourir de coûts excessifs, une demande à cet effet auprès de l'autorité compétente dans l'État membre de son choix. Cette autorité la fait suivre sans retard à Europol et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande.

4.   Europol confirme la réception de la demande introduite en vertu du paragraphe 3. Europol répond à la demande sans retard injustifié et, en tout état de cause, dans un délai de trois mois à compter de la réception par Europol de la demande de l'autorité nationale.

5.   Europol consulte les autorités compétentes des États membres, conformément aux conditions définies à l'article 7, paragraphe 5, et le fournisseur de données concerné sur la décision à prendre. La décision d'accorder l'accès à des données à caractère personnel est subordonnée à une étroite coopération entre Europol et les États membres et le fournisseur de données directement concerné par l'accès de la personne concernée à ces données. Si un État membre ou le fournisseur de données s'oppose à la réponse proposée par Europol, il en notifie les motifs à cette dernière conformément au paragraphe 6 du présent article. Europol tient le plus grand compte de cette opposition. Europol notifie ensuite sa décision aux autorités compétentes concernées, conformément aux conditions définies à l'article 7, paragraphe 5, et au fournisseur de données.

6.   La communication d'informations en réponse à toute demande au titre du paragraphe 1 peut être refusée ou limitée si ce refus ou cette limitation constitue une mesure nécessaire pour:

a)

permettre à Europol de s'acquitter dûment de ses missions;

b)

protéger la sécurité et l'ordre public ou prévenir la criminalité;

c)

garantir qu'une éventuelle enquête nationale ne sera pas compromise; ou

d)

protéger les droits et les libertés de tiers.

Lors de l'évaluation de l'applicabilité d'une dérogation, les droits fondamentaux et les intérêts de la personne concernée sont pris en compte.

7.   En cas de refus ou de limitation de l'accès, Europol informe par écrit la personne concernée des motifs d'une telle décision et de son droit d'introduire une réclamation auprès du CEPD. Lorsque la communication de telles informations priverait d'effet le paragraphe 6, Europol informe uniquement la personne concernée qu'elle a effectué les vérifications, sans lui donner d'indications pouvant lui permettre de savoir si Europol traite ou non des données à caractère personnel la concernant.

Article 37

Droit de rectification, d'effacement et de limitation

1.   Toute personne concernée ayant eu accès à des données à caractère personnel la concernant traitées par Europol conformément à l'article 36 a le droit de demander à Europol par l'intermédiaire de l'autorité désignée à cette fin dans l'État membre de son choix de rectifier des données à caractère personnel la concernant détenues par Europol si elles sont entachées d'erreur et de les compléter ou de les mettre à jour. Cette autorité fait suivre la demande à Europol sans délai et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande.

2.   Toute personne concernée ayant eu accès à des données à caractère personnel la concernant traitées par Europol conformément à l'article 36 a le droit de demander à Europol, par l'intermédiaire de l'autorité désignée à cette fin dans l'État membre de son choix, l'effacement de données à caractère personnel la concernant détenues par Europol si elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ou sont traitées ultérieurement. Cette autorité fait suivre la demande à Europol sans retard et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande.

3.   Europol soumet à limitation plutôt qu'elle n'efface les données à caractère personnel visées au paragraphe 2 lorsqu'il y a de bonnes raisons de croire que leur effacement pourrait porter atteinte aux intérêts légitimes de la personne concernée. Les données soumises à limitation ne sont traitées que pour les finalités qui ont empêché leur effacement.

4.   Si des données à caractère personnel visées aux paragraphes 1, 2 et 3 détenues par Europol lui ont été fournies par des pays tiers, des organisations internationales ou des organes de l'Union, ont été fournies directement par des parties privées ou si elles ont été extraites par Europol auprès de sources accessibles au public ou résultent de ses propres analyses, Europol rectifie, efface ou soumet à limitation ces données et informe, le cas échéant, les fournisseurs de données.

5.   Si des données à caractère personnel visées aux paragraphes 1, 2 et 3 détenues par Europol lui ont été fournies par des États membres, les États membres concernés rectifient, effacent ou soumettent à limitation ces données en collaboration avec Europol, dans le cadre de leurs compétences respectives.

6.   Si des données à caractère personnel entachées d'erreur ont été transférées par un autre moyen approprié, ou si les erreurs que comportent les données fournies par les États membres sont dues à un transfert entaché d'erreur ou à un transfert effectué en violation du présent règlement, ou si elles proviennent d'une introduction, d'une reprise ou d'un stockage de données incorrect ou contraire au présent règlement effectué par Europol, Europol est tenu de rectifier ces données ou de les effacer en collaboration avec le fournisseur de données concerné.

7.   Dans les cas visés aux paragraphes 4, 5 et 6, tous les destinataires des données concernées sont informés immédiatement. Ces destinataires procèdent alors à la rectification, à l'effacement ou à la limitation de ces données dans leur propre système, selon les règles qui leur sont applicables.

8.   Europol informe la personne concernée par écrit, sans retard injustifié, et, en tout état de cause, dans un délai de trois mois à compter de la réception de la demande reçue conformément au paragraphe 1 ou 2, qu'il a été procédé à la rectification, à l'effacement ou à la limitation de données la concernant.

9.   Dans un délai de trois mois à compter de la réception de la demande conformément au paragraphe 1 ou 2, Europol informe par écrit la personne concernée de tout refus de rectification, d'effacement ou de limitation, des motifs de ce refus ainsi que de la possibilité d'introduire une réclamation auprès du CEPD et de former un recours juridictionnel.

Article 38

Responsabilité en matière de protection des données

1.   Europol conserve les données à caractère personnel d'une manière permettant d'établir leur source, visée à l'article 17.

2.   La responsabilité de la qualité des données à caractère personnel, telle que visée à l'article 28, paragraphe 1, point d), incombe:

a)

à l'État membre ou à l'organe de l'Union qui a fourni les données à Europol;

b)

à Europol s'il s'agit de données à caractère personnel fournies par un pays tiers ou une organisation internationale ou directement fournies par des parties privées; de données à caractère personnel extraites par Europol auprès de sources accessibles au public ou résultant de ses propres analyses; et de données à caractère personnel conservées par Europol conformément à l'article 31, paragraphe 5.

3.   Si Europol constate que des données à caractère personnel fournies en vertu de l'article 17, paragraphe 1, points a) et b), sont entachées d'erreur de fait ou ont été stockées de façon illicite, elle en informe le fournisseur de données concerné.

4.   Europol est responsable du respect des principes visés à l'article 28, paragraphe 1, points a), b), c), e) et f).

5.   La responsabilité de la légalité du transfert des données incombe à:

a)

l'État membre qui a fourni les données à caractère personnel à Europol;

b)

Europol, dans le cas de données à caractère personnel fournies par celui-ci à des États membres, des pays tiers ou des organisations internationales.

6.   Dans le cas d'un transfert entre Europol et un organe de l'Union, la responsabilité de la légalité du transfert incombe à Europol.

Sans préjudice du premier alinéa, lorsque les données sont transférées par Europol sur demande du destinataire, la responsabilité de la légalité de ce transfert incombe tant à Europol qu'au destinataire.

7.   Europol assume la responsabilité de toutes les opérations de traitement de données qu'elle effectue, à l'exception des échanges bilatéraux de données réalisés par l'intermédiaire de ses infrastructures entre des États membres, des organes de l'Union, des pays tiers et des organisations internationales auxquels elle n'a pas accès. Ces échanges bilatéraux ont lieu sous la responsabilité des entités concernées et conformément à leur droit. La sécurité de ces échanges est assurée conformément à l'article 32.

Article 39

Consultation préalable

1.   Tout nouveau type d'opérations de traitement à effectuer fait l'objet d'une consultation préalable lorsque:

a)

des catégories particulières de données visées à l'article 30, paragraphe 2, doivent être traitées;

b)

en raison notamment de l'utilisation de nouveaux mécanismes, technologies ou procédures, le type de traitement présente des risques spécifiques pour les libertés et les droits fondamentaux des personnes concernées, et notamment pour la protection des données à caractère personnel les concernant.

2.   La consultation préalable est effectuée par le CEPD après réception d'une notification du délégué à la protection des données qui contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et les libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties et les mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées par les données et d'autres personnes concernées.

3.   Le CEPD rend son avis au conseil d'administration dans les deux mois qui suivent la réception de la notification. Ce délai peut être suspendu jusqu'à ce que le CEPD ait obtenu les informations complémentaires éventuellement demandées.

Si, après quatre mois, l'avis n'est pas rendu, il est réputé favorable.

Si, de l'avis du CEPD, le traitement notifié risque d'entraîner une violation d'une disposition du présent règlement, il formule, s'il y a lieu, des propositions en vue d'éviter cette violation. Si Europol ne modifie pas l'opération de traitement en conséquence, le CEPD peut exercer les pouvoirs qui lui sont conférés à l'article 43, paragraphe 3.

4.   Le CEPD tient un registre de toutes les opérations de traitement qui lui sont notifiées en vertu du paragraphe 1. Ce registre n'est pas rendu public.

