4. Risques de malveillance 4.1. Généralités 4.1.2. Les acteurs publics du domaine de la sûreté Police

Règlement (UE) 2022/991 du Parlement européen et du Conseil du 8 juin 2022 modifiant le règlement (UE) 2016/794 en ce qui concerne la coopération d’Europol avec les parties privées, le traitement de données à caractère personnel par Europol à l’appui d’enquêtes pénales et le rôle d’Europol en matière de recherche et d’innovation

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

• vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 88,
• vu la proposition de la Commission européenne, après transmission du projet d’acte législatif aux parlements nationaux, statuant conformément à la procédure législative ordinaire (1),

considérant ce qui suit :

(1) L’Agence de l’Union européenne pour la coopération des services répressifs (Europol) a été instituée par le règlement (UE) 2016/794 du Parlement européen et du Conseil (2) afin de soutenir et de renforcer l’action des autorités compétentes des États membres et leur coopération mutuelle dans la prévention des formes graves de criminalité affectant deux ou plusieurs États membres, du terrorisme et des formes de criminalité portant atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union, ainsi que dans la lutte contre ces phénomènes.

(2) La situation en matière de sécurité ne cesse de changer en Europe, sous l’influence de menaces qui évoluent et deviennent de plus en plus complexes. Les terroristes et autres criminels exploitent la transformation numérique et les nouvelles technologies, tant notamment l’interconnectivité que le flou qui caractérise les frontières entre le monde réel et le monde numérique, par exemple en dissimulant leurs crimes et leur identité par le recours à des techniques de plus en plus élaborées. Les terroristes et autres criminels ont prouvé leur capacité à adapter leur mode opératoire et à développer de nouvelles activités criminelles en temps de crise, notamment en exploitant des outils technologiques pour multiplier leurs activités criminelles et en développer l’échelle et la portée. Le terrorisme demeure une grave menace pour la liberté et le mode de vie des citoyens de l’Union.

(3) Les menaces évolutives et complexes dépassent les frontières, en couvrant des formes de criminalité diverses, qu’elles facilitent, et se manifestent sous la forme d’organisations criminelles à caractère polycriminel qui se livrent à des activités criminelles très variées. L’action au niveau national et la coopération transfrontière n’étant pas suffisantes pour répondre à ces menaces transnationales pour la sécurité, les autorités compétentes des États membres ont de plus en plus eu recours au soutien et à l’expertise offerts par Europol afin de prévenir les formes graves de criminalité et le terrorisme et de lutter contre ces phénomènes. Depuis que le règlement (UE) 2016/794 est devenu applicable, l’importance opérationnelle des missions d’Europol a considérablement augmenté. Par ailleurs, le nouveau contexte de menace modifie la portée et le type de soutien dont les États membres ont besoin et qu’ils attendent d’Europol afin d’assurer la sécurité des citoyens. 

(4) Des missions supplémentaires devraient dès lors être confiées à Europol par le présent règlement afin de lui permettre de soutenir plus efficacement les autorités compétentes des États membres tout en respectant pleinement les responsabilités des États membres dans le domaine de la sécurité nationale tel que cela est prévu à l’article 4, paragraphe 2, du traité sur l’Union européenne. Le mandat renforcé d’Europol devrait être contrebalancé par le renforcement des garanties en ce qui concerne les droits fondamentaux ainsi qu’un renforcement de l’obligation de rendre des comptes, de la responsabilité et du contrôle, y compris du contrôle parlementaire et du contrôle par le conseil d’administration d’Europol (ci-après dénommé «conseil d’administration»). Pour permettre à Europol de remplir son mandat renforcé, il devrait disposer de ressources humaines et financières suffisantes afin d’appuyer ses missions supplémentaires.

(5) Étant donné que l’Union est de plus en plus menacée par les organisations criminelles et les attentats terroristes, une réponse efficace des services répressifs doit inclure la mise à disposition d’unités spéciales d’intervention interopérables, dûment formées et spécialisées dans la maîtrise des situations de crise d’origine humaine. Dans l’Union, les unités spéciales d’intervention des États membres coopèrent en vertu de la décision 2008/617/JAI du Conseil (3). Europol devrait être en mesure de soutenir ces unités spéciales d’intervention en leur apportant une aide technique et financière, en complément des efforts déployés par les États membres.

(6) Ces dernières années, des cyberattaques de grande envergure, dont certaines depuis des pays tiers, ont ciblé tant des entités publiques que privées sur de nombreux territoires, au sein de l’Union ou en dehors de l’Union, en perturbant différents secteurs, dont les transports, la santé et les services financiers. La prévention, la détection, les enquêtes et les poursuites relatives à ces cyberattaques sont soutenues par la coordination et la coopération entre les acteurs concernés, y compris l’Agence de l’Union européenne pour la cybersécurité (ENISA) instituée par le règlement (UE) 2019/881 du Parlement européen et du Conseil (4), les autorités compétentes en matière de sécurité des réseaux et des systèmes d’information au sens de la directive (UE) 2016/1148 du Parlement européen et du Conseil (5), les autorités compétentes des États membres et les parties privées. Afin de garantir une coopération efficace entre tous les acteurs concernés au niveau de l’Union et au niveau national en ce qui concerne les cyberattaques et les cybermenaces, Europol devrait coopérer avec l’ENISA en particulier en échangeant des informations et en fournissant une aide à l’analyse dans les domaines qui relèvent de leurs compétences respectives.

(7) Les criminels à haut risque jouent un rôle majeur dans les réseaux criminels et leurs activités criminelles représentent un risque élevé pour la sécurité intérieure de l’Union. Afin de lutter contre les organisations criminelles à haut risque et leurs chefs, Europol devrait avoir la possibilité d’aider les États membres à axer leurs efforts d’enquête sur l’identification des membres et des membres dirigeants de ces réseaux, de leurs activités criminelles et de leurs avoirs financiers.

(8) Les menaces que représentent les formes graves de criminalité nécessitent une réponse coordonnée, cohérente, pluridisciplinaire et interagences. Europol devrait avoir la possibilité de faciliter et d’appuyer les initiatives de sécurité fondées sur le renseignement que pilotent les États membres qui visent à identifier, hiérarchiser et traiter les menaces liées aux formes graves de criminalité, telles que la plateforme pluridisciplinaire européenne contre les menaces criminelles (EMPACT). Europol devrait être en mesure de soutenir ces initiatives sur le plan administratif, logistique, financier et opérationnel.

(9) Le système d’information Schengen (SIS), établi dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale par le règlement (UE) 2018/1862 du Parlement européen et du Conseil (6), constitue un outil essentiel pour le maintien d’un niveau élevé de sécurité dans l’espace de liberté, de sécurité et de justice. Europol, en tant que plateforme d’échange d’informations dans l’Union, reçoit et détient des informations précieuses fournies par les pays tiers et les organisations internationales au sujet de personnes soupçonnées d’être impliquées dans des formes de criminalité relevant des objectifs d’Europol. Dans le cadre de ses objectifs et de sa mission de soutien des États membres dans la prévention des formes graves de criminalité et du terrorisme ainsi que dans la lutte contre ces phénomènes, Europol devrait aider les États membres à traiter les données qui lui sont fournies par les pays tiers ou par des organisations internationales en proposant l’introduction éventuelle par les États membres de signalements dans le SIS sous une nouvelle catégorie de signalements pour information dans l’intérêt de l’Union (ci-après dénommés «signalements pour information»), afin de mettre ces signalements pour information à la disposition des utilisateurs finaux du SIS. À cette fin, il convient de mettre en place un mécanisme de rapport périodique afin que les États membres et Europol soient informés du résultat de la vérification et de l’analyse de ces données et de l’introduction ou non des informations dans le SIS. Les modalités de coopération des États membres concernant le traitement de ces données et l’introduction de signalements dans le SIS, notamment en ce qui concerne la lutte contre le terrorisme, devraient faire l’objet d’une coordination continue entre les États membres. Le conseil d’administration devrait préciser les critères sur la base desquels Europol devrait pouvoir formuler des propositions en vue de l’introduction de ces signalements pour information dans le SIS.

(10) Europol a un rôle important à jouer pour soutenir le mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen créé par le règlement (UE) n°1053/2013 du Conseil (7). Europol devrait donc, sur demande des États membres, contribuer, par son expertise, ses analyses, ses rapports et d’autres informations utiles au mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen.

(11) Les évaluations de risque contribuent à anticiper les nouvelles tendances et à répondre aux nouvelles menaces que représentent les formes graves de criminalité et le terrorisme. Afin d’aider la Commission et les États membres à réaliser des évaluations de risque efficaces, Europol devrait fournir à la Commission et aux États membres des analyses des évaluations de la menace fondées sur les informations qu’elle détient concernant les tendances et phénomènes criminels, sans préjudice du droit de l’Union relatif à la gestion des risques en matière douanière.

(12) Afin que le financement de l’Union destiné à la recherche en matière de sécurité atteigne l’objectif qui est de s’assurer que cette recherche développe tout son potentiel et réponde aux besoins de l’action répressive, Europol devrait aider la Commission à déterminer les principaux thèmes de recherche, et à établir et mettre en œuvre les programmes-cadres de l’Union pour la recherche et l’innovation qui sont pertinents pour les objectifs d’Europol. S’il y a lieu, Europol devrait pouvoir diffuser les résultats de ses activités en matière de recherche et d’innovation dans le cadre de sa contribution à la création de synergies entre les activités de recherche et d’innovation des organes de l’Union concernés. Lors de la conception et de la conceptualisation des activités de recherche et d’innovation pertinentes pour les objectifs d’Europol, Europol devrait pouvoir, le cas échéant, consulter le Centre commun de recherche (JRC) de la Commission. Europol devrait prendre toutes les mesures nécessaires pour éviter les conflits d’intérêts. Lorsque Europol aide la Commission à déterminer les principaux thèmes de recherche et à établir et mettre en œuvre un programme-cadre de l’Union, Europol ne devrait pas recevoir de financement au titre de ce programme. Il importe qu’Europol puisse compter sur l’octroi d’un financement adéquat afin de pouvoir aider les États membres et la Commission dans le domaine de la recherche et de l’innovation.

(13) L’Union et les États membres ont la possibilité d’adopter des mesures restrictives en ce qui concerne les investissements directs étrangers pour des motifs de sécurité ou d’ordre public. À cet effet, le règlement (UE) 2019/452 du Parlement européen et du Conseil (8) établit un cadre pour le filtrage des investissements directs étrangers dans l’Union. Les investissements directs étrangers dans les technologies émergentes méritent une attention particulière car ils peuvent avoir de lourdes implications pour la sécurité et l’ordre public, notamment lorsque ces technologies sont utilisées par les autorités compétentes des États membres. Compte tenu de l’implication d’Europol dans la surveillance des technologies émergentes, ainsi que de sa participation à l’élaboration de nouvelles façons d’utiliser ces technologies à des fins répressives, notamment par l’intermédiaire de son laboratoire d’innovation et du pôle d’innovation de l’Union européenne pour la sécurité intérieure, Europol possède une très bonne connaissance des possibilités offertes par ces technologies ainsi que des risques liés à leur utilisation. Elle devrait donc pouvoir soutenir les États membres dans le filtrage des investissements directs étrangers dans l’Union et des risques connexes pour la sécurité qui concernent des entreprises qui fournissent des technologies, y compris des logiciels, utilisées par Europol aux fins de la prévention des formes de criminalité qui relèvent des objectifs d’Europol et des enquêtes en la matière, ou encore des technologies critiques qui pourraient être utilisées pour faciliter des actes terroristes. Dans ce contexte, l’expertise d’Europol devrait venir en appui du filtrage des investissements directs étrangers et des risques connexes pour la sécurité. Il convient de tenir compte en particulier de la question de savoir si l’investisseur étranger a déjà participé à des activités portant atteinte à la sécurité, s’il existe un risque grave que l’investisseur étranger se livre à des activités illégales ou criminelles, et si celui-ci est contrôlé directement ou indirectement par le gouvernement d’un pays tiers, y compris au moyen de subventions.