Article 40

Journalisation et documentation

1.   À des fins de vérification de la licéité du traitement des données, d'autocontrôle et de garantie de l'intégrité et de la sécurité des données, Europol établit des relevés de la collecte, de la modification, de l'accès, de la divulgation, de la combinaison ou de l'effacement des données à caractère personnel. Ces journaux ou cette documentation sont effacés au bout de trois ans, sauf si les données qu'ils contiennent restent nécessaires à un contrôle en cours. Il n'existe pas de possibilité de modifier les journaux.

2.   Les journaux ou la documentation établis en vertu du paragraphe 1 sont transmis sur demande au CEPD, au délégué à la protection des données et, si cela est nécessaire dans le cadre d'une enquête particulière, à l'unité nationale concernée. Les informations ainsi communiquées ne sont utilisées que pour contrôler la protection des données et garantir le traitement approprié des données, ainsi que leur intégrité et leur sécurité.

Article 41

Délégué à la protection des données

1.   Le conseil d'administration nomme un délégué à la protection des données, qui est un membre du personnel. Dans l'exercice de ses fonctions, il agit en toute indépendance.

2.   Le délégué à la protection des données est choisi en fonction de ses qualités personnelles et professionnelles et, en particulier, de ses connaissances spécialisées dans le domaine de la protection des données.

Il est veillé lors du choix du délégué à la protection des données à ce que l'exercice de la fonction qu'il exerce en cette qualité et de toute autre fonction officielle qu'il pourrait exercer, en particulier dans le cadre de l'application du présent règlement, ne puisse donner lieu à un conflit d'intérêts.

3.   Le délégué à la protection des données est nommé pour une période de quatre ans. Son mandat peut être renouvelé, la durée totale ne pouvant toutefois dépasser huit ans. Le délégué à la protection des données ne peut être démis de ses fonctions par le conseil d'administration qu'avec le consentement du CEPD, s'il ne remplit plus les conditions requises pour l'exercice de ses fonctions.

4.   Après la nomination du délégué à la protection des données, le nom de ce dernier est communiqué au CEPD par le conseil d'administration.

5.   Le délégué à la protection des données ne reçoit aucune instruction dans l'exercice de ses fonctions.

6.   Le délégué à la protection des données remplit notamment les fonctions suivantes en ce qui concerne les données à caractère personnel, à l'exception des données administratives à caractère personnel:

a)

veiller, en toute indépendance, à l'application interne du présent règlement en matière de traitement des données à caractère personnel;

b)

veiller à ce qu'une trace du transfert et de la réception des données à caractère personnel soit conservée conformément au présent règlement;

c)

veiller à ce que les personnes concernées soient, à leur demande, informées des droits qui leur sont conférés par le présent règlement;

d)

coopérer avec le personnel d'Europol chargé des procédures, de la formation et du conseil en matière de traitement des données;

e)

coopérer avec le CEPD;

f)

élaborer un rapport annuel et le communiquer au conseil d'administration et au CEPD;

g)

tenir un registre des violations de données à caractère personnel.

7.   Le délégué à la protection des données exerce en outre les fonctions prévues par le règlement (CE) no 45/2001 en ce qui concerne les données administratives à caractère personnel.

8.   Dans l'accomplissement de ses missions, le délégué à la protection des données a accès à toutes les données traitées par Europol ainsi qu'à tous les locaux d'Europol.

9.   Si le délégué à la protection des données estime que les dispositions du présent règlement en matière de traitement des données à caractère personnel n'ont pas été respectées, il en informe le directeur exécutif et lui demande d'y remédier dans un délai déterminé.

Si le directeur exécutif ne résout pas le problème dans le délai imparti, le délégué à la protection des données en informe le conseil d'administration. Le délégué à la protection des données et le conseil d'administration conviennent d'un délai déterminé pour qu'une solution soit trouvée par ce dernier. Si le conseil d'administration ne résout pas le problème dans le délai imparti, le délégué à la protection des données saisit le CEPD.

10.   Le conseil d'administration adopte des dispositions d'application concernant le délégué à la protection des données. Ces dispositions d'application portent notamment sur la procédure de sélection et la révocation, les missions, les fonctions et les compétences du délégué à la protection des données, ainsi que sur les moyens de garantir son indépendance.

11.   Europol affecte au délégué à la protection des données le personnel et les ressources nécessaires à l'exercice de ses fonctions. Ce personnel n'a accès à l'ensemble des données traitées au sein d'Europol et aux locaux d'Europol que dans la mesure nécessaire à l'exécution de ses tâches.

12.   Le délégué à la protection des données et son personnel sont tenus à l'obligation de confidentialité conformément à l'article 67, paragraphe 1.

Article 42

Contrôle par l'autorité de contrôle nationale

1.   Chaque État membre désigne une autorité de contrôle nationale. L'autorité de contrôle nationale est chargée de contrôler, en toute indépendance et conformément à son droit national, que le transfert, l'extraction et toute communication à Europol de données à caractère personnel par l'État membre concerné sont licites et d'examiner si un tel transfert, une telle extraction ou une telle communication viole les droits des personnes concernées. À cette fin, l'autorité de contrôle nationale a accès, auprès de l'unité nationale ou dans les locaux des officiers de liaison, aux données transmises à Europol par son État membre selon les procédures nationales applicables ainsi qu'aux journaux et à la documentation visés à l'article 40.

2.   Pour exercer leur fonction de contrôle, les autorités de contrôle nationales ont accès aux bureaux et aux dossiers de leurs officiers de liaison respectifs au sein d'Europol.

3.   Les autorités de contrôle nationales contrôlent, conformément aux procédures nationales applicables, les activités que mènent les unités nationales et celles des officiers de liaison, dans la mesure où ces activités concernent la protection des données à caractère personnel. Elles tiennent aussi le CEPD informé de toutes les mesures qu'elles prennent à l'égard d'Europol.

4.   Toute personne a le droit de demander à l'autorité de contrôle nationale de s'assurer de la licéité de tout transfert ou de toute communication à Europol, sous quelque forme que ce soit, de données la concernant et de l'accès à ces données par l'État membre concerné. Ce droit est exercé conformément au droit national de l'État membre auprès duquel la demande est introduite.

Article 43

Contrôle par le CEPD

1.   Le CEPD est chargé de surveiller et de garantir l'application des dispositions du présent règlement concernant la protection des libertés et des droits fondamentaux des personnes physiques à l'égard des traitements de données à caractère personnel effectués par Europol, ainsi que de conseiller Europol et les personnes concernées sur toutes les questions concernant le traitement des données à caractère personnel. À ces fins, il exerce les fonctions définies au paragraphe 2 et les pouvoirs énoncés au paragraphe 3, tout en coopérant étroitement avec les autorités de contrôle nationales conformément à l'article 44.

2.   Le CEPD exerce les fonctions suivantes:

a)

il reçoit et examine les réclamations, et informe la personne concernée des résultats de son examen dans un délai raisonnable;

b)

il mène des enquêtes soit de sa propre initiative, soit sur la base d'une réclamation, et informe les personnes concernées des résultats dans un délai raisonnable;

c)

il contrôle et garantit l'application par Europol du présent règlement et de tout autre acte de l'Union concernant la protection des personnes physiques à l'égard du traitement de données à caractère personnel effectué par Europol;

d)

il conseille Europol, soit de sa propre initiative, soit en réponse à une consultation, sur toutes les questions concernant le traitement des données à caractère personnel, en particulier avant d'élaborer des règles internes relatives à la protection des libertés et des droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel;

e)

il tient un registre des nouveaux types d'opérations de traitement qui lui ont été notifiés en vertu de l'article 39, paragraphe 1, et qui ont été enregistrés conformément à l'article 39, paragraphe 4;

f)

il soumet à une consultation préalable les traitements qui lui sont notifiés.

3.   Le CEPD peut, au titre du présent règlement:

a)

conseiller les personnes concernées sur l'exercice de leurs droits;

b)

saisir Europol en cas de violation alléguée des dispositions régissant le traitement des données à caractère personnel et, s'il y a lieu, formuler des propositions tendant à remédier à cette violation et à améliorer la protection des personnes concernées;

c)

ordonner que les demandes d'exercice de certains droits à l'égard des données soient satisfaites lorsque de telles demandes ont été rejetées en violation des articles 36 et 37;

d)

adresser un avertissement ou une admonestation à Europol;

e)

enjoindre Europol de procéder à la rectification, à la limitation, à l'effacement ou à la destruction des données à caractère personnel qui ont été traitées en violation des dispositions régissant le traitement des données à caractère personnel, et de notifier ces mesures aux tiers auxquels ces données ont été divulguées;

f)

interdire temporairement ou définitivement à Europol de procéder à des opérations de traitement en violation des dispositions régissant le traitement des données à caractère personnel;

g)

saisir Europol et, si nécessaire, le Parlement européen, le Conseil et la Commission;

h)

saisir la Cour de justice de l'Union européenne dans les conditions prévues par le traité sur le fonctionnement de l'Union européenne;

i)

intervenir dans les affaires portées devant la Cour de justice de l'Union européenne.

4.   Le CEPD est habilité à:

a)

obtenir d'Europol l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à ses enquêtes;

b)

obtenir l'accès à tous les locaux dans lesquels Europol exerce ses activités, s'il existe un motif raisonnable de supposer que s'y exerce une activité visée par le présent règlement.

5.   Le CEPD établit un rapport annuel sur les activités de contrôle portant sur Europol, après consultation des autorités de contrôle nationales. Ce rapport est intégré au rapport annuel du CEPD visé à l'article 48 du règlement (CE) no 45/2001.

Ce rapport comprend des informations statistiques concernant les réclamations, les recherches et les enquêtes traitées conformément au paragraphe 2, ainsi que les transferts de données à caractère personnel vers des pays tiers et à des organisations internationales, les cas de consultation préalable et l'utilisation des pouvoirs énoncés au paragraphe 3.

6.   LE CEPD, les fonctionnaires et les autres agents du secrétariat du CEPD sont tenus à l'obligation de confidentialité prévue à l'article 67, paragraphe 1.

Article 44

Coopération entre le CEPD et les autorités de contrôle nationales

1.   Le CEPD agit en étroite coopération avec les autorités de contrôle nationales dans des domaines exigeant une participation nationale, notamment si lui-même ou une autorité de contrôle nationale constate des divergences majeures entre les pratiques des États membres ou des transferts potentiellement illicites dans l'utilisation des canaux d'échange d'informations d'Europol, ou dans le cadre de questions soulevées par une ou plusieurs autorités de contrôle nationales sur la mise en œuvre et l'interprétation du présent règlement.

2.   Le CEPD recourt à l'expertise et à l'expérience des autorités de contrôle nationales dans l'exercice de ses fonctions décrites à l'article 43, paragraphe 2. Lorsqu'ils effectuent des inspections communes en collaboration avec le CEPD, les membres et le personnel des autorités de contrôle nationales, dans le respect des principes de subsidiarité et de proportionnalité, disposent de pouvoirs équivalents à ceux prévus à l'article 43, paragraphe 4, et sont tenus à une obligation équivalente à celle prévue à l'article 43, paragraphe 6. Le CEPD et les autorités de contrôle nationales, agissant dans le cadre de leurs compétences respectives, échangent les informations utiles et s'assistent mutuellement pour mener les audits et inspections.

3.   Le CEPD tient les autorités de contrôle nationales pleinement informées de toute question les touchant directement ou les concernant de quelque manière que ce soit. À la demande d'une ou de plusieurs autorités de contrôle nationales, le CEPD fournit auxdites autorités des informations sur des questions particulières.

4.   Dans certains cas portant sur des données provenant d'un ou de plusieurs États membres, y compris les cas visés à l'article 47, paragraphe 2, le CEPD consulte les autorités de contrôle nationales concernées. Le CEPD ne décide pas des suites à donner avant que ces autorités de contrôle nationales ne l'aient informé de leur avis, dans un délai qu'il précise et qui ne peut être inférieur à un mois ni supérieur à trois mois. Le CEPD tient le plus grand compte des avis respectifs des autorités de contrôle nationales concernées. Lorsque le CEPD a l'intention de ne pas se conformer à l'avis d'une autorité de contrôle nationale, il en informe ladite autorité, lui fournit une justification et soumet la question pour discussion au comité de coopération créé par l'article 45, paragraphe 1.

Lorsque le CEPD juge qu'un dossier est extrêmement urgent, il peut décider de prendre des mesures immédiates. Le CEPD informe alors immédiatement les autorités de contrôle nationales concernées et justifie le caractère urgent de la situation, ainsi que la mesure qu'il a prise.

Article 45

Comité de coopération

1.   Un comité de coopération ayant une fonction consultative est créé. Il est composé d'un représentant de l'autorité de contrôle nationale de chaque État membre et du CEPD.

2.   Le comité de coopération s'acquitte en toute indépendance des missions dont il est chargé en vertu du paragraphe 3 et ne sollicite ni n'accepte aucune instruction d'aucun organe.

3.   Le comité de coopération est chargé des missions suivantes:

a)

discuter la politique et la stratégie générales en matière de contrôle d'Europol en ce qui concerne la protection des données et la licéité du transfert, de l'extraction et de toute communication par les États membres de données à caractère personnel à Europol;

b)

examiner les difficultés d'interprétation ou d'application du présent règlement;

c)

étudier les problèmes généraux pouvant se poser lors de l'exercice du contrôle indépendant ou de l'exercice des droits de personnes concernées;

d)

étudier et formuler des propositions harmonisées en vue de trouver des solutions communes aux problèmes visés à l'article 44, paragraphe 1;

e)

étudier les cas soumis par le CEPD conformément à l'article 44, paragraphe 4;

f)

étudier les cas soumis par les autorités de contrôle nationales; et

g)

promouvoir une sensibilisation aux droits en matière de protection des données.

4.   Le comité de coopération peut formuler des avis, des lignes directrices, des recommandations et des bonnes pratiques. Le CEPD et les autorités de contrôle nationales, agissant sans préjudice de leur indépendance et dans le cadre de leurs compétences respectives, tiennent le plus grand compte de ceux-ci.

5.   Le comité de coopération se réunit en tant que de besoin et au moins deux fois par an. Le coût et l'organisation de ses réunions sont à la charge du CEPD.

6.   Le règlement intérieur du comité de coopération est adopté lors de la première réunion à la majorité simple de ses membres. D'autres méthodes de travail sont mises au point d'un commun accord, en fonction des besoins.

Article 46

Données administratives à caractère personnel

Le règlement (CE) no 45/2001 s'applique à toutes les données administratives à caractère personnel détenues par Europol.

CHAPITRE VII

VOIES DE RECOURS ET RESPONSABILITÉ

Article 47

Droit d'introduire une réclamation auprès du CEPD

1.   Toute personne concernée a le droit d'introduire une réclamation auprès du CEPD si elle estime que le traitement, par Europol, de données à caractère personnel la concernant n'est pas conforme au présent règlement.

2.   Lorsque la réclamation concerne une décision visée à l'article 36 ou 37, le CEPD consulte les autorités de contrôle nationales de l'État membre qui a fourni les données ou l'État membre directement concerné. La décision du CEPD, qui peut aller jusqu'au refus de communication d'informations, est prise en tenant compte de l'avis de l'autorité de contrôle nationale.

3.   Lorsque la réclamation concerne le traitement de données fournies à Europol par un État membre, le CEPD et l'autorité de contrôle nationale de l'État membre qui a fourni les données, agissant dans le cadre de leurs compétences respectives, s'assurent que les contrôles nécessaires de la licéité du traitement des données ont été correctement effectués.

4.   Lorsque la réclamation concerne le traitement de données fournies à Europol par un organe de l'Union, un pays tiers ou une organisation internationale, ou de données extraites par Europol auprès de sources accessibles au public ou résultant de ses propres analyses, le CEPD s'assure qu'Europol a correctement effectué les contrôles nécessaires de la licéité du traitement des données.

Article 48

Droit de former un recours juridictionnel contre le CEPD

Toute décision du CEPD peut faire l'objet d'un recours devant la Cour de justice de l'Union européenne.

Article 49

Dispositions générales en matière de responsabilité et droit à réparation

1.   La responsabilité contractuelle d'Europol est régie par la législation applicable au contrat en question.

2.   La Cour de justice de l'Union européenne est compétente pour statuer en vertu de toute clause compromissoire contenue dans un contrat conclu par Europol.

3.   Sans préjudice de l'article 49, en matière de responsabilité extracontractuelle, Europol, conformément aux principes généraux communs aux droits des États membres, répare tout dommage causé par ses services ou par son personnel dans l'exercice de leurs fonctions.

4.   La Cour de justice de l'Union européenne est compétente pour connaître des litiges concernant la réparation des dommages visés au paragraphe 3.

5.   La responsabilité personnelle des membres du personnel d'Europol envers Europol est régie par les dispositions du statut ou du régime applicable aux autres agents qui leur sont applicables.

Article 50

Responsabilité du fait d'un traitement incorrect de données et droit à réparation

1.   Toute personne physique ayant subi un dommage du fait d'une opération de traitement de données illicite a le droit d'obtenir réparation du préjudice subi, soit d'Europol conformément à l'article 340 du traité sur le fonctionnement de l'Union européenne, soit de l'État membre où le fait dommageable s'est produit, conformément à son droit national. La personne physique forme un recours contre Europol devant la Cour de justice de l'Union européenne ou contre l'État membre devant une juridiction nationale compétente de cet État membre.

2.   Le conseil d'administration est saisi de tout litige entre Europol et les États membres quant à la responsabilité ultime en matière de réparation accordée à une personne physique conformément au paragraphe 1, lequel statue à la majorité des deux tiers de ses membres, sans préjudice du droit de former un recours contre cette décision conformément à l'article 263 du traité sur le fonctionnement de l'Union européenne.