(14) Europol fournit une expertise spécialisée dans la lutte contre les formes graves de criminalité et le terrorisme. À la demande d’un État membre, le personnel d’Europol devrait avoir la possibilité d’apporter un soutien opérationnel aux autorités compétentes de cet État membre, lors d’opérations et d’enquêtes, notamment en facilitant les échanges d’informations transfrontières et en fournissant une aide technique et criminalistique lors d’opérations et d’enquêtes, y compris dans le cadre d’équipes communes d’enquête. À la demande d’un État membre, le personnel d’Europol devrait être autorisé à être présent au cours de la mise en œuvre de mesures d’enquête dans cet État membre. Le personnel d’Europol ne devrait pas être habilité à mettre en œuvre des mesures d’enquête.

(15) L’un des objectifs d’Europol est d’appuyer et de renforcer l’action des autorités compétentes des États membres et leur coopération mutuelle dans la prévention des formes de criminalité portant atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union, ainsi que dans la lutte contre celles-ci. Afin de renforcer ce soutien, le directeur exécutif d’Europol (ci-après dénommé «directeur exécutif») devrait pouvoir proposer aux autorités compétentes d’un État membre qu’ils ouvrent, mènent ou coordonnent l’enquête sur une forme de criminalité ne concernant que cet État membre mais portant atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union. Europol devrait informer Eurojust et, s’il y a lieu, le Parquet européen institué par le règlement (UE) 2017/1939 du Conseil (9), d’une telle proposition.

(16) Rendre publiques l’identité ainsi que certaines données à caractère personnel d’individus soupçonnés ou condamnés qui sont recherchés en vertu d’une décision judiciaire nationale augmente les chances des États membres de localiser et d’arrêter ces individus. Afin de soutenir les États membres dans la localisation et l’arrestation de ces individus, Europol devrait pouvoir publier sur son site internet des informations sur les fugitifs les plus recherchés en Europe pour les infractions pénales relevant des objectifs d’Europol. Dans le même but, Europol devrait faciliter la fourniture d’informations sur ces individus par le public aux États membres et à Europol.

(17) Une fois qu’Europol a établi que les données à caractère personnel qu’elle reçoit relèvent de ses objectifs, elle devrait pouvoir traiter ces données à caractère personnel dans les quatre situations suivantes. Dans la première situation, les données à caractère personnel reçues portent sur l’une des catégories de personnes concernées énumérées à l’annexe II du règlement (UE) 2016/794 (ci-après dénommée «annexe II»). Dans la deuxième situation, les données à caractère personnel reçues sont des données d’enquête qui contiennent des données qui ne portent pas sur l’une des catégories de personnes concernées énumérées à l’annexe II mais qui ont été fournies, en réponse à une demande aux fins de recevoir le soutien d’Europol pour une enquête pénale spécifique, par un État membre, le Parquet européen, Eurojust ou un pays tiers pour autant que cet État membre, le Parquet européen, Eurojust ou ce pays tiers soit autorisé à traiter de telles données d’enquête conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union et du droit national. Dans cette situation, Europol devrait pouvoir traiter ces données d’enquête pendant toute la durée de son soutien à cette enquête pénale spécifique. Dans la troisième situation, les données à caractère personnel reçues pourraient ne pas porter sur les catégories de personnes concernées énumérées à l’annexe II et n’ont pas été fournies en réponse à une demande de soutien d’Europol pour une enquête pénale spécifique. Dans cette situation, Europol devrait pouvoir vérifier si ces données à caractère personnel portent sur l’une de ces catégories de personnes concernées. Dans la quatrième situation, les données à caractère personnel reçues ont été transmises aux fins de projets de recherche et d’innovation et ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II.

(18) Conformément à l’article 73 du règlement (UE) 2018/1725 du Parlement européen et du Conseil (10), le cas échéant et dans la mesure du possible, Europol doit établir une distinction claire entre les données à caractère personnel qui portent sur les différentes catégories de personnes concernées énumérées à l’annexe II.

(19) Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité ne relevant pas des objectifs d’Europol, cette dernière ne devrait pas avoir accès à ces données et devrait être considérée comme un sous-traitant en vertu de l’article 87 du règlement (UE) 2018/1725. Dans ces cas, Europol devrait pouvoir traiter des données qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II. Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité relevant des objectifs d’Europol et lorsqu’ils accordent à Europol l’accès à ces données, les exigences liées aux catégories de personnes concernées énumérées à l’annexe II devraient s’appliquer à tout autre traitement de ces données par Europol.

(20) Tout en respectant le principe de minimisation des données, Europol devrait pouvoir vérifier si les données à caractère personnel reçues dans le cadre de la prévention des formes de criminalité relevant de ses objectifs et la lutte contre celles-ci portent sur l’une des catégories de personnes concernées énumérées à l’annexe II. À cette fin, Europol devrait pouvoir effectuer une analyse préliminaire des données à caractère personnel reçues dans le seul but de déterminer si ces données portent sur l’une de ces catégories de personnes concernées en comparant ces données à caractère personnel aux données qu’elle détient déjà, sans analyser plus avant ces données à caractère personnel. Cette analyse préliminaire devrait avoir lieu préalablement au traitement des données par Europol à des fins de recoupement, d’analyse stratégique, d’analyse opérationnelle ou d’échange d’informations et constituer une étape distincte de ce traitement et après qu’Europol a établi que les données en question sont pertinentes et nécessaires à l’exécution de ses missions. Une fois qu’Europol a établi que ces données à caractère personnel portent sur les catégories de personnes concernées énumérées à l’annexe II, Europol devrait pouvoir traiter ces données à caractère personnel à des fins de recoupement, d’analyse stratégique, d’analyse opérationnelle ou d’échange d’informations. Si Europol conclut que ces données à caractère personnel ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II, elle devrait effacer ces données.

(21) La catégorisation des données à caractère personnel d’un ensemble donné de données peut évoluer au fil du temps en raison de nouvelles informations qui deviennent disponibles dans le cadre des enquêtes pénales, par exemple concernant des suspects supplémentaires. C’est pourquoi Europol devrait être autorisée à traiter les données à caractère personnel lorsque cela est strictement nécessaire et proportionné aux fins de définir les catégories de personnes concernées sur lesquelles portent les données en question pendant une période ne dépassant pas dix-huit mois et commençant à partir du moment où Europol établit que ces données relèvent de ses objectifs. Europol devrait pouvoir prolonger cette période jusqu’à trois ans dans des cas dûment justifiés et à condition que cette prolongation soit nécessaire et proportionnée. Le Contrôleur européen de la protection des données (CEPD) devrait être informé de cette prolongation. Lorsque le traitement des données à caractère personnel aux fins de définir les catégories de personnes concernées n’est plus nécessaire ni justifié et, en tout état de cause, après la fin de la période maximale de traitement, Europol devrait effacer les données à caractère personnel.

(22) La quantité de données collectées dans le cadre d’enquêtes pénales ont vu leur volume augmenter et les ensembles de données sont devenus plus complexes. Les États membres soumettent à Europol des ensembles de données vastes et complexes, en lui demandant de procéder à une analyse opérationnelle afin de déterminer des liens avec des formes de criminalité autres que la forme de criminalité faisant l’objet de l’enquête dans le cadre de laquelle les données ont été collectées et avec des criminels dans d’autres États membres et en dehors de l’Union. Étant donné qu’Europol peut détecter de tels liens transfrontières de façon plus efficace que les États membres au moyen de leur propre analyse des données, Europol devrait être en mesure de soutenir les enquêtes pénales des États membres en traitant des ensembles de données vastes et complexes de manière à déterminer de tels liens transfrontières pour autant que les exigences et les garanties strictes énoncées dans le présent règlement soient respectées. Lorsque cela est nécessaire pour soutenir efficacement une enquête pénale spécifique en cours dans un État membre, Europol devrait pouvoir traiter les données d’enquête que les autorités compétentes des États membres sont autorisées à traiter dans le cadre de cette enquête pénale spécifique conformément aux exigences et garanties procédurales applicables au titre de leur droit national et qu’elles ont transmises ultérieurement à Europol. Cela devrait inclure les données à caractère personnel dans les cas où un État membre n’a pas été en mesure d’établir si ces données portent sur les catégories de personnes concernées énumérées à l’annexe II. Lorsqu’un État membre, le Parquet européen ou Eurojust fournit à Europol des données d’enquête et demande le soutien d’Europol pour une enquête pénale spécifique en cours, Europol devrait pouvoir traiter ces données pendant toute la durée de son soutien à cette enquête pénale spécifique, conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union ou du droit national.

(23) Afin de veiller à ce que tout traitement de données effectué dans le cadre d’une enquête pénale soit nécessaire et proportionné, les États membres devraient veiller au respect du droit de l’Union et du droit national lorsqu’ils transmettent des données d’enquête à Europol. Lorsqu’ils transmettent des données d’enquête à Europol pour demander le soutien d’Europol pour une enquête pénale spécifique, les États membres devraient tenir compte de l’ampleur et de la complexité du traitement des données requis ainsi que du type et de l’importance de l’enquête. Les États membres devraient informer Europol lorsque, conformément aux exigences et garanties procédurales applicables au titre de leur droit national, ils ne sont plus autorisés à traiter des données dans le cadre de l’enquête pénale spécifique en cours concernée. Europol ne devrait traiter que les données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II lorsqu’elle évalue qu’il n’est pas possible de soutenir une enquête pénale spécifique en cours sans traiter ces données à caractère personnel. Europol devrait documenter cette évaluation. Europol devrait maintenir une séparation sur le plan fonctionnel entre ces données et les autres données et ne devrait les traiter que lorsque cela est nécessaire pour soutenir l’enquête pénale spécifique en cours concernée, comme dans le cas d’une nouvelle piste. 