CHAPITRE VIII

CONTRÔLE PARLEMENTAIRE CONJOINT

Article 51

Contrôle parlementaire conjoint

1.   En application de l'article 88 du traité sur le fonctionnement de l'Union européenne, le contrôle des activités d'Europol est effectué par le Parlement européen, avec les parlements nationaux. Ils constituent un groupe de contrôle parlementaire conjoint spécialisé, établi ensemble par les parlements nationaux et la commission compétente du Parlement européen. L'organisation et le règlement intérieur du groupe de contrôle parlementaire conjoint sont définis par le Parlement européen et les parlements nationaux ensemble, conformément à l'article 9 du protocole no 1.

2.   Le groupe de contrôle parlementaire conjoint assure le contrôle politique des activités d'Europol dans l'accomplissement de sa mission, y compris en ce qui concerne leur incidence sur les libertés et les droits fondamentaux des personnes physiques.

Aux fins du premier alinéa:

a)

le président du conseil d'administration, le directeur exécutif ou leurs remplaçants se présentent devant le groupe de contrôle parlementaire conjoint à sa demande pour examiner des questions relatives aux activités visées au premier alinéa, y compris les aspects budgétaires de ces activités, l'organisation structurelle d'Europol et l'éventuelle mise en place de nouvelles unités et centres spécialisés, dans le respect des obligations de réserve et de confidentialité. Le groupe de contrôle parlementaire conjoint peut, le cas échéant, décider d'inviter aux réunions d'autres personnes pertinentes;

b)

le CEPD se présente devant le groupe de contrôle parlementaire conjoint, à la demande de ce dernier et au moins une fois par an, pour examiner des questions générales relatives à la protection des libertés et des droits fondamentaux des personnes physiques, et en particulier la protection des données à caractère personnel, en ce qui concerne les activités d'Europol, dans le respect des obligations de réserve et de confidentialité;

c)

le groupe de contrôle parlementaire conjoint est consulté en ce qui concerne la programmation pluriannuelle d'Europol, conformément à l'article 12, paragraphe 1.

3.   Europol transmet les documents suivants au groupe de contrôle parlementaire conjoint pour information, dans le respect des obligations de réserve et de confidentialité:

a)

des évaluations de la menace, des analyses stratégiques et des rapports sur la situation générale en ce qui concerne les objectifs d'Europol, ainsi que les résultats des études et des évaluations commandées par Europol;

b)

les arrangements administratifs conclus en application de l'article 25, paragraphe 1;

c)

le document contenant la programmation pluriannuelle d'Europol et son programme de travail annuel, visé à l'article 12, paragraphe 1;

d)

le rapport d'activité annuel consolidé sur les activités d'Europol, visé à l'article 11, paragraphe 1, point c);

e)

le rapport d'évaluation établi par la Commission, visé à l'article 68, paragraphe 1.

4.   Le groupe de contrôle parlementaire conjoint peut demander d'autres documents pertinents nécessaires à l'exécution de ses missions relatives au contrôle politique des activités d'Europol, sous réserve du règlement (CE) no 1049/2001 du Parlement européen et du Conseil (23) et sans préjudice des articles 52 et 67 du présent règlement.

5.   Le groupe de contrôle parlementaire conjoint peut établir des conclusions sommaires concernant le contrôle politique des activités d'Europol et soumettre ces conclusions au Parlement européen et aux parlements nationaux. Le Parlement européen les transmet pour information au Conseil, à la Commission et à Europol.

Article 52

Accès du Parlement européen aux informations traitées par Europol ou par son intermédiaire

1.   Pour permettre au Parlement européen d'exercer le contrôle parlementaire sur les activités d'Europol conformément à l'article 51, l'accès du Parlement européen aux informations sensibles non classifiées traitées par Europol ou par son intermédiaire qui lui est octroyé, à sa demande, est conforme aux règles visées à l'article 67, paragraphe 1.

2.   L'accès du Parlement européen aux informations classifiées de l'UE traitées par Europol ou par son intermédiaire est conforme à l'accord interinstitutionnel du 12 mars 2014 entre le Parlement européen et le Conseil relatif à la transmission au Parlement européen et au traitement par celui-ci des informations classifiées détenues par le Conseil concernant d'autres questions que celles relevant de la politique étrangère et de sécurité commune (24) et aux règles visées à l'article 67, paragraphe 2, du présent règlement.

3.   Les modalités nécessaires de l'accès du Parlement européen aux informations visées aux paragraphes 1 et 2 sont régies par les arrangements de travail conclus entre Europol et le Parlement européen.

CHAPITRE IX

PERSONNEL

Article 53

Dispositions générales

1.   Le statut et le régime applicable aux autres agents, ainsi que les règles adoptées par accord entre les institutions de l'Union visant à donner effet au statut et au régime applicable aux autres agents, s'appliquent au personnel d'Europol, à l'exception du personnel qui, au 1er mai 2017, est lié par un contrat d'engagement conclu par Europol tel qu'institué par la convention Europol, sans préjudice de l'article 73, paragraphe 4, du présent règlement. Ces contrats continuent à être régis par l'acte du Conseil du 3 décembre 1998.

2.   Le personnel d'Europol se compose d'agents temporaires et/ou contractuels. Le conseil d'administration est informé une fois par an des contrats à durée indéterminée octroyés par le directeur exécutif. Le conseil d'administration décide quels sont les postes temporaires prévus au tableau des effectifs qui ne peuvent être occupés que par du personnel des autorités compétentes des États membres. Le personnel recruté pour occuper ces postes est composé d'agents temporaires et ne peut se voir octroyer que des contrats à durée déterminée, renouvelables une fois pour une période déterminée.

Article 54

Directeur exécutif

1.   Le directeur exécutif est engagé en qualité d'agent temporaire d'Europol au titre de l'article 2, point a), du régime applicable aux autres agents.

2.   Le directeur exécutif est nommé par le Conseil, sur la base d'une liste restreinte de candidats proposée par le comité de sélection, à la suite d'une procédure de sélection ouverte et transparente.

La liste restreinte est dressée par un comité de sélection établi par le conseil d'administration et composé de membres désignés par les États membres et d'un représentant de la Commission.

Aux fins de la conclusion d'un contrat avec le directeur exécutif, Europol est représentée par le président du conseil d'administration.

Avant d'être nommé, le candidat retenu par le Conseil peut être invité à se présenter devant la commission compétente du Parlement européen, qui rend ensuite un avis non contraignant.

3.   Le mandat du directeur exécutif est de quatre ans. Au terme de cette période, la Commission, en association avec le conseil d'administration, procède à une évaluation qui tient compte:

a)

de l'évaluation du travail accompli par le directeur exécutif; et

b)

des missions et des défis futurs d'Europol.

4.   Le Conseil, statuant sur une proposition du conseil d'administration qui tient compte de l'évaluation visée au paragraphe 3, peut prolonger une fois le mandat du directeur exécutif, et ce pour une durée n'excédant pas quatre ans.

5.   Le conseil d'administration informe le Parlement européen de son intention de proposer au Conseil de prolonger le mandat du directeur exécutif. Dans le mois précédant cette prolongation, le directeur exécutif peut être invité à se présenter devant la commission compétente du Parlement européen.

6.   Un directeur exécutif dont le mandat a été prolongé ne participe pas à une autre procédure de sélection pour le même poste à la fin de la période globale.

7.   Le directeur exécutif ne peut être démis de ses fonctions que sur décision du Conseil, statuant sur proposition du conseil d'administration. Le Parlement européen est informé de cette décision.

8.   Le conseil d'administration statue sur les propositions à présenter au Conseil concernant la nomination, la prolongation du mandat ou la révocation du directeur exécutif à la majorité des deux tiers de ses membres ayant voix délibérative.

Article 55

Directeurs exécutifs adjoints

1.   Le directeur exécutif est assisté par trois directeurs exécutifs adjoints. Le directeur exécutif définit leurs missions.

2.   L'article 54 s'applique aux directeurs exécutifs adjoints. Le directeur exécutif est consulté préalablement à leur nomination, à la prolongation de leur mandat ou à leur révocation.

Article 56

Experts nationaux détachés

1.   Europol peut avoir recours à des experts nationaux détachés.

2.   Le conseil d'administration adopte une décision établissant le régime applicable aux experts nationaux détachés auprès d'Europol.

CHAPITRE X

DISPOSITIONS FINANCIÈRES

Article 57

Budget

1.   Toutes les recettes et dépenses d'Europol font l'objet de prévisions pour chaque exercice, qui coïncide avec l'année civile, et sont inscrites au budget d'Europol.

2.   Le budget d'Europol est équilibré en recettes et en dépenses.

3.   Sans préjudice d'autres ressources, les recettes d'Europol comprennent une contribution de l'Union inscrite au budget général de l'Union.

4.   Europol peut bénéficier d'un financement de l'Union sous la forme de conventions de délégation ou de subventions ad hoc conformément aux règles financières visées à l'article 61 et aux dispositions des instruments pertinents appuyant les politiques de l'Union.

5.   Les dépenses d'Europol comprennent la rémunération du personnel, les dépenses administratives et d'infrastructure et les frais de fonctionnement.

6.   Les engagements budgétaires portant sur des actions relatives à des projets à grande échelle qui s'étendent sur plus d'un exercice financier peuvent être fractionnés en plusieurs tranches annuelles.

Article 58

Établissement du budget

1.   Chaque année, le directeur exécutif établit un projet d'état prévisionnel des recettes et des dépenses d'Europol pour l'exercice suivant, comprenant le tableau des effectifs, et le transmet au conseil d'administration.

2.   Le conseil d'administration, sur la base de ce projet d'état prévisionnel, adopte un projet d'état prévisionnel des recettes et des dépenses d'Europol pour l'exercice suivant et le transmet à la Commission au plus tard le 31 janvier de chaque année.

3.   Le conseil d'administration transmet la version définitive de l'état prévisionnel des recettes et des dépenses d'Europol, qui comporte un projet de tableau des effectifs, au Parlement européen, au Conseil et à la Commission au plus tard le 31 mars de chaque année.

4.   La Commission transmet l'état prévisionnel au Parlement européen et au Conseil, en même temps que le projet de budget général de l'Union.

5.   Sur la base de l'état prévisionnel, la Commission inscrit dans le projet de budget général de l'Union les prévisions qu'elle estime nécessaires pour l'établissement du tableau des effectifs et le montant de la contribution à charge du budget général, et saisit le Parlement européen et le Conseil conformément aux articles 313 et 314 du traité sur le fonctionnement de l'Union européenne.

6.   Le Parlement européen et le Conseil autorisent les crédits au titre de la contribution de l'Union destinée à Europol.

7.   Le Parlement européen et le Conseil adoptent le tableau des effectifs d'Europol.

8.   Le budget d'Europol est arrêté par le conseil d'administration. Il devient définitif après l'adoption définitive du budget général de l'Union. Si nécessaire, il est ajusté en conséquence.

9.   Le règlement délégué (UE) no 1271/2013 s'applique à tout projet de construction susceptible d'avoir des incidences notables sur le budget d'Europol.

Article 59

Exécution du budget

1.   Le directeur exécutif exécute le budget d'Europol.

2.   Le directeur exécutif transmet annuellement au Parlement européen et au Conseil toute information pertinente au sujet des résultats de toute procédure d'évaluation.

Article 60

Reddition des comptes et décharge

1.   Le comptable d'Europol transmet les comptes provisoires de l'exercice (ci-après dénommé «année N») au comptable de la Commission et à la Cour des comptes au plus tard le 1er mars de l'exercice suivant (ci-après dénommé «année N + 1»).

2.   Europol transmet un rapport sur la gestion budgétaire et financière de l'année N au Parlement européen, au Conseil et à la Cour des comptes au plus tard le 31 mars de l'année N + 1.

3.   Le comptable de la Commission transmet à la Cour des comptes les comptes provisoires d'Europol de l'année N, consolidés avec les comptes de la Commission, au plus tard le 31 mars de l'année N + 1.

4.   Dès réception des observations formulées par la Cour des comptes sur les comptes provisoires d'Europol de l'année N en vertu de l'article 148 du règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil (25), le comptable d'Europol établit les comptes définitifs d'Europol pour ladite année. Le directeur exécutif les soumet ensuite pour avis au conseil d'administration.

5.   Le conseil d'administration rend un avis sur les comptes définitifs d'Europol pour l'année N.

6.   Au plus tard le 1er juillet de l'année N + 1, le comptable d'Europol transmet les comptes définitifs de l'année N, accompagnés de l'avis du conseil d'administration visé au paragraphe 5, au Parlement européen, au Conseil, à la Commission, à la Cour des comptes et aux parlements nationaux.

7.   Les comptes définitifs pour l'année N sont publiés au Journal officiel de l'Union européenne au plus tard le 15 novembre de l'année N + 1.

8.   Le directeur exécutif adresse à la Cour des comptes, au plus tard le 30 septembre de l'année N + 1, une réponse aux observations formulées par celle-ci dans son rapport annuel. Il transmet également cette réponse au conseil d'administration.

9.   Le directeur exécutif soumet au Parlement européen, à la demande de celui-ci, toute information nécessaire au bon déroulement de la procédure de décharge pour l'année N, comme prévu à l'article 109, paragraphe 3, du règlement délégué (UE) no 1271/2013.

10.   Sur recommandation du Conseil statuant à la majorité qualifiée, le Parlement européen donne décharge au directeur exécutif sur l'exécution du budget de l'exercice N avant le 15 mai de l'année N + 2.

Article 61

Règles financières

1.   Les règles financières applicables à Europol sont adoptées par le conseil d'administration après consultation de la Commission. Elles ne s'écartent du règlement délégué (UE) no 1271/2013 que si les exigences spécifiques du fonctionnement d'Europol le nécessitent et avec l'accord préalable de la Commission.

2.   Europol peut octroyer des fonds liés à l'accomplissement de missions visées à l'article 4.

3.   Europol peut octroyer des fonds sans appel à propositions aux États membres pour leur permettre de mener leurs opérations et leurs enquêtes transfrontalières et de dispenser des formations en rapport avec les missions visées à l'article 4, paragraphe 1, points h) et i).

4.   En ce qui concerne le soutien financier à apporter aux équipes communes d'enquête, Europol et Eurojust établissent conjointement les règles et les conditions selon lesquelles les demandes de soutien sont traitées.

CHAPITRE XI

DISPOSITIONS DIVERSES

Article 62

Statut juridique

1.   Europol est une agence de l'Union. Elle est dotée de la personnalité juridique.

2.   Dans chaque État membre, Europol possède la capacité juridique la plus large reconnue aux personnes morales par le droit national. Europol peut, notamment, acquérir et aliéner des biens immobiliers et mobiliers et ester en justice.

3.   Conformément au protocole no 6 sur la fixation des sièges des institutions et de certains organes, organismes et services de l'Union européenne annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne (ci-après dénommé «protocole no 6»), le siège d'Europol est fixé à La Haye.

Article 63

Privilèges et immunités

1.   Le protocole no 7 sur les privilèges et immunités de l'Union européenne, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, s'applique à Europol ainsi qu'à son personnel.

2.   Les privilèges et immunités des officiers de liaison et des membres de leurs familles font l'objet d'un accord entre le Royaume des Pays-Bas et les autres États membres. Cet accord prévoit les privilèges et immunités nécessaires au bon exercice des fonctions des officiers de liaison.

Article 64

Régime linguistique

1.   Les dispositions du règlement no 1 (26) s'appliquent à Europol.

2.   Le conseil d'administration arrête à la majorité des deux tiers de ses membres le régime linguistique interne d'Europol.

3.   Les travaux de traduction requis pour le fonctionnement d'Europol sont effectués par le Centre de traduction des organes de l'Union européenne.

Article 65

Transparence

1.   Le règlement (CE) no 1049/2001 s'applique aux documents détenus par Europol.

2.   Le conseil d'administration adopte au plus tard le 14 décembre 2016 les modalités d'application du règlement (CE) no 1049/2001 en ce qui concerne les documents d'Europol.

3.   Les décisions prises par Europol en application de l'article 8 du règlement (CE) no 1049/2001 peuvent faire l'objet d'une plainte auprès du Médiateur européen ou d'un recours devant la Cour de justice de l'Union européenne, conformément aux articles 228 et 263 du traité sur le fonctionnement de l'Union européenne.

4.   Europol publie sur son site internet une liste des membres de son conseil d'administration et les résumés exposant les résultats des réunions du conseil d'administration. La publication de ces résumés est omise ou limitée à titre temporaire ou permanent si elle risque de compromettre l'accomplissement des missions d'Europol, compte tenu des obligations de réserve et de confidentialité d'Europol et de son caractère opérationnel.

Article 66

Lutte contre la fraude

1.   Pour faciliter la lutte contre la fraude, la corruption et toute autre activité illégale en vertu du règlement (UE, Euratom) no 883/2013, Europol adhère, pour le 30 octobre 2017 au plus tard, à l'accord interinstitutionnel du 25 mai 1999 entre le Parlement européen, le Conseil de l'Union européenne et la Commission des Communautés européennes relatif aux enquêtes internes effectuées par l'Office européen de lutte antifraude (OLAF) (27) et arrête les dispositions appropriées qui s'appliquent à tout le personnel d'Europol, en utilisant le modèle figurant à l'annexe dudit accord.

2.   La Cour des comptes dispose d'un pouvoir d'audit, sur pièces et sur place, à l'égard de tous les bénéficiaires de subventions, contractants et sous-traitants qui ont reçu, par l'intermédiaire d'Europol, des fonds de l'Union.

3.   L'OLAF peut mener des enquêtes, et notamment effectuer des contrôles et vérifications sur place, en vue d'établir l'existence éventuelle d'une fraude, d'un acte de corruption ou de toute autre activité illégale portant atteinte aux intérêts financiers de l'Union, dans le cadre d'une subvention ou d'un contrat octroyé par Europol. Ces enquêtes sont menées conformément aux dispositions et procédures prévues par le règlement (UE, Euratom) no 883/2013 et par le règlement (Euratom, CE) no 2185/96 du Conseil (28).