(24) Europol devrait également pouvoir traiter les données à caractère personnel qui lui sont nécessaires pour soutenir une enquête pénale spécifique dans un ou plusieurs États membres lorsque ces données sont fournies par un pays tiers, à condition que le pays tiers fasse l’objet d’une décision d’adéquation conformément à la directive (UE) 2016/680 du Parlement européen et du Conseil (11) (ci-après dénommée «décision d’adéquation»), qu’un accord international avec ce pays tiers ait été conclu par l’Union en vertu de l’article 218 du traité sur le fonctionnement de l’Union européenne qui prévoit le transfert de données à caractère personnel à des fins répressives (ci-après dénommé «accord international»), qu’un accord de coopération autorisant l’échange de données à caractère personnel ait été conclu entre Europol et le pays tiers avant l’entrée en vigueur du règlement (UE) 2016/794 (ci-après dénommé «accord de coopération»), ou que des garanties appropriées en ce qui concerne la protection des données soient prévues dans un instrument juridiquement contraignant ou qu’Europol conclue, sur la base d’une évaluation de toutes les circonstances entourant le transfert de données à caractère personnel, que ces garanties existent dans ce pays tiers et à condition que le pays tiers ait obtenu les données dans le cadre d’une enquête pénale conformément aux exigences et garanties procédurales applicables au titre de son droit pénal national. Lorsqu’un pays tiers fournit des données d’enquête à Europol, Europol devrait vérifier que le volume de données à caractère personnel n’est pas manifestement disproportionné par rapport à l’enquête pénale spécifique qu’Europol soutient dans l’État membre concerné et, dans la mesure du possible, qu’aucun élément objectif n’indique que des données d’enquête ont été collectées dans le pays tiers en violation manifeste des droits fondamentaux. Si Europol arrive à la conclusion que ces conditions ne sont pas remplies, elle ne devrait pas traiter les données et devrait les effacer. Lorsqu’un pays tiers fournit des données d’enquête à Europol, le délégué à la protection des données d’Europol devrait pouvoir en informer le CEPD, le cas échéant.

(25) Afin de garantir qu’un État membre peut utiliser les rapports d’analyse d’Europol dans le cadre de procédures judiciaires faisant suite à une enquête pénale, Europol devrait avoir la possibilité de conserver, à la demande dudit État membre, du Parquet européen ou d’Eurojust, les données d’enquête correspondantes, aux fins de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel. Europol devrait maintenir une séparation sur le plan fonctionnel entre ces données et les autres données et uniquement tant que la procédure judiciaire relative à ladite enquête pénale est en cours dans l’État membre. Par ailleurs, il est nécessaire de garantir l’accès des autorités judiciaires compétentes ainsi que les droits de la défense, en particulier le droit des personnes soupçonnées ou accusées ou de leurs avocats d’accéder aux pièces du dossier. À cet effet, il convient qu’Europol consigne toutes les preuves ainsi que les méthodes par lesquelles ces preuves ont été produites ou obtenues par Europol afin de permettre un examen effectif des preuves par la défense.

(26) Europol devrait pouvoir traiter les données à caractère personnel qu’elle a reçues avant l’entrée en vigueur du présent règlement qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II, conformément au présent règlement, dans deux situations. Dans la première situation, Europol devrait pouvoir traiter ces données à caractère personnel à l’appui d’une enquête pénale ou afin de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel, pour autant que les exigences figurant dans les arrangements transitoires concernant le traitement des données à caractère personnel reçues à l’appui d’une enquête pénale soient respectées. Dans la deuxième situation, Europol devrait également pouvoir vérifier si ces données à caractère personnel portent sur l’une des catégories de personnes concernées énumérées à l’annexe II en effectuant une analyse préliminaire de ces données à caractère personnel pendant une période ne dépassant pas dix-huit mois à partir du jour de la première réception des données ou, dans des cas justifiés et avec l’autorisation préalable du CEPD, pendant une plus longue période. La durée maximale du traitement des données à caractère personnel aux fins de cette analyse préliminaire ne devrait pas dépasser trois ans à partir du jour de la première réception des données par Europol.

(27) Les formes graves de criminalité et les actes terroristes transfrontières rendent nécessaire une coopération étroite entre les autorités compétentes des États membres concernés. Europol fournit des outils pour soutenir cette coopération dans les enquêtes, notamment grâce à l’échange d’informations. Afin d’améliorer davantage cette coopération dans des enquêtes pénales spécifiques par le biais d’une analyse opérationnelle conjointe, les États membres devraient pouvoir autoriser d’autres États membres à accéder directement aux informations qu’ils ont fournies à Europol, sans préjudice des éventuelles limitations générales ou spécifiques concernant l’accès à ces informations qu’ils ont notifiées. Tout traitement de données à caractère personnel effectué par les États membres dans le cadre d’une analyse opérationnelle conjointe devrait avoir lieu dans le respect du présent règlement et de la directive (UE) 2016/680. 

(28) Europol et le Parquet européen devraient conclure un arrangement de travail définissant les modalités de leur coopération, en tenant dûment compte de leurs compétences respectives. Europol devrait travailler en étroite collaboration avec le Parquet européen et soutenir activement les enquêtes du Parquet européen à la demande de ce dernier, y compris en fournissant une aide à l’analyse et des informations pertinentes. Europol devrait également coopérer avec le Parquet européen, depuis le moment où un soupçon d’infraction est signalé au Parquet européen jusqu’au moment où celui-ci décide s’il y a lieu d’engager des poursuites ou, dans la négative, de procéder au classement sans suite. Europol devrait signaler, sans retard injustifié, au Parquet européen tout comportement délictueux à l’égard duquel le Parquet européen pourrait exercer sa compétence. Afin de renforcer la coopération opérationnelle entre Europol et le Parquet européen, Europol devrait permettre au Parquet européen d’accéder aux données qu’elle détient, sur la base d’un système de concordance/non-concordance («hit/no hit») qui n’informe Europol qu’en cas de concordance, conformément au présent règlement, y compris toute limitation notifiée par le fournisseur des informations à Europol. Si les informations sont couvertes par une limitation notifiée par un État membre, Europol devrait en référer à cet État membre afin qu’il respecte les obligations qui lui incombent en vertu du règlement (UE) 2017/1939. L’État membre concerné devrait ensuite informer le Parquet européen conformément à sa procédure nationale. Les règles énoncées dans le présent règlement concernant la transmission de données à caractère personnel aux organes de l’Union devraient s’appliquer à la coopération d’Europol avec le Parquet européen. Europol devrait également avoir la possibilité de soutenir les enquêtes menées par le Parquet européen en analysant des ensembles de données vastes et complexes, conformément aux mesures de sauvegarde et aux garanties en matière de protection des données prévues par le présent règlement.

(29) Europol devrait collaborer étroitement avec l’Office européen de lutte antifraude (OLAF) afin de détecter les cas de fraude, de corruption et toute autre activité illégale portant atteinte aux intérêts financiers de l’Union. À cet effet, Europol devrait transmettre sans retard injustifié à l’OLAF toute information à l’égard de laquelle celui-ci pourrait exercer sa compétence. Les règles énoncées dans le présent règlement concernant la transmission de données à caractère personnel aux organes de l’Union devraient s’appliquer à la coopération d’Europol avec l’OLAF.

(30) Les formes graves de criminalité et le terrorisme présentent souvent des connexions en dehors de l’Union. Europol peut échanger des données à caractère personnel avec des pays tiers tout en garantissant la protection de la vie privée et des libertés et droits fondamentaux des personnes concernées. Lorsque cela s’avère essentiel à l’enquête relative à une forme de criminalité spécifique relevant des objectifs d’Europol, le directeur exécutif devrait pouvoir autoriser, au cas par cas, une catégorie de transferts de données à caractère personnel vers des pays tiers lorsque cette catégorie de transferts porte sur la même situation spécifique, se compose des mêmes catégories de données à caractère personnel et des mêmes catégories de personnes concernées, est nécessaire et proportionnée aux fins de l’enquête relative à une forme de criminalité spécifique et satisfait à toutes les exigences du présent règlement. Les transferts individuels relevant d’une catégorie de transferts ne devraient pouvoir inclure que certaines des catégories de données à caractère personnel et des catégories de personnes concernées dont le transfert est autorisé par le directeur exécutif. Il devrait également être possible d’autoriser une catégorie de transferts de données à caractère personnel dans les situations spécifiques suivantes: lorsque le transfert de données à caractère personnel est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne; lorsque le transfert de données à caractère personnel est essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers; lorsque le transfert de données à caractère personnel a pour finalité la sauvegarde des intérêts légitimes de la personne concernée; ou, dans des cas particuliers, a pour finalités la prévention ou la détection d’infractions pénales, les enquêtes ou les poursuites en la matière, ou l’exécution de sanctions pénales ou la constatation, l’exercice ou la défense d’un droit en justice en rapport avec la prévention ou la détection d’une infraction pénale spécifique, les enquêtes ou les poursuites en la matière, ou avec l’exécution d’une sanction pénale spécifique.

(31) Les transferts qui ne sont pas fondés sur une autorisation du directeur exécutif, une décision d’adéquation, un accord international ou un accord de coopération ne devraient être autorisés que lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont prévues dans un instrument juridiquement contraignant ou lorsqu’Europol conclut, sur la base d’une évaluation de toutes les circonstances entourant le transfert de données à caractère personnel, que ces garanties existent. Aux fins de cette évaluation, Europol devrait pouvoir tenir compte d’accords bilatéraux conclus entre des États membres et des pays tiers qui permettent un échange de données à caractère personnel et du fait que le transfert de données à caractère personnel doit ou non être soumis à des obligations de confidentialité et au principe de spécificité, garantissant que les données ne sont pas traitées à des fins autres que le transfert. En outre, il importe qu’Europol prenne en compte le fait que les données à caractère personnel pourraient être utilisées ou non pour demander, prononcer ou mettre à exécution une condamnation à la peine de mort ou toute forme de traitement cruel et inhumain. Europol devrait pouvoir exiger des garanties supplémentaires.

(32) Afin d’aider les États membres à coopérer avec les parties privées lorsque celles-ci détiennent des informations pertinentes pour prévenir et combattre les formes graves de criminalité et le terrorisme, Europol devrait avoir la possibilité de recevoir des données à caractère personnel de parties privées et, dans des cas particuliers où cela est nécessaire et proportionné, d’échanger des données à caractère personnel avec des parties privées.

(33) Les criminels font de plus en plus souvent usage des services proposés par des parties privées pour communiquer et mener des activités illégales. Les délinquants sexuels exploitent des enfants et partagent des images et des vidéos qui constituent du matériel pédopornographique dans le monde entier sur des plateformes en ligne ou avec des pairs par l’intermédiaire de services de communications interpersonnelles non fondés sur la numérotation. Les terroristes utilisent les services proposés par les fournisseurs de services en ligne afin de recruter des volontaires, de préparer et de coordonner des attentats et de diffuser de la propagande. Les cybercriminels profitent de la numérisation de nos sociétés ainsi que du manque de culture numérique et d’autres compétences numériques du grand public en utilisant l’hameçonnage et l’ingénierie sociale pour commettre d’autres formes de cybercriminalité telles que des escroqueries en ligne, des attaques au moyen de rançongiciels ou des fraudes sur les paiements. En raison de l’utilisation accrue des services en ligne par les criminels, les parties privées détiennent des volumes de plus en plus importants de données à caractère personnel, notamment des données sur les abonnés, le trafic et les contenus, qui sont potentiellement utiles pour les enquêtes pénales.

(34) Compte tenu de la nature transfrontière de l’internet, il est possible que le fournisseur de services en ligne et l’infrastructure numérique dans laquelle les données à caractère personnel sont stockées relèvent chacun de différentes autorités nationales, au sein de l’Union ou en dehors de l’Union. Les parties privées peuvent donc détenir des ensembles de données qui sont utiles pour l’action répressive et qui contiennent des données à caractère personnel relevant de la compétence de plusieurs autorités nationales ainsi que des données à caractère personnel qui ne peuvent pas être facilement rattachées à une autorité nationale spécifique. Les autorités compétentes des États membres peuvent rencontrer des difficultés pour analyser efficacement, au moyen de solutions nationales, de tels ensembles de données relevant de plusieurs autorités nationales ou qui ne peuvent être rattachées à aucune autorité nationale. De plus, il n’y a actuellement aucun point de contact unique pour les parties privées qui décident de partager légalement et volontairement des ensembles de données avec les autorités compétentes des États membres. Europol devrait donc disposer de mesures destinées à faciliter la coopération avec les parties privées, y compris en matière d’échange d’informations.

(35) Afin de faire en sorte que les parties privées disposent d’un point de contact au niveau de l’Union pour transmettre légalement et volontairement des ensembles de données qui relèvent de plusieurs autorités nationales ou qui ne peuvent pas être facilement rattachés à une ou plusieurs autorités nationales spécifiques, Europol devrait pouvoir recevoir des données à caractère personnel directement de parties privées afin de fournir aux États membres les informations nécessaires pour établir la compétence et enquêter sur des formes de criminalité relevant de leurs compétences respectives, conformément au présent règlement. Ces informations pourraient inclure des signalements relatifs à des contenus modérés dont on peut raisonnablement supposer qu’ils sont liés à des activités criminelles relevant des objectifs d’Europol.

(36) Afin de faire en sorte que les États membres reçoivent les informations nécessaires pour ouvrir des enquêtes visant à prévenir et à combattre les formes graves de criminalité et le terrorisme sans retard injustifié, Europol devrait avoir la possibilité de traiter et d’analyser des données à caractère personnel afin de déterminer les unités nationales concernées et de transmettre à ces unités nationales les données à caractère personnel et tout résultat de son analyse et de la vérification de ces données qui est pertinent aux fins d’établir la compétence et d’enquêter sur les formes de criminalité concernées dans le cadre de leurs compétences respectives. Europol devrait également pouvoir transmettre les données à caractère personnel et les résultats de son analyse et de la vérification de ces données qui sont pertinents aux fins d’établir la compétence aux points de contact ou aux autorités des pays tiers concernés qui font l’objet d’une décision d’adéquation, ou avec lesquels un accord international ou un accord de coopération a été conclu, ou lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont prévues dans un instrument juridiquement contraignant ou lorsqu’Europol conclut, sur la base d’une évaluation de toutes les circonstances entourant le transfert de données à caractère personnel, que ces garanties existent dans ces pays tiers. Lorsque le pays tiers concerné ne fait pas l’objet d’une décision d’adéquation ou n’est pas partie à un accord international ou à un accord de coopération ou en l’absence d’un instrument juridiquement contraignant, ou lorsqu’Europol n’a pas conclu que des garanties appropriées existent, Europol devrait pouvoir transférer le résultat de son analyse et de la vérification de ces données au pays tiers concerné conformément au présent règlement.

(37) Conformément au règlement (UE) 2016/794, dans certains cas et sous certaines conditions, il peut être nécessaire et proportionné qu’Europol transfère des données à caractère personnel à des parties privées qui ne sont pas établies dans l’Union ou dans un pays tiers qui fait l’objet d’une décision d’adéquation ou avec lequel un accord international ou un accord de coopération a été conclu, ou lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel ne sont pas fournies dans un instrument juridiquement contraignant ou lorsqu’Europol n’a pas conclu que des garanties appropriées existent. Dans ces cas, le transfert devrait faire l’objet d’une autorisation préalable du directeur exécutif. 

(38) Afin qu’Europol puisse déterminer toutes les unités nationales compétentes concernées, elle devrait pouvoir informer les parties privées lorsque les informations qu’elles ont fournies sont insuffisantes pour permettre à Europol de déterminer les unités nationales concernées. Cela permettrait à ces parties privées de décider s’il est dans leur intérêt de partager d’autres informations avec Europol et si elles peuvent légalement le faire. À cet effet, Europol devrait pouvoir indiquer aux parties privées quelles sont les informations manquantes, dans la mesure où cela est strictement nécessaire à la seule fin de déterminer les unités nationales concernées. Des garanties spéciales devraient s’appliquer aux transferts d’information d’Europol aux parties privées lorsque la partie privée concernée n’est pas établie dans l’Union ou dans un pays tiers qui fait l’objet d’une décision d’adéquation ou avec lequel un accord international ou un accord de coopération a été conclu, ou lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel ne sont pas prévues dans un instrument juridiquement contraignant ou lorsqu’Europol n’a pas conclu que des garanties appropriées existent.

(39) Lorsque les États membres, les pays tiers, les organisations internationales ou les parties privées partagent avec Europol des ensembles de données qui relèvent de plusieurs autorités nationales ou qui ne peuvent pas être rattachés à une ou plusieurs autorités nationales spécifiques, il est possible que ces ensembles de données soient liés à des données à caractère personnel détenues par des parties privées. Dans ces situations, Europol devrait pouvoir envoyer une demande aux États membres, par l’intermédiaire de leurs unités nationales, pour obtenir les données à caractère personnel détenues par des parties privées qui sont établies ou ont un représentant légal sur le territoire de ces États membres. Cette demande ne devrait être faite que lorsque l’obtention d’informations supplémentaires de ces parties privées est nécessaire afin de déterminer les unités nationales concernées. Cette demande devrait être motivée et aussi précise que possible. Les données à caractère personnel pertinentes, qui devraient être les moins sensibles possible et strictement limitées à ce qui est nécessaire et proportionné aux fins de déterminer les unités nationales concernées, devraient être fournies à Europol conformément au droit applicable des États membres concernés. Les autorités compétentes des États membres concernés devraient évaluer la demande d’Europol et décider, conformément à leur droit national, s’ils y donnent suite. Tout traitement de données par des parties privées effectué lors du traitement de ces demandes émanant des autorités compétentes des États membres devrait rester soumis au droit applicable, notamment en ce qui concerne la protection des données. Les parties privées devraient fournir les données demandées aux autorités compétentes des États membres en vue de leur transmission ultérieure à Europol. Dans bon nombre de cas, il est possible que les États membres concernés ne soient pas en mesure d’établir un lien avec leur territoire autre qu’en raison du fait que la partie privée détenant les données en question est établie ou légalement représentée sur leur territoire. Nonobstant la question de savoir s’ils sont compétents en ce qui concerne la forme de criminalité spécifique, les États membres devraient, en tout état de cause, faire en sorte que leurs autorités compétentes puissent obtenir des données à caractère personnel auprès de parties privées afin de fournir à Europol les informations nécessaires à la réalisation de ses objectifs, dans le strict respect des garanties procédurales établies par leur droit national.

(40) Afin de faire en sorte qu’Europol ne conserve pas les données à caractère personnel reçues directement de parties privées plus longtemps que ce qui est nécessaire aux fins de déterminer les unités nationales concernées, les délais prévus pour la conservation de données à caractère personnel par Europol devraient s’appliquer. Une fois qu’Europol a épuisé tous les moyens à sa disposition pour déterminer les unités nationales concernées et qu’elle ne peut pas raisonnablement s’attendre à déterminer d’autres unités nationales concernées, la conservation de ces données à caractère personnel n’est plus nécessaire et proportionnée aux fins de déterminer les unités nationales concernées. Europol devrait effacer les données à caractère personnel dans les quatre mois après que leur dernière transmission, leur dernier transfert à une unité nationale ou leur dernier transfert à un point de contact d’un pays tiers ou à une autorité d’un pays tiers a eu lieu, à moins que dans ce délai, conformément au droit de l’Union et au droit national, une unité nationale, un point de contact ou une autorité concernée ne transmette à nouveau à Europol les données à caractère personnel comme étant leurs propres données. Si les données à caractère personnel à nouveau transmises faisaient partie d’un ensemble plus vaste de données à caractère personnel, Europol ne devrait conserver que les données à caractère personnel qui ont été transmises à nouveau par une unité nationale, un point de contact ou une autorité concernée.

(41) Toute coopération d’Europol avec des parties privées ne devrait ni faire double emploi ni interférer avec les activités des cellules de renseignement financier (CRF) instituées en vertu de la directive (UE) 2015/849 du Parlement européen et du Conseil (12) et ne devrait concerner que des informations qui ne doivent pas déjà être fournies aux CRF conformément à ladite directive. Europol devrait poursuivre sa coopération avec les CRF, notamment par l’intermédiaire des unités nationales. 

(42) Europol devrait être en mesure de fournir aux autorités compétentes des États membres le soutien nécessaire pour interagir avec les parties privées, notamment en fournissant les infrastructures nécessaires à de telles interactions, par exemple, lorsque les autorités compétentes des États membres signalent des contenus à caractère terroriste en ligne, envoient des injonctions de retrait concernant ces contenus aux fournisseurs de services en ligne en vertu du règlement (UE) 2021/784 du Parlement européen et du Conseil (13) ou échangent des informations avec des parties privées dans le contexte de cyberattaques. Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité ne relevant pas des objectifs d’Europol, cette dernière ne devrait pas avoir accès à ces données. Europol devrait veiller, par des moyens techniques, à ce que ses infrastructures se limitent strictement à fournir un canal pour de telles interactions entre les autorités compétentes des États membres et une partie privée, et à ce qu’Europol prévoie toutes les garanties nécessaires contre l’accès d’une partie privée à toute autre information, dans les systèmes d’Europol, qui n’est pas liée à l’échange avec ladite partie privée.

(43) Les attentats terroristes entraînent la diffusion à grande échelle, via les plateformes en ligne, de contenus à caractère terroriste représentant des atteintes à la vie ou à l’intégrité physique ou appelant à des atteintes imminentes à la vie ou à l’intégrité physique, et permettent ainsi de glorifier le terrorisme, de former au terrorisme et, finalement, de radicaliser et de recruter d’autres personnes. En outre, le développement de l’utilisation d’internet pour enregistrer ou partager du matériel pédopornographique perpétue le préjudice subi par les victimes, car ces contenus peuvent facilement être multipliés et diffusés. Afin de prévenir et de combattre les formes de criminalité relevant des objectifs d’Europol, Europol devrait avoir la possibilité de soutenir les actions des États membres visant à lutter efficacement contre la diffusion de contenus à caractère terroriste dans le contexte de situations de crise en ligne découlant d’événements réels en cours ou récents, ainsi que la diffusion en ligne de matériel pédopornographique en ligne, et de soutenir les actions déployées par les fournisseurs de services en ligne qui répondent à leurs obligations au titre du droit de l’Union ainsi que les mesures qu’ils mettent volontairement en œuvre. À cet effet, Europol devrait pouvoir échanger des données à caractère personnel pertinentes, y compris des signatures numériques uniques et non reconvertibles («hachages»), des adresses IP ou des adresses URL en rapport avec de tels contenus, avec des parties privées établies au sein de l’Union ou dans un pays tiers qui fait l’objet d’une décision d’adéquation ou, en l’absence d’une telle décision, avec lequel un accord international ou un accord de coopération a été conclu, ou lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont prévues dans un instrument juridiquement contraignant ou lorsqu’Europol conclut, sur la base d’une évaluation de toutes les circonstances entourant le transfert de données à caractère personnel, que ces garanties existent dans ce pays tiers. Ces échanges de données à caractère personnel ne devraient avoir lieu qu’aux fins de retirer les contenus à caractère terroriste et le matériel pédopornographique en ligne, notamment lorsqu’on s’attend à voir ces contenus et ce matériel se multiplier de manière exponentielle et acquérir un caractère viral sur les plateformes de plusieurs fournisseurs de services en ligne. Aucune disposition du présent règlement ne devrait être interprétée comme empêchant un État membre d’utiliser les injonctions de retrait prévues par le règlement (UE) 2021/784 comme un instrument de lutte contre les contenus à caractère terroriste en ligne.