4.   Sans préjudice des paragraphes 1, 2 et 3, les arrangements de travail avec des organes de l'Union, des autorités de pays tiers, des organisations internationales et des parties privées, les contrats, les conventions de subvention et les décisions de subvention d'Europol contiennent des dispositions permettant expressément à la Cour des comptes et à l'OLAF de procéder aux audits et aux enquêtes visés aux paragraphes 2 et 3, conformément à leurs compétences respectives.

Article 67

Règles en matière de protection des informations sensibles non classifiées et des informations classifiées

1.   Europol établit des règles relatives aux obligations de réserve et de confidentialité et à la protection des informations sensibles non classifiées.

2.   Europol établit des règles relatives à la protection des informations classifiées de l'UE qui sont conformes à la décision 2013/488/UE afin d'assurer un niveau de protection équivalent de ces informations.

Article 68

Évaluation et révision

1.   Au plus tard le 1er mai 2022 et tous les cinq ans par la suite, la Commission veille à ce qu'il soit procédé à une évaluation portant, notamment, sur l'impact, l'efficacité et l'efficience de l'action d'Europol et de ses méthodes de travail. Cette évaluation peut notamment étudier la nécessité éventuelle de modifier la structure, le fonctionnement, le domaine d'action et les missions d'Europol, ainsi que les implications financières d'une telle modification.

2.   La Commission transmet le rapport d'évaluation au conseil d'administration. Le conseil d'administration fait part de ses observations sur le rapport d'évaluation dans un délai de trois mois à compter de la date de réception. La Commission transmet ensuite le rapport d'évaluation final, accompagné de ses conclusions ainsi que d'une annexe contenant les observations du conseil d'administration, au Parlement européen, au Conseil, aux parlements nationaux et au conseil d'administration. Le cas échéant, les principales conclusions du rapport d'évaluation sont rendues publiques.

Article 69

Enquêtes administratives

Les activités d'Europol sont soumises aux enquêtes du Médiateur européen conformément à l'article 228 du traité sur le fonctionnement de l'Union européenne.

Article 70

Siège

Les dispositions nécessaires relatives à l'implantation d'Europol au Royaume des Pays-Bas et aux prestations à fournir par le Royaume des Pays-Bas, ainsi que les règles particulières qui y sont applicables au directeur exécutif, aux membres du conseil d'administration, au personnel d'Europol et aux membres de leurs familles, sont arrêtées dans un accord de siège conclu entre Europol et le Royaume des Pays-Bas conformément au protocole no 6.

CHAPITRE XII

DISPOSITIONS TRANSITOIRES

Article 71

Succession juridique

1.   Europol telle qu'elle est instituée par le présent règlement est le successeur en droit, pour l'ensemble des contrats conclus par Europol institué par la décision 2009/371/JAI, des obligations qui incombent à ce dernier et des biens qu'il a acquis.

2.   Le présent règlement n'affecte pas la validité juridique des accords conclus par Europol institué par la décision 2009/371/JAI avant le 13 juin 2016 ni des accords conclus par Europol institué par la convention Europol avant le 1er janvier 2010.

Article 72

Arrangements transitoires concernant le conseil d'administration

1.   Le mandat des membres du conseil d'administration institué sur la base de l'article 37 de la décision 2009/371/JAI prend fin le 1er mai 2017.

2.   Pendant la période comprise entre le 13 juin 2016 et le 1er mai 2017, le conseil d'administration institué sur la base de l'article 37 de la décision 2009/371/JAI:

a)

exerce les fonctions du conseil d'administration conformément à l'article 11 du présent règlement;

b)

prépare l'adoption des règles relatives à l'application du règlement (CE) no 1049/2001 en ce qui concerne les documents Europol visés à l'article 65, paragraphe 2, du présent règlement, et des règles visées à l'article 67 du présent règlement;

c)

prépare tout instrument nécessaire à l'application du présent règlement, en particulier toute mesure relative au chapitre IV; et

d)

réexamine les règles internes et les mesures adoptées sur la base de la décision 2009/371/JAI, afin de permettre au conseil d'administration institué sur la base de l'article 10 du présent règlement de prendre une décision en application de l'article 76 du présent règlement.

3.   Sans retard après le 13 juin 2016, la Commission prend les mesures nécessaires pour que le conseil d'administration institué en vertu de l'article 10 entame ses travaux le 1er mai 2017.

4.   Au plus tard le 14 décembre 2016, les États membres communiquent à la Commission les noms des personnes qu'ils ont désignées en tant que membres et membres suppléants du conseil d'administration conformément à l'article 10.

5.   Le conseil d'administration institué conformément à l'article 10 tient sa première réunion le1er mai 2017. À cette occasion, il prend, s'il y a lieu, des décisions comme le prévoit l'article 76.

Article 73

Arrangements transitoires concernant le directeur exécutif, les directeurs adjoints et le personnel

1.   Le directeur d'Europol nommé sur la base de l'article 38 de la décision 2009/371/JAI est chargé, pour la durée restante de son mandat, d'exercer les responsabilités de directeur exécutif prévues à l'article 16 du présent règlement. Les autres conditions de son contrat demeurent inchangées. Si son mandat se termine entre le 13 juin 2016 et le 1er mai 2017, il est automatiquement prolongé jusqu'au 1er mai 2018.

2.   Dans le cas où le directeur nommé sur la base de l'article 38 de la décision 2009/371/JAI refuse ou n'est pas en mesure de se conformer au paragraphe 1 du présent article, le conseil d'administration désigne un directeur exécutif intérimaire pour exercer les fonctions attribuées au directeur exécutif pendant une période n'excédant pas dix-huit mois, dans l'attente de la nomination prévue à l'article 54, paragraphe 2, du présent règlement.

3.   Les paragraphes 1 et 2 du présent article s'appliquent aux directeurs adjoints nommés sur la base de l'article 38 de la décision 2009/371/JAI.

4.   Conformément au régime applicable aux autres agents, l'autorité visée à son article 6, premier alinéa, propose un contrat d'agent temporaire ou contractuel à durée indéterminée à toute personne employée en tant qu'agent local, au 1er mai 2017, dans le cadre d'un contrat à durée indéterminée conclu par Europol tel qu'institué par la convention Europol. L'offre d'emploi est fondée sur les tâches que l'agent temporaire ou contractuel devra exécuter. Le contrat concerné prend effet au plus tard le 1er mai 2018. L'agent qui n'accepte pas l'offre visée au présent paragraphe peut conserver sa relation contractuelle avec Europol conformément à l'article 53, paragraphe 1.

Article 74

Dispositions budgétaires transitoires

La procédure de décharge pour les budgets approuvés sur la base de l'article 42 de la décision 2009/371/JAI se déroule conformément aux règles établies par son article 43.

CHAPITRE XIII

DISPOSITIONS FINALES

Article 75

Remplacement et abrogation

1.   Les décisions 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI sont remplacées par le présent règlement pour les États membres liés par le présent règlement, avec effet à compter du 1er mai 2017.

Par conséquent, les décisions 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI sont abrogées avec effet à compter du 1er mai 2017.

2.   À l'égard des États membres liés par le présent règlement, les références faites aux décisions visées au paragraphe 1 s'entendent comme faites au présent règlement.

Article 76

Maintien en vigueur des règles internes adoptées par le conseil d'administration

Les règles internes et les mesures adoptées par le conseil d'administration sur la base de la décision 2009/371/JAI demeurent en vigueur après le 1er mai 2017, sauf si le conseil d'administration en décide autrement dans le cadre de l'application du présent règlement.

Article 77

Entrée en vigueur et application

1.   Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

2.   Il est applicable à partir du 1er mai 2017.

Toutefois, les articles 71, 72 et 73 sont applicables à partir du 13 juin 2016.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.

Fait à Strasbourg, le 11 mai 2016.

Par le Parlement européen

Le président

M. SCHULZ

Par le Conseil

Le président

J.A. HENNIS-PLASSCHAERT


(1)  Position du Parlement européen du 25 février 2014 (non encore parue au Journal officiel) et position du Conseil en première lecture du 10 mars 2016 (non encore parue au Journal officiel). Position du Parlement européen du 11 mai 2016 (non encore parue au Journal officiel).

(2)  Décision 2009/371/JAI du Conseil du 6 avril 2009 portant création de l'Office européen de police (Europol) (JO L 121 du 15.5.2009, p. 37).

(3)  JO C 316 du 27.11.1995, p. 1.

(4)  JO C 115 du 4.5.2010, p. 1.

(5)  Décision 2009/934/JAI du Conseil du 30 novembre 2009 portant adoption des règles d'application régissant les relations d'Europol avec ses partenaires, notamment l'échange de données à caractère personnel et d'informations classifiées (JO L 325 du 11.12.2009, p. 6).

(6)  Décision 2009/935/JAI du Conseil du 30 novembre 2009 établissant la liste des États et organisations tiers avec lesquels Europol conclut des accords (JO L 325 du 11.12.2009, p. 12).

(7)  Décision 2009/936/JAI du Conseil du 30 novembre 2009 portant adoption des règles d'application relatives aux fichiers de travail à des fins d'analyse Europol (JO L 325 du 11.12.2009, p. 14).