(44) Afin d’éviter la duplication des efforts et les interférences possibles avec les enquêtes, et de réduire le plus possible la charge pour les fournisseurs de services d’hébergement concernés, Europol devrait aider les autorités compétentes des États membres, et échanger des informations et coopérer avec celles-ci en ce qui concerne les transmissions et les transferts de données à caractère personnel à des parties privées pour faire face aux situations de crise en ligne et lutter contre la diffusion en ligne de matériel pédopornographique en ligne.

(45) Le règlement (UE) 2018/1725 établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Si le règlement (UE) 2018/1725 s’applique au traitement par Europol de données administratives à caractère personnel sans lien avec des enquêtes pénales, telles que les données relatives aux membres du personnel, l’article 3, point 2), et le chapitre IX dudit règlement, qui régissent le traitement des données à caractère personnel, ne s’appliquent pas à l’heure actuelle à Europol. Afin d’assurer une protection uniforme et cohérente des personnes physiques à l’égard du traitement de leurs données à caractère personnel, le chapitre IX du règlement (UE) 2018/1725 devrait s’appliquer à Europol conformément à l’article 2, paragraphe 2, dudit règlement et devrait être complété par des dispositions particulières relatives aux opérations de traitement spécifiques qu’Europol devrait effectuer pour accomplir ses missions. Par conséquent, les pouvoirs de contrôle du CEPD sur les opérations de traitement d’Europol devraient être renforcés, conformément aux pouvoirs pertinents applicables au traitement des données administratives à caractère personnel qui s’appliquent à toutes les institutions, tous les organes et organismes de l’Union au titre du chapitre VI du règlement (UE) 2018/1725. À cette fin, lorsqu’Europol traite des données à caractère personnel à des fins opérationnelles, le CEPD devrait pouvoir ordonner à Europol de mettre ses opérations de traitement en conformité avec le présent règlement, et ordonner la suspension des flux de données vers un destinataire situé dans un État membre, un pays tiers ou une organisation internationale, et devrait pouvoir imposer une amende administrative en cas de non-respect par Europol.

(46) Le traitement de données aux fins du présent règlement pourrait impliquer le traitement de catégories particulières de données à caractère personnel énoncées dans le règlement (UE) 2016/679 du Parlement européen et du Conseil (14). Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que les photographies ne relèvent de la définition de données biométriques prévue à l’article 3, point 18), du règlement (UE) 2018/1725 que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique.

(47) Le mécanisme de consultation préalable impliquant le CEPD prévu par le règlement (UE) 2018/1725 constitue une garantie importante pour les nouveaux types d’opérations de traitement. Cependant, ce mécanisme ne devrait pas s’appliquer à des activités opérationnelles individuelles spécifiques telles que les projets d’analyse opérationnelle, mais à l’utilisation de nouveaux systèmes des technologies de l’information pour le traitement des données à caractère personnel et à toute modification importante de ces systèmes qui présenterait des risques élevés pour les droits et libertés des personnes concernées. Le délai dans lequel le CEPD devrait être tenu de fournir un avis écrit sur de telles consultations ne devrait pas pouvoir être suspendu. Dans le cas d’activités de traitement revêtant une importance essentielle pour l’exécution des missions d’Europol, qui sont particulièrement urgentes, Europol devrait pouvoir exceptionnellement déjà commencer le traitement après que la consultation préalable a été lancée, même si le délai prévu pour la fourniture d’un avis écrit par le CEPD n’a pas encore expiré. Une telle urgence peut survenir dans des situations revêtant une importance essentielle pour l’exécution des missions d’Europol, lorsque le traitement est nécessaire pour prévenir et combattre une menace immédiate d’une forme de criminalité qui relève des objectifs d’Europol et pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne. Le délégué à la protection des données d’Europol devrait être associé à l’évaluation de l’urgence et de la nécessité d’un tel traitement avant l’expiration du délai imparti au CEPD pour répondre à la consultation préalable. Le délégué à la protection des données d’Europol devrait superviser ce traitement. Le CEPD devrait avoir la possibilité d’exercer ses compétences à l’égard de ce traitement.

(48) Compte tenu des problèmes que posent pour la sécurité de l’Union la rapidité des évolutions technologiques et l’exploitation des nouvelles technologies par les terroristes et autres criminels, les autorités compétentes des États membres doivent renforcer leurs capacités technologiques permettant de recenser, d’obtenir et d’analyser les données nécessaires aux enquêtes relatives aux infractions pénales. Europol devrait avoir la possibilité d’aider les États membres à utiliser les technologies émergentes, à explorer de nouvelles approches et à élaborer des solutions technologiques communes leur permettant de prévenir et de combattre plus efficacement les formes de criminalité qui relèvent des objectifs d’Europol. Dans le même temps, Europol devrait veiller à ce que le développement, l’utilisation et le déploiement de nouvelles technologies reposent sur les principes de transparence, d’explicabilité, d’équité et de responsabilité, à ce qu’ils ne compromettent pas les libertés et droits fondamentaux et à ce qu’ils respectent le droit de l’Union. À cet effet, Europol devrait pouvoir mener des projets de recherche et d’innovation concernant les questions régies par le présent règlement dans le cadre général pour les projets de recherche et d’innovation fixé par le conseil d’administration dans un document contraignant. Ce document devrait être actualisé en tant que de besoin et mis à la disposition du CEPD. Ces projets ne devraient pouvoir inclure le traitement de données à caractère personnel que lorsque certaines conditions sont remplies, à savoir que le traitement des données à caractère personnel est strictement nécessaire, que l’objectif du projet concerné ne peut pas être atteint par l’utilisation de données à caractère non personnel, telles que des données synthétiques ou anonymes, et que le strict respect des droits fondamentaux, et notamment du principe de non-discrimination, est garanti.

Le traitement de catégories particulières de données à caractère personnel à des fins de recherche et d’innovation ne devrait être autorisé que s’il est strictement nécessaire. Compte tenu de la sensibilité de ce type de traitement, des garanties supplémentaires appropriées, telles que la pseudonymisation, devraient s’appliquer. Afin d’éviter les biais dans la prise de décision algorithmique, il convient d’autoriser Europol à traiter des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II. Europol devrait conserver les journaux de tous les traitements de données à caractère personnel effectués dans le cadre de ses projets de recherche et d’innovation uniquement aux fins de vérifier l’exactitude du résultat du traitement des données et uniquement pour la durée nécessaire à cette vérification. Les dispositions relatives à l’élaboration de nouveaux outils par Europol ne devraient pas constituer une base juridique pour leur déploiement au niveau de l’Union ou au niveau national. Afin de stimuler l’innovation et de renforcer les synergies en matière de projets de recherche et d’innovation, il importe qu’Europol intensifie sa coopération avec les réseaux pertinents de praticiens des États membres et d’autres agences de l’Union, dans le cadre de leurs compétences respectives dans ce domaine, et soutienne d’autres formes de coopération connexes telles que le soutien concernant le secrétariat du pôle d’innovation de l’Union européenne pour la sécurité intérieure en tant que réseau collaboratif de laboratoires d’innovation. 


(49) Europol devrait jouer un rôle clé en aidant les États membres à développer de nouvelles solutions technologiques fondées sur l’intelligence artificielle qui sont pertinentes pour atteindre les objectifs d’Europol et qui bénéficient aux autorités compétentes des États membres dans toute l’Union. Cette aide devrait être fournie dans le strict respect des libertés et droits fondamentaux, y compris le principe de non-discrimination. Europol devrait jouer un rôle clé dans la promotion du développement et du déploiement d’une intelligence artificielle éthique, fiable et axée sur le facteur humain, soumise à de solides garanties sur le plan de la sécurité, de la sûreté, de la transparence, de l’explicabilité et des droits fondamentaux.

(50) Europol devrait informer le CEPD avant de lancer ses projets de recherche et d’innovation impliquant le traitement de données à caractère personnel. Europol devrait soit informer soit consulter son conseil d’administration, conformément à certains critères qui devraient être énoncés dans des lignes directrices pertinentes. Europol ne devrait pas traiter des données aux fins de projets de recherche et d’innovation sans le consentement de l’État membre, de l’organe de l’Union, du pays tiers ou de l’organisation internationale qui a transmis les données à Europol, à moins que cet État membre, cet organe de l’Union, ce pays tiers ou cette organisation internationale n’ait donné son accord préalable à ce traitement à cette fin. Pour chaque projet, Europol devrait procéder, avant le traitement, à une analyse d’impact relative à la protection des données afin de garantir le plein respect du droit à la protection des données et de l’ensemble des autres libertés et droits fondamentaux des personnes concernées. L’analyse d’impact relative à la protection des données devrait inclure une évaluation de la pertinence, de la nécessité et de la proportionnalité des données à caractère personnel qui doivent être traitées aux fins spécifiques du projet, y compris l’exigence de minimisation des données et une évaluation de tout biais potentiel dans les résultats et dans les données à caractère personnel à traiter aux fins spécifiques du projet, ainsi que des mesures envisagées pour faire face à ces risques. L’élaboration de nouveaux outils par Europol devrait se faire sans préjudice de la base juridique, y compris les motifs du traitement des données à caractère personnel concernées, qui serait ultérieurement requise pour le déploiement desdits outils au niveau de l’Union ou au niveau national.

(51) La fourniture d’outils et de capacités supplémentaires à Europol nécessite de renforcer le contrôle démocratique et la responsabilité d’Europol. Le contrôle parlementaire conjoint représente un élément important du contrôle politique des activités d’Europol. Afin de permettre un contrôle politique efficace de la manière dont Europol utilise les outils et capacités supplémentaires qui lui sont fournis en vertu du présent règlement, Europol devrait fournir au groupe de contrôle parlementaire conjoint et aux États membres des informations annuelles détaillées sur le développement, l’utilisation et l’efficacité de ces outils et capacités ainsi que sur les résultats de leur utilisation, notamment en ce qui concerne les projets de recherche et d’innovation ainsi que les nouvelles activités ou la mise en place d’éventuels nouveaux centres spécialisés au sein d’Europol. En outre, deux représentants du groupe de contrôle parlementaire conjoint, l’un pour le Parlement européen et l’autre pour les parlements nationaux, afin de refléter la nature duale de la composition du groupe de contrôle parlementaire conjoint, devraient être invités à au moins deux réunions ordinaires du conseil d’administration par an pour y prendre la parole au nom du groupe de contrôle parlementaire conjoint et débattre du rapport d’activité annuel consolidé, du document de programmation unique et du budget annuel, des questions et réponses écrites du groupe de contrôle parlementaire conjoint, ainsi que des relations extérieures et des partenariats, tout en respectant les différents rôles et responsabilités du conseil d’administration et du groupe de contrôle parlementaire conjoint conformément au présent règlement. Le conseil d’administration, avec les représentants du groupe de contrôle parlementaire conjoint, devraient pouvoir déterminer d’autres questions d’intérêt politique à débattre. Compte tenu de la mission de contrôle du groupe de contrôle parlementaire conjoint, les deux représentants de ce groupe ne devraient pas disposer d’un droit de vote au conseil d’administration. Les activités de recherche et d’innovation planifiées devraient figurer dans le document de programmation unique contenant la programmation pluriannuelle et le programme de travail annuel d’Europol et être transmises au groupe de contrôle parlementaire conjoint.

(52) Sur proposition du directeur exécutif, le conseil d’administration devrait désigner un officier aux droits fondamentaux chargé d’aider Europol à garantir le respect des droits fondamentaux dans toutes ses activités et missions, notamment les projets de recherche et d’innovation d’Europol et les échanges de données à caractère personnel avec des parties privées. Un membre du personnel existant d’Europol qui a reçu une formation spéciale concernant le droit et la pratique en matière de droits fondamentaux devrait pouvoir être désigné en tant qu’officier aux droits fondamentaux. L’officier aux droits fondamentaux devrait coopérer étroitement avec le délégué à la protection des données dans le cadre de leurs compétences respectives. Les questions concernant la protection des données devraient relever entièrement de la responsabilité du délégué à la protection des données.

(53) Étant donné que l’objectif du présent règlement, à savoir soutenir et renforcer l’action des autorités compétentes des États membres et leur collaboration mutuelle dans la prévention des formes graves de criminalité affectant deux ou plusieurs États membres, du terrorisme et des formes de criminalité portant atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union, ainsi que dans la lutte contre ces phénomènes, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison du caractère transfrontière des formes graves de criminalité et du terrorisme et de la nécessité d’une réaction coordonnée aux menaces pour la sécurité qui s’y rapportent, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

(54) Conformément à l’article 3 du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, l’Irlande a notifié son souhait de participer à l’adoption et à l’application du présent règlement.

(55) Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark ne participe pas à l’adoption du présent règlement et n’est pas lié par celui-ci ni soumis à son application.

(56) Le CEPD a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 8 mars 2021 (15).

(57) Le présent règlement respecte pleinement les garanties et droits fondamentaux et observe les principes reconnus en particulier par la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»), notamment le droit au respect de la vie privée et familiale et le droit à la protection des données à caractère personnel prévus par les articles 7 et 8 de la Charte, ainsi que par l’article 16 du traité sur le fonctionnement de l’Union européenne. Compte tenu de l’importance du traitement de données à caractère personnel pour l’action des services répressifs en général, et pour le soutien fourni par Europol en particulier, le présent règlement devrait comprendre des garanties renforcées et des mécanismes en matière de contrôle démocratique et de responsabilité, pour garantir que les activités et missions d’Europol sont menées dans le strict respect des droits fondamentaux tels qu’ils sont consacrés par la Charte, notamment le droit à l’égalité devant la loi, le droit à la non-discrimination et le droit à un recours effectif devant la juridiction nationale compétente contre toute mesure prise en application du présent règlement. Tout traitement de données à caractère personnel au titre du présent règlement devrait être limité à ce qui est strictement nécessaire et proportionné et être soumis à des conditions claires, à des exigences strictes et au contrôle effectif du CEPD.

(58) Il convient donc de modifier le règlement (UE) 2016/794 en conséquence.

(59) Afin de permettre l’application rapide des mesures prévues dans le présent règlement, il convient que celui-ci entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT :

Article premier

Le règlement (UE) 2016/794 est modifié comme suit :

1) L’article 2 est modifié comme suit :

a) les points h) à k) et les points m), n) et o) sont supprimés;

b) le point p) est remplacé par le texte suivant :
«p) “données administratives à caractère personnel”, les données à caractère personnel traitées par Europol autres que les données opérationnelles à caractère personnel;»;

c) les points suivants sont ajoutés :
«q) “données d’enquête”, les données qu’un État membre, le Parquet européen institué par le règlement (UE) 2017/1939 du Conseil (*), Eurojust ou un pays tiers est autorisé à traiter dans une enquête pénale en cours concernant un ou plusieurs États membres, conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union ou du droit national, qu’un État membre, le Parquet européen, Eurojust ou un pays tiers a transmises à Europol à l’appui d’une telle enquête pénale en cours et qui contiennent des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II;

r) “contenu à caractère terroriste”, le contenu à caractère terroriste au sens de l’article 2, point 7), du règlement (UE) 2021/784 du Parlement européen et du Conseil (**);

s) “matériel pédopornographique en ligne”, tout matériel en ligne constituant de la pédopornographie au sens de l’article 2, point c), de la directive 2011/93/UE du Parlement européen et du Conseil (***) ou un spectacle pornographique au sens de l’article 2, point e), de ladite directive;

 t) “situation de crise en ligne”, la diffusion de contenus en ligne provenant d’un événement réel, en cours ou récent, qui représentent des atteintes à la vie ou à l’intégrité physique ou qui appellent à des atteintes imminentes à la vie ou à l’intégrité physique et ont pour objet ou pour effet d’intimider gravement une population, à condition qu’il existe un lien ou une suspicion raisonnable de lien avec le terrorisme ou l’extrémisme violent et que la possibilité que ces contenus se multiplient de manière exponentielle et acquièrent un caractère viral sur plusieurs services en ligne soit prévisible;

u) “catégorie de transferts de données à caractère personnel”, un groupe de transferts de données à caractère personnel dans lequel les données sont liées à la même situation spécifique et les transferts se composent des mêmes catégories de données à caractère personnel et des mêmes catégories de personnes concernées;

v) “projets de recherche et d’innovation”, des projets portant sur des questions régies par le présent règlement en vue de l’élaboration, de l’entraînement, de l’expérimentation et de la validation d’algorithmes pour la mise au point d’outils spécifiques, et d’autres projets de recherche et d’innovation spécifiques pertinents pour la réalisation des objectifs d’Europol.

___________
(*) Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).
(**) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (JO L 172 du 17.5.2021, p. 79).
(***) Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).».

2) L’article 4 est modifié comme suit :

a) le paragraphe 1 est modifié comme suit :

i) le point suivant est inséré :
«h bis) fournir un appui administratif et financier aux unités spéciales d’intervention des États membres visées dans la décision 2008/617/JAI du Conseil (*);

___________
(*) Décision 2008/617/JAI du Conseil du 23 juin 2008 relative à l’amélioration de la coopération entre les unités spéciales d’intervention des États membres de l’Union européenne dans les situations de crise (JO L 210 du 6.8.2008, p. 73).»;

ii) le point j) est remplacé par le texte suivant :
«j) coopérer avec les organes de l’Union institués sur la base du titre V du traité sur le fonctionnement de l’Union européenne, avec l’OLAF et l’Agence de l’Union européenne pour la cybersécurité (ENISA) instituée par le règlement (UE) 2019/881 du Parlement européen et du Conseil (*), en particulier par des échanges d’informations et la fourniture d’une aide à l’analyse dans des domaines relevant de leurs compétences respectives;

___________
(*) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n°526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).»;

iii) le point m) est remplacé par le texte suivant :
«m) soutenir les actions des États membres en matière de prévention des formes de criminalité énumérées à l’annexe I qui sont facilitées, favorisées ou commises à l’aide de l’internet, et de lutte contre ces phénomènes, y compris en :

i) aidant les autorités compétentes des États membres, à leur demande, à répondre aux cyberattaques supposées être d’origine criminelle;

ii) coopérant avec les autorités compétentes des États membres en ce qui concerne les injonctions de retrait, conformément à l’article 14 du règlement (UE) 2021/784; et 

iii) signalant les contenus en ligne aux fournisseurs de services en ligne concernés pour qu’ils examinent sur une base volontaire la compatibilité de ces contenus avec leurs propres conditions générales;»;

iv) les points suivants sont ajoutés :
«r) aider les États membres à identifier les personnes dont les activités criminelles relèvent des formes de criminalité énumérées à l’annexe I et qui constituent un risque élevé en matière de sécurité;

s) faciliter des enquêtes conjointes, coordonnées et considérées comme une priorité portant sur les personnes visées au point r);

t) aider les États membres à traiter les données fournies à Europol par des pays tiers ou des organisations internationales sur les personnes impliquées dans le terrorisme ou dans la criminalité grave et proposer l’introduction éventuelle par les États membres, laissée à leur discrétion et sous réserve de la vérification et de l’analyse de ces données, de signalements pour information concernant des ressortissants de pays tiers dans l’intérêt de l’Union (ci-après dénommés “signalements pour information”) dans le système d’information Schengen (SIS), conformément au règlement (UE) 2018/1862 du Parlement européen et du Conseil (*);

u) soutenir la mise en œuvre du mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen prévu par le règlement (UE) n°1053/2013, dans le cadre des objectifs d’Europol, en fournissant une expertise et des analyses, s’il y a lieu;

v) surveiller proactivement les activités de recherche et d’innovation qui sont pertinentes pour la réalisation des objectifs d’Europol et contribuer à ces activités, en soutenant les activités connexes des États membres et en mettant en œuvre ses propres activités de recherche et d’innovation, y compris des projets pour l’élaboration, l’entraînement, l’expérimentation et la validation d’algorithmes pour la mise au point d’outils spécifiques destinés aux autorités répressives, et diffuser les résultats de ces activités aux États membres conformément à l’article 67;

w) contribuer à la création de synergies entre les activités de recherche et d’innovation des organes de l’Union qui sont pertinentes pour la réalisation des objectifs d’Europol, y compris par l’intermédiaire du pôle d’innovation de l’Union européenne pour la sécurité intérieure, et en étroite coopération avec les États membres;

x) soutenir, à leur demande, les mesures des États membres visant à faire face aux situations de crise en ligne, notamment en fournissant aux parties privées les informations nécessaires pour identifier les contenus en ligne concernés;

y) soutenir les mesures des États membres visant à lutter contre la diffusion en ligne de matériel pédopornographique en ligne;

z) coopérer, conformément à l’article 12 de la directive (UE) 2019/1153 du Parlement européen et du Conseil (**), avec les cellules de renseignement financier (CRF) instituées en vertu de la directive (UE) 2015/849 du Parlement européen et du Conseil (***), par l’intermédiaire de l’unité nationale Europol compétente ou, si cela est autorisé par l’État membre concerné, par le biais de contacts directs avec les CRF, notamment par des échanges d’informations et la fourniture d’analyses aux États membres en vue de soutenir les enquêtes transfrontières sur les activités de blanchiment de capitaux des organisations criminelles transnationales et sur le financement du terrorisme;