(8)  Décision 2009/968/JAI du Conseil du 30 novembre 2009 portant adoption des règles relatives à la confidentialité des informations d'Europol (JO L 332 du 17.12.2009, p. 17).

(9)  Règlement (UE) no 1053/2013 du Conseil du 7 octobre 2013 portant création d'un mécanisme d'évaluation et de contrôle destiné à vérifier l'application de l'acquis de Schengen et abrogeant la décision du comité exécutif du 16 septembre 1998 concernant la création d'une commission permanente d'évaluation et d'application de Schengen (JO L 295 du 6.11.2013, p. 27).

(10)  Règlement (Euratom, CECA, CEE) no 549/69 du Conseil du 25 mars 1969 déterminant les catégories des fonctionnaires et agents des Communautés européennes auxquelles s'appliquent les dispositions des articles 12, 13, deuxième alinéa, et 14 du protocole sur les privilèges et immunités des Communautés (JO L 74 du 27.3.1969, p. 1).

(11)  Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(12)  Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

(13)  Recommandation du Comité des Ministres du Conseil de l'Europe no R (87) 15 aux États membres visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police, 17.9.1987.

(14)  JO L 56 du 4.3.1968, p. 1.

(15)  Règlement délégué (UE) no 1271/2013 de la Commission du 30 septembre 2013 portant règlement financier-cadre des organismes visés à l'article 208 du règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil (JO L 328 du 7.12.2013, p. 42).

(16)  Règlement délégué (UE) no 1268/2012 de la Commission du 29 octobre 2012 relatif aux règles d'application du règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil relatif aux règles financières applicables au budget général de l'Union (JO L 362 du 31.12.2012, p. 1).

(17)  Règlement (UE, Euratom) no 883/2013 du Parlement européen et du Conseil du 11 septembre 2013 relatif aux enquêtes effectuées par l'Office européen de lutte antifraude (OLAF) et abrogeant le règlement (CE) no 1073/1999 du Parlement européen et du Conseil et le règlement (Euratom) no 1074/1999 du Conseil (JO L 248 du 18.9.2013, p. 1).

(18)  Décision 2013/488/UE du Conseil du 23 septembre 2013 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'Union européenne (JO L 274 du 15.10.2013, p. 1).

(19)  Acte du Conseil du 3 décembre 1998 portant adoption du statut du personnel d'Europol (JO C 26 du 30.1.1999, p. 23).

(20)  Décision 2005/511/JAI du Conseil du 12 juillet 2005 visant à protéger l'euro contre le faux-monnayage par la désignation d'Europol comme office central de répression du faux-monnayage de l'euro (JO L 185 du 16.7.2005, p. 35).

(21)  Directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme (JO L 309 du 25.11.2005, p. 15).

(22)  Décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres (JO L 190 du 18.7.2002, p. 1).

(23)  Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).

(24)  JO C 95 du 1.4.2014, p. 1.

(25)  Règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif aux règles financières applicables au budget général de l'Union et abrogeant le règlement (CE, Euratom) no 1605/2002 du Conseil (JO L 298 du 26.10.2012, p. 1).

(26)  Règlement no 1 portant fixation du régime linguistique de la Communauté économique européenne (JO 17 du 6.10.1958, p. 385/58).

(27)  JO L 136 du 31.5.1999, p. 15.

(28)  Règlement (Euratom, CE) no 2185/96 du Conseil du 11 novembre 1996 relatif aux contrôles et vérifications sur place effectués par la Commission pour la protection des intérêts financiers des Communautés européennes contre les fraudes et autres irrégularités (JO L 292 du 15.11.1996, p. 2).


ANNEXE I

LISTE DES FORMES DE CRIMINALITÉ VISÉES À L'ARTICLE 3, PARAGRAPHE 1

Terrorisme,

criminalité organisée,

trafic de stupéfiants,

activités de blanchiment d'argent,

criminalité liée aux matières nucléaires et radioactives,

filière d'immigration,

traite des êtres humains,

criminalité liée au trafic de véhicules volés,

meurtre et coups et blessures graves,

trafic d'organes et de tissus humains,

enlèvement, séquestration et prise d'otage,

racisme et xénophobie,

vol qualifié et vol aggravé,

trafic de biens culturels, y compris les antiquités et les œuvres d'art,

escroquerie et fraude,

infractions portant atteinte aux intérêts financiers de l'Union,

délits d'initiés et manipulation des marchés financiers,

racket et extorsion de fonds,

contrefaçon et piratage de produits,

falsification de documents administratifs et trafic de faux,

faux-monnayage et falsification de moyens de paiement,

criminalité informatique,

corruption,

trafic d'armes, de munitions et d'explosifs,

trafic d'espèces animales menacées,

trafic d'espèces et d'essences végétales menacées,

criminalité au détriment de l'environnement, y compris la pollution causée par les navires,

trafic de substances hormonales et d'autres facteurs de croissance,

abus sexuels et exploitation sexuelle, y compris matériel pédopornographique et sollicitation d'enfants à des fins sexuelles,

génocides, crimes contre l'humanité et crimes de guerre.


ANNEXE II

A.   Catégories de données à caractère personnel pouvant être collectées et traitées et catégories de personnes concernées dont les données peuvent être collectées et traitées à des fins de recoupement visées à l'article 18, paragraphe 2, point a)

 

1.

Les données à caractère personnel collectées et traitées à des fins de recoupement doivent concerner:

a)

des personnes qui, au regard du droit national de l'État membre concerné, sont soupçonnées d'avoir commis une infraction ou participé à une infraction relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;

b)

des personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'elles commettront des infractions pénales relevant de la compétence d'Europol.

 

2.

Les données relatives aux personnes visées au paragraphe 1 ne peuvent comprendre que les catégories de données à caractère personnel suivantes:

a)

les nom, nom de jeune fille, prénoms et tout pseudonyme ou nom d'emprunt;

b)

la date et le lieu de naissance;

c)

la nationalité;

d)

le sexe;

e)

le lieu de résidence, la profession et l'endroit où se trouve la personne concernée;

f)

les numéros de sécurité sociale, les permis de conduire, les pièces d'identité et les données concernant le passeport; et

g)

au besoin, d'autres éléments permettant d'identifier la personne, notamment les signes physiques particuliers, objectifs et inaltérables, tels que les données dactyloscopiques et le profil ADN (établi à partir de l'ADN non codant).

 

3.

Outre les données mentionnées au paragraphe 2, les catégories suivantes de données à caractère personnel concernant les personnes visées au paragraphe 1 peuvent être collectées et traitées:

a)

les infractions pénales et infractions pénales présumées, avec leurs dates, lieux et modalités;

b)

les moyens utilisés ou susceptibles d'avoir été utilisés pour commettre ces infractions pénales, y compris les informations relatives aux personnes morales;

c)

les services traitant l'affaire et leurs numéros de dossiers;

d)

la suspicion d'appartenance à une organisation criminelle;

e)

les condamnations, si elles concernent des infractions pénales relevant de la compétence d'Europol;

f)

la personne introduisant les données.

Ces données peuvent être communiquées à Europol même lorsqu'elles ne comportent pas encore de références aux personnes.

 

4.

Les informations complémentaires détenues par Europol ou par les unités nationales sur les personnes visées au paragraphe 1 peuvent être communiquées sur demande à toute unité nationale ou à Europol. Pour les unités nationales, cette communication s'effectue dans le respect de leur droit national.

 

5.

Si la procédure ouverte à l'égard de la personne concernée est définitivement classée ou si cette personne est définitivement acquittée, les données relatives à l'affaire ayant fait l'objet de cette décision sont effacées.

B.   Catégories de données à caractère personnel pouvant être collectées et traitées et catégories de personnes concernées dont les données peuvent être collectées et traitées à des fins d'analyses de nature stratégique ou thématique, d'analyses opérationnelles ou de facilitation de l'échange d'informations visées à l'article 18, paragraphe 2, points b), c) et d)

 

1.

Les données à caractère personnel collectées et traitées à des fins d'analyses de nature stratégique ou thématique, d'analyses opérationnelles ou de facilitation de l'échange d'informations entre les États membres, Europol, d'autres organes de l'Union, des pays tiers et des organisations internationales concernent:

a)

des personnes qui, en application du droit national de l'État membre concerné, sont soupçonnées d'avoir commis une infraction ou participé à une infraction pénale relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;

b)

des personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'elles commettront des infractions pénales relevant de la compétence d'Europol;

c)

des personnes qui pourront être appelées à témoigner dans le cadre d'enquêtes portant sur les infractions considérées ou de poursuites pénales ultérieures;

d)

des personnes qui ont été victimes d'une des infractions considérées ou pour lesquelles il existe certains faits qui permettent de penser qu'elles pourraient être les victimes d'une telle infraction;

e)

des contacts et l'entourage; et

f)

des personnes pouvant fournir des informations sur les infractions pénales considérées.

 

2.