___________
(*) Règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) n°1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission (JO L 312 du 7.12.2018, p. 56).
(**) Directive (UE) 2019/1153 du Parlement européen et du Conseil du 20 juin 2019 fixant les règles facilitant l’utilisation d’informations financières et d’une autre nature aux fins de la prévention ou de la détection de certaines infractions pénales, ou des enquêtes ou des poursuites en la matière, et abrogeant la décision 2000/642/JAI du Conseil (JO L 186 du 11.7.2019, p. 122).
(***) Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) n° 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73).»; 

v) les alinéas suivants sont ajoutés :
«Afin qu’un État membre informe, dans un délai de douze mois suivant la proposition d’Europol relative à l’introduction éventuelle d’un signalement pour information visé au premier alinéa, point t), les autres États membres et Europol des résultats de la vérification et de l’analyse des données et de l’introduction éventuelle d’un signalement dans le SIS, un mécanisme de rapport périodique est mis en place. Les États membres informent Europol de tout signalement pour information introduit dans le SIS et de toute réponse positive à ces signalements pour information et peuvent informer, par l’intermédiaire d’Europol, le pays tiers ou l’organisation internationale qui a fourni les données donnant lieu à l’introduction du signalement pour information des réponses positives à un tel signalement pour information, conformément à la procédure établie dans le règlement (UE) 2018/1862.»;

b) au paragraphe 2, la deuxième phrase est remplacée par le texte suivant :
«Europol fournit également un appui pour la mise en œuvre opérationnelle de ces priorités, notamment dans le cadre de la plateforme pluridisciplinaire européenne contre les menaces criminelles (EMPACT), y compris en facilitant et en fournissant un appui administratif, logistique, financier et opérationnel aux activités opérationnelles et stratégiques menées par les États membres.»;

c) au paragraphe 3, la phrase suivante est ajoutée :
«Europol fournit également des analyses des évaluations de la menace fondées sur les informations qu’elle détient concernant les tendances et phénomènes criminels afin d’aider la Commission et les États membres à réaliser leurs évaluations des risques.»;

d) les paragraphes suivants sont insérés :
«4 bis. Europol aide les États membres et la Commission à déterminer les principaux thèmes de recherche.

Europol aide la Commission à établir et à mettre en œuvre les programmes-cadres de l’Union pour les activités de recherche et d’innovation pertinentes pour la réalisation des objectifs d’Europol. Le cas échéant, Europol peut diffuser les résultats de ses activités de recherche et d’innovation dans le cadre de sa contribution à la création de synergies entre les activités de recherche et d’innovation des organes de l’Union compétents conformément au paragraphe 1, premier alinéa, point w). Europol prend toutes les mesures nécessaires pour éviter les conflits d’intérêts.

Europol ne reçoit aucun financement au titre d’un programme-cadre de l’Union donné lorsqu’elle aide la Commission à déterminer les principaux thèmes de recherche et à établir et mettre en œuvre ledit programme-cadre.

Lors de la conception et de la conceptualisation des activités de recherche et d’innovation concernant des questions régies par le présent règlement, Europol peut, s’il y a lieu, consulter le Centre commun de recherche de la Commission.

4 ter. Europol soutient les États membres dans le filtrage, en ce qui concerne les implications attendues pour la sécurité, de cas spécifiques d’investissements directs étrangers dans l’Union au titre du règlement (UE) 2019/452 du Parlement européen et du Conseil (*) qui concernent des entreprises qui fournissent des technologies, y compris des logiciels, utilisées par Europol aux fins de la prévention des formes de criminalité qui relèvent des objectifs d’Europol et des enquêtes en la matière.

___________
(*) Règlement (UE) 2019/452 du Parlement européen et du Conseil du 19 mars 2019 établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union (JO L 79 I du 21.3.2019, p. 1).»;

e) le paragraphe 5 est remplacé par le texte suivant :
«5. Europol n’applique pas de mesures coercitives dans l’exercice de ses missions. Le personnel d’Europol peut apporter un appui opérationnel aux autorités compétentes des États membres au cours de la mise en œuvre des mesures d’enquête, à leur demande et conformément à leur droit national, notamment en facilitant les échanges d’informations transfrontières, en fournissant une aide criminalistique et technique et en étant présent au cours de la mise en œuvre de ces mesures d’enquête. Le personnel d’Europol n’est pas habilité à mettre, lui-même, en œuvre des mesures d’enquête.»;

f) le paragraphe suivant est ajouté :
«5 bis. Europol respecte les libertés et droits fondamentaux consacrés dans la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée “Charte”) dans l’accomplissement de ses missions.».

3) L’article 6 est modifié comme suit :
a) le paragraphe suivant est inséré :
«1 bis. Sans préjudice du paragraphe 1, lorsque le directeur exécutif considère qu’une enquête pénale devrait être ouverte au sujet d’une forme de criminalité spécifique ne concernant qu’un seul État membre mais portant atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union, il peut proposer aux autorités compétentes de l’État membre concerné, par l’intermédiaire de son unité nationale, d’ouvrir, de mener ou de coordonner cette enquête pénale.»;

b) le paragraphe 2 est remplacé par le texte suivant :
«2. Les unités nationales informent, sans retard injustifié, Europol en ce qui concerne toute demande présentée en vertu du paragraphe 1, ou le directeur exécutif, en ce qui concerne toute proposition formulée en vertu du paragraphe 1 bis, de la décision des autorités compétentes des États membres.»;

c) le paragraphe 4 est remplacé par le texte suivant :
«4. Europol informe immédiatement Eurojust et, s’il y a lieu, le Parquet européen de toute demande présentée en vertu du paragraphe 1, de toute proposition formulée en vertu du paragraphe 1 bis et de toute décision prise par une autorité compétente d’un État membre en vertu du paragraphe 2.».

4) À l’article 7, le paragraphe 8 est remplacé par le texte suivant :
«8. Chaque État membre veille à ce que sa CRF soit habilitée, dans les limites de son mandat et de sa compétence et sous réserve des garanties procédurales nationales, à répondre aux demandes dûment justifiées qui sont présentées par Europol conformément à l’article 12 de la directive (UE) 2019/1153 en ce qui concerne les informations financières et les analyses financières, soit par l’intermédiaire de son unité nationale, soit, si cela est autorisé par cet État membre, par le biais d’un contact direct entre la CRF et Europol.».

5) L’article 11, paragraphe 1, est modifié comme suit :
a) le point a) est remplacé par le texte suivant :
«a) adopte chaque année, à la majorité des deux tiers de ses membres et conformément à l’article 12 du présent règlement, un document de programmation unique visé à l’article 32 du règlement délégué (UE) 2019/715 de la Commission (*).

___________
(*) Règlement délégué (UE) 2019/715 de la Commission du 18 décembre 2018 portant règlement financier-cadre des organismes créés en vertu du traité sur le fonctionnement de l’Union européenne et du traité Euratom et visés à l’article 70 du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (JO L 122 du 10.5.2019, p. 1).»;

b) les points suivants sont ajoutés :
«v) désigne l’officier aux droits fondamentaux visé à l’article 41 quater;

w) précise les critères sur la base desquels Europol peut formuler des propositions relatives à l’introduction éventuelle de signalements pour information dans le SIS;».

6) L’article 12 est modifié comme suit :
a) le paragraphe 1 est remplacé par le texte suivant :
«1. Au plus tard le 30 novembre de chaque année, le conseil d’administration adopte un document de programmation unique contenant la programmation pluriannuelle et le programme de travail annuel d’Europol, sur la base d’un projet proposé par le directeur exécutif, en tenant compte de l’avis de la Commission et, en ce qui concerne la programmation pluriannuelle, après consultation du groupe de contrôle parlementaire conjoint. Lorsque le conseil d’administration décide de ne pas tenir compte de l’avis de la Commission visé au premier alinéa, en tout ou en partie, Europol fournit une justification détaillée. Lorsque le conseil d’administration décide de ne pas tenir compte des éléments soulevés par le groupe de contrôle parlementaire conjoint conformément à l’article 51, paragraphe 2, point c), Europol fournit une justification détaillée. Après adoption du document unique de programmation, le conseil d’administration transmet celui-ci au Conseil, à la Commission et au groupe de contrôle parlementaire conjoint.»;

b) au paragraphe 2, le premier alinéa est remplacé par le texte suivant :
«La programmation pluriannuelle expose la programmation stratégique globale, y compris les objectifs, les résultats attendus et les indicateurs de performance. Elle contient également la planification des ressources, y compris le budget pluriannuel et le tableau des effectifs. Elle comprend la stratégie pour les relations avec les pays tiers et les organisations internationales et les activités de recherche et d’innovation planifiées d’Europol.».

7) À l’article 14, le paragraphe 4 est remplacé par le texte suivant :
«4. Le conseil d’administration peut inviter toute personne dont l’avis peut être pertinent aux fins des débats à participer aux réunions en tant qu’observateur sans droit de vote. Deux représentants du groupe de contrôle parlementaire conjoint sont invités à participer à deux réunions ordinaires par an du conseil d’administration en tant qu’observateurs sans droit de vote pour discuter des questions d’intérêt politique suivantes :

a) le rapport d’activité annuel consolidé visé à l’article 11, paragraphe 1, point c), de l’année précédente;

b) le document de programmation unique visé à l’article 12 pour l’année suivante et le budget annuel;

c) les questions et réponses écrites du groupe de contrôle parlementaire conjoint;

d) les relations extérieures et les questions de partenariat. Le conseil d’administration, avec les représentants du groupe de contrôle parlementaire conjoint, peuvent déterminer d’autres questions d’intérêt politique à discuter à l’occasion des réunions visées au premier alinéa.».

8) L’article 16 est modifié comme suit :
a) le paragraphe 3 est remplacé par le texte suivant :
«3. Le Conseil ou le groupe de contrôle parlementaire conjoint peut inviter le directeur exécutif à faire rapport sur l’exécution de ses fonctions.»;

b) le paragraphe 5 est modifié comme suit :
i) le point d) est remplacé par le texte suivant :
«d) l’élaboration du projet de document de programmation unique visé à l’article 12 et sa présentation au conseil d’administration après consultation de la Commission et du groupe de contrôle parlementaire conjoint;»;

ii) le point suivant est inséré :
«o bis) l’information du conseil d’administration sur les protocoles d’accord signés avec des parties privées;».