Les catégories de données à caractère personnel suivantes, y compris les données administratives connexes, peuvent être traitées en ce qui concerne les catégories de personnes visées au paragraphe 1, points a) et b):

a)

renseignements d'état civil:

i)

nom actuel et noms précédents;

ii)

prénom actuel et prénoms précédents;

iii)

nom de jeune fille;

iv)

nom et prénom du père (si nécessaire à des fins d'identification);

v)

nom et prénom de la mère (si nécessaire à des fins d'identification);

vi)

sexe;

vii)

date de naissance;

viii)

lieu de naissance;

ix)

nationalité;

x)

situation de famille;

xi)

pseudonymes;

xii)

surnom;

xiii)

noms d'emprunt ou faux noms;

xiv)

résidence et/ou domicile actuels et antérieurs;

b)

description physique:

i)

signalement physique;

ii)

signes particuliers (marques, cicatrices, tatouages, etc.);

c)

moyens d'identification:

i)

documents d'identité/permis de conduire;

ii)

numéros de la carte d'identité nationale/du passeport;

iii)

numéro d'identification national/numéro de sécurité sociale, le cas échéant;

iv)

représentations visuelles et autres informations concernant l'aspect extérieur;

v)

informations permettant l'identification médico-légale, telles qu'empreintes digitales, profil ADN (établi à partir de l'ADN non codant), empreinte vocale, groupe sanguin, dossier dentaire;

d)

profession et qualifications:

i)

emploi et activité professionnelle actuels;

ii)

emploi et activité professionnelle précédents;

iii)

formation (scolaire/universitaire/professionnelle);

iv)

aptitudes;

v)

compétences et autres connaissances (langues/autres);

e)

informations d'ordre économique et financier:

i)

données financières (comptes et codes bancaires, cartes de crédit, etc.);

ii)

avoirs liquides;

iii)

actions/autres avoirs;

iv)

données patrimoniales;

v)

liens avec des sociétés et des entreprises;

vi)

contacts avec les banques et les établissements de crédit;

vii)

situation fiscale;

viii)

autres informations sur la gestion des avoirs financiers de la personne;

f)

informations relatives au comportement:

i)

mode de vie (par exemple, train de vie sans rapport avec les revenus) et habitudes;

ii)

déplacements;

iii)

lieux fréquentés;

iv)

armes et autres instruments dangereux;

v)

degré de dangerosité;

vi)

risques particuliers, tels que probabilité de fuite, utilisation d'agents doubles, liens avec des membres de services répressifs;

vii)

traits de caractère ayant un rapport avec la criminalité;

viii)

toxicomanie;

g)

contacts et entourage, y compris type et nature du contact ou de la relation;

h)

moyens de communication utilisés, tels que téléphone (fixe/mobile), télécopieur, messageur, courrier électronique, adresses postales, connexion(s) sur l'internet;

i)

moyens de transport utilisés tels que véhicules automobiles, embarcations, avions, avec indication de leurs éléments d'identification (numéros d'immatriculation);

j)

informations relatives aux activités criminelles:

i)

condamnations antérieures;

ii)

participation présumée à des activités criminelles;

iii)

modus operandi;

iv)

moyens utilisés ou susceptibles de l'être pour préparer/commettre des infractions;

v)

appartenance à des groupes/organisations criminel(le)s et position au sein du groupe/de l'organisation;

vi)

rôle au sein de l'organisation criminelle;

vii)

zone géographique des activités criminelles;

viii)

objets recueillis lors des enquêtes, tels que cassettes vidéo et photographies;

k)

indication d'autres systèmes d'information stockant des données sur la personne concernée:

i)

Europol;

ii)

services de police/douaniers;

iii)

autres services répressifs;

iv)

organisations internationales;

v)

entités publiques;

vi)

entités privées;

l)

renseignements sur les personnes morales associées aux informations visées aux points e) et j):

i)

dénomination de la personne morale;

ii)

localisation;

iii)

date et lieu de création;

iv)

numéro d'immatriculation administrative;

v)

statut juridique;

vi)

capital;

vii)

secteur d'activité;

viii)

filiales nationales et internationales;

ix)

dirigeants;

x)

liens avec les banques.

 

3.

Les «contacts» et l'«entourage» visés au paragraphe 1, point e), sont des personnes pour lesquelles il y a lieu d'estimer qu'elles peuvent permettre d'obtenir des informations utiles à l'analyse sur les personnes visées au paragraphe 1, points a) et b), pour autant qu'elles ne soient pas incluses dans l'une des catégories de personnes visées au paragraphe 1, points a), b), c), d) et f). Les «contacts» sont des personnes qui ont des contacts sporadiques avec les personnes visées au paragraphe 1, points a) et b). L'«entourage» vise des personnes qui ont des contacts réguliers avec les personnes visées au paragraphe 1, points a) et b).

En ce qui concerne les contacts et l'entourage, les données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer que ces données sont nécessaires à l'analyse des relations de ces personnes avec les personnes visées au paragraphe 1, points a) et b). À cet égard, les précisions suivantes sont apportées:

a)

les relations doivent être clarifiées au plus vite;

b)

les données visées au paragraphe 2 sont effacées sans retard si l'hypothèse de l'existence d'une relation se révèle infondée;

c)

toutes les données visées au paragraphe 2 peuvent être stockées si les contacts et l'entourage sont soupçonnés d'avoir commis une infraction relevant des objectifs d'Europol ou ont été condamnés pour avoir commis une telle infraction, ou s'il existe des indices concrets ou de bonnes raisons de croire, au regard du droit national de l'État membre concerné, qu'ils commettront une telle infraction;

d)

les données visées au paragraphe 2 sur les contacts, et l'entourage, des contacts ainsi que les données sur les contacts, et l'entourage, de l'entourage ne peuvent pas être stockées, à l'exception des données sur le type et la nature de leurs contacts ou de leur relation avec les personnes visées au paragraphe 1, points a) et b);

e)

s'il n'est pas possible de clarifier les éléments visés aux points précédents, il en est tenu compte lorsqu'une décision est prise sur la nécessité et la portée du stockage aux fins de la poursuite de l'analyse.

 

4.

En ce qui concerne les personnes qui, comme visé au paragraphe 1, point d), ont été victimes d'une des infractions considérées ou pour lesquelles il existe certains faits qui permettent de penser qu'elles pourraient être victimes d'une telle infraction, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données suivantes:

a)

identification de la victime;

b)

raisons du choix de la victime;

c)

dommage (physique, financier, psychologique, autre);

d)

anonymat à préserver ou non;

e)

éventuelle possibilité de participer à une audience;

f)

informations relatives à des activités criminelles fournies par les personnes visées au paragraphe 1, point d), ou par leur intermédiaire, y compris si cela est nécessaire informations sur leurs relations avec d'autres personnes aux fins d'identifier les personnes visées au paragraphe 1, points a) et b).

Les autres données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer qu'elles sont nécessaires à l'analyse du rôle des personnes considérées en tant que victime ou victime potentielle.

Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.

 

5.

En ce qui concerne les personnes qui, comme visé au paragraphe 1, point c), pourraient être appelées à témoigner dans le cadre d'enquêtes portant sur les infractions considérées ou de poursuites pénales ultérieures, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données répondant aux critères suivants:

a)

informations relatives à des activités criminelles fournies par ces personnes, y compris informations sur leurs relations avec d'autres personnes figurant dans le fichier de travail à des fins d'analyse;

b)

anonymat à préserver ou non;

c)

protection à assurer ou non et par qui;

d)

nouvelle identité;

e)

éventuelle possibilité de participer à une audience.

Les autres données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer qu'elles sont nécessaires à l'analyse du rôle des personnes considérées en tant que témoins.

Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.

 

6.

En ce qui concerne les personnes qui, comme mentionné au paragraphe 1, point f), peuvent fournir des informations sur les infractions pénales considérées, les données visées au paragraphe 2, points a) à c) iii), peuvent être stockées, ainsi que les catégories de données répondant aux critères suivants:

a)

données d'identité codées;

b)

type d'informations fournies;

c)

anonymat à préserver ou non;

d)

protection à assurer ou non et par qui;

e)

nouvelle identité;

f)

éventuelle possibilité de participer à une audience;

g)

expériences négatives;

h)

récompenses (pécuniaires/faveurs).

Les autres données visées au paragraphe 2 peuvent être stockées en fonction des besoins, à condition qu'il existe des raisons d'estimer qu'elles sont nécessaires à l'analyse du rôle de ces personnes en tant qu'informateurs.

Les données qui ne sont pas nécessaires à la poursuite de l'analyse sont effacées.

 

7.

Si, à un moment au cours de l'analyse, il apparaît clairement, sur la base d'indications sérieuses et concordantes, qu'une personne devrait être inscrite dans une autre catégorie de personnes prévue par la présente annexe que celle dans laquelle elle a été inscrite à l'origine, Europol ne peut traiter, pour cette personne, que les données autorisées pour la nouvelle catégorie, toutes les autres données devant être effacées.

Si, sur la base de ces indications, il s'avère qu'une personne devrait être incluse dans plusieurs catégories différentes prévues par la présente annexe, Europol peut traiter toutes les données autorisées pour ces catégories.


Back to top