9) L’article 18 est modifié comme suit :
a) le paragraphe 2 est modifié comme suit :
i) le point d) est remplacé par le texte suivant :
«d) facilitation de l’échange d’informations entre les États membres, Europol, d’autres organes de l’Union, les pays tiers, les organisations internationales et des parties privées;»;

ii) les points suivants sont ajoutés :
«e) projets de recherche et d’innovation;

f) soutien apporté aux États membres, à leur demande, en ce qui concerne l’information du public sur les individus soupçonnés ou condamnés qui sont recherchés, en vertu d’une décision judiciaire nationale relative à une forme de criminalité relevant des objectifs d’Europol, et facilitation de la fourniture d’informations sur ces individus par le public aux États membres et à Europol.»; 

b) le paragraphe suivant est inséré :
«3 bis. Si cela est nécessaire pour réaliser les objectifs des projets de recherche et d’innovation d’Europol, le traitement de données à caractère personnel à cette fin n’est effectué que dans le cadre de projets de recherche et d’innovation d’Europol pour lesquels les finalités et les objectifs sont clairement définis, et a lieu conformément à l’article 33 bis.»;

c) le paragraphe 5 est remplacé par le texte suivant :
«5. Sans préjudice de l’article 8, paragraphe 4, de l’article 18, paragraphe 2, point e), de l’article 18 bis, et du traitement des données en vertu de l’article 26, paragraphe 6 quater, lorsque les infrastructures d’Europol sont utilisées pour des échanges bilatéraux de données à caractère personnel et qu’Europol n’a pas accès au contenu des données, les catégories de données à caractère personnel et les catégories de personnes concernées dont les données peuvent être collectées et traitées pour les finalités du paragraphe 2 du présent article sont énumérées à l’annexe II.»;

d) le paragraphe suivant est inséré :
«5 bis. Conformément à l’article 73 du règlement (UE) 2018/1725 du Parlement européen et du Conseil (*), Europol établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel qui portent sur différentes catégories de personnes concernées énumérées à l’annexe II.

___________
(*) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39).»;

e) le paragraphe 6 est remplacé par le texte suivant :
«6. Europol peut traiter temporairement des données afin de déterminer si, et, dans l’affirmative, pour quelle finalité parmi celles visées au paragraphe 2, ces données sont pertinentes pour ses tâches. Le délai de traitement de ces données ne dépasse pas six mois à partir de leur réception.»;

f) les paragraphes suivants sont insérés :
«6 bis. Préalablement au traitement des données en vertu du paragraphe 2 du présent article, lorsque cela est strictement nécessaire à la seule fin de déterminer si les données à caractère personnel respectent le paragraphe 5 du présent article, Europol peut traiter temporairement les données à caractère personnel qui ont été fournies en vertu de l’article 17, paragraphes 1 et 2, y compris en comparant ces données avec l’ensemble des données déjà traitées par Europol conformément au paragraphe 5 du présent article. Europol traite des données à caractère personnel en vertu du premier alinéa pendant une période ne dépassant pas dix-huit mois à partir du moment où Europol établit que ces données relèvent de ses objectifs, ou, dans des cas justifiés, pendant une plus longue période lorsque cela est nécessaire aux fins du présent article. Europol informe le CEPD de toute prolongation de la période de traitement. La durée maximale du traitement des données en vertu du premier alinéa est de trois ans. Ces données à caractère personnel sont séparées des autres données sur le plan fonctionnel. Lorsqu’Europol conclut que les données à caractère personnel visées au premier alinéa du présent paragraphe ne respectent pas le paragraphe 5, Europol efface ces données et en informe, s’il y a lieu, le fournisseur de ces données effacées. 6 ter. Le conseil d’administration, sur proposition du directeur exécutif, après consultation du CEPD et dans le strict respect des principes visés à l’article 71 du règlement (UE) 2018/1725, précise les conditions relatives au traitement des données visées aux paragraphes 6 et 6 bis du présent article, notamment en ce qui concerne la fourniture de ces données, l’accès à celles-ci et leur utilisation, ainsi que les délais de conservation et d’effacement de ces données, qui ne dépassent pas ceux fixés aux paragraphes 6 et 6 bis du présent article.». 

10) L’article suivant est inséré :
«Article 18 bis Traitement de données à caractère personnel à l’appui d’une enquête pénale

1. Lorsque cela est nécessaire pour soutenir une enquête pénale spécifique en cours qui relève des objectifs d’Europol, Europol peut traiter des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II lorsque :
a) un État membre, le Parquet européen ou Eurojust fournit des données d’enquête à Europol en vertu de l’article 17, paragraphe 1, point a) ou b), et demande à Europol de soutenir cette enquête :
i) au moyen d’une analyse opérationnelle en vertu de l’article 18, paragraphe 2, point c); ou
ii) dans des cas exceptionnels et dûment justifiés, au moyen de recoupements en vertu de l’article 18, paragraphe 2, point a);

b) Europol évalue qu’il n’est pas possible de procéder à l’analyse opérationnelle en vertu de l’article 18, paragraphe 2, point c), ou aux recoupements en vertu de l’article 18, paragraphe 2, point a), à l’appui de cette enquête sans traiter des données à caractère personnel qui ne respectent pas l’article 18, paragraphe 5.

Les résultats de l’évaluation visée au premier alinéa, point b), sont enregistrés et transmis au CEPD pour information quand Europol cesse de soutenir l’enquête visée au premier alinéa.

2. Lorsque l’État membre visé au paragraphe 1, premier alinéa, point a), n’est plus autorisé à traiter les données dans le cadre de l’enquête pénale spécifique en cours visée au paragraphe 1 conformément aux exigences et garanties procédurales prévues par son droit national applicable, il informe Europol. Lorsque le Parquet européen ou Eurojust fournit des données d’enquête à Europol et qu’il n’est plus autorisé à traiter les données dans le cadre de l’enquête pénale spécifique en cours visée au paragraphe 1 conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union et du droit national, il informe Europol.

3. Europol peut traiter des données d’enquête conformément à l’article 18, paragraphe 2, pendant toute la durée de son soutien à l’enquête pénale spécifique en cours pour laquelle les données d’enquête ont été fournies conformément au paragraphe 1, premier alinéa, point a), du présent article, et à la seule fin de soutenir cette enquête.

4. Europol peut conserver les données d’enquête fournies conformément au paragraphe 1, premier alinéa, point a), et les résultats de son traitement de ces données au-delà de la période de traitement fixée au paragraphe 3, à la demande du fournisseur de ces données d’enquête, à la seule fin de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel, et uniquement tant que la procédure judiciaire concernant l’enquête pénale spécifique pour laquelle ces données ont été fournies est en cours.

Les fournisseurs de données d’enquête visés au paragraphe 1, premier alinéa, point a), ou, avec leur accord, un État membre dans lequel une procédure judiciaire relative à une enquête pénale connexe est en cours peuvent demander à Europol de conserver les données d’enquête et les résultats de son analyse opérationnelle de ces données au-delà de la période de traitement fixée au paragraphe 3 aux fins de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel, et uniquement tant que la procédure judiciaire concernant une enquête pénale connexe est en cours dans cet autre État membre.

5. Sans préjudice du traitement de données à caractère personnel au titre de l’article 18, paragraphe 6 bis, les données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II sont séparées des autres données sur le plan fonctionnel et ne sont traitées que lorsque cela est nécessaire et proportionné aux fins des paragraphes 3, 4 et 6 du présent article. Le conseil d’administration, sur proposition du directeur exécutif et après consultation du CEPD, précise les conditions relatives à la fourniture et au traitement des données à caractère personnel conformément aux paragraphes 3 et 4.

6. Les paragraphes 1 à 4 du présent article s’appliquent également lorsque des données à caractère personnel sont fournies à Europol par un pays tiers visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis, et lorsque ce pays tiers fournit à Europol des données d’enquête afin de réaliser une analyse opérationnelle qui contribue à l’enquête pénale spécifique menée dans un ou plusieurs États membres et soutenue par Europol, à condition que le pays tiers ait obtenu les données dans le cadre d’une enquête pénale conformément aux exigences et garanties procédurales applicables au titre de son droit pénal national.

Lorsqu’un pays tiers fournit des données d’enquête à Europol conformément au premier alinéa, le délégué à la protection des données peut, s’il y a lieu, en informer le CEPD.

Europol vérifie que le volume de données à caractère personnel visées au premier alinéa n’est pas manifestement disproportionné par rapport à l’enquête pénale spécifique menée dans l’État membre concerné. Lorsqu’Europol conclut qu’il existe une indication selon laquelle ces données sont manifestement disproportionnées ou ont été collectées en violation manifeste des droits fondamentaux, Europol ne traite pas les données et les efface.

Europol ne peut accéder aux données à caractère personnel traitées en vertu du présent paragraphe que si cela est nécessaire pour soutenir l’enquête pénale spécifique pour laquelle elles ont été fournies. Ces données à caractère personnel ne sont partagées qu’à l’intérieur de l’Union.».

11) À l’article 19, les paragraphes 1 et 2 sont remplacés par le texte suivant :
«1. Un État membre, un organe de l’Union, un pays tiers ou une organisation internationale qui fournit des informations à Europol définit la ou les finalités pour lesquelles ces informations doivent être traitées, conformément à l’article 18.

Lorsqu’un fournisseur des informations visé au premier alinéa n’a pas respecté ledit alinéa, Europol, en accord avec le fournisseur des informations concerné, traite ces informations en vue de déterminer leur pertinence ainsi que la ou les finalités pour lesquelles elles doivent être traitées ultérieurement.

Europol ne traite ces informations à des fins autres que celles pour lesquelles elles ont été fournies que si le fournisseur des informations l’y autorise.

Les informations fournies aux fins visées à l’article 18, paragraphe 2, points a) à d), peuvent également être traitées par Europol aux fins de l’article 18, paragraphe 2, point e), conformément à l’article 33 bis.

2. Les États membres, les organes de l’Union, les pays tiers et les organisations internationales peuvent notifier, lors de la fourniture des informations à Europol, toute limitation de l’accès à ces informations ou de leur utilisation, en termes généraux ou spécifiques, y compris en ce qui concerne leur transfert, transmission, effacement ou destruction. Lorsque la nécessité d’avoir de telles limitations apparaît après la fourniture des informations, ils en informent Europol. Europol respecte ces limitations.».

12) L’article 20 est modifié comme suit :

a) le paragraphe suivant est inséré:
«2 bis. Dans le cadre des projets d’analyse opérationnelle visés à l’article 18, paragraphe 3, et dans le respect des règles et garanties en matière de traitement des données à caractère personnel énoncées dans le présent règlement, les États membres peuvent déterminer les informations qu’Europol rendra directement accessibles à d’autres États membres sélectionnés, aux fins d’une analyse opérationnelle conjointe dans des enquêtes spécifiques, sans préjudice d’éventuelles limitations notifiées en vertu de l’article 19, paragraphe 2, et conformément aux procédures définies dans les lignes directrices visées à l’article 18, paragraphe 7.»;

b) au paragraphe 3, la phrase introductive est remplacée par le texte suivant :
«3. Conformément au droit national, les informations visées aux paragraphes 1, 2 et 2 bis ne sont accessibles et ne font l’objet d’un traitement ultérieur par les États membres qu’à des fins de prévention, de détection, d’enquêtes et de poursuites concernant:». 

13) L’article suivant est inséré :

«Article 20 bis

Relations avec le Parquet européen

1. Europol noue et entretient une relation étroite avec le Parquet européen. Dans le cadre de cette relation, Europol et le Parquet européen agissent dans le cadre de leurs compétences respectives. À cette fin, ils concluent un arrangement de travail définissant les modalités de leur coopération.

2. À la demande du Parquet européen conformément à l’article 102 du règlement (UE) 2017/1939, Europol soutient les enquêtes du Parquet européen et coopère avec ce dernier, en fournissant des informations et une aide à l’analyse, jusqu’à ce que le Parquet européen détermine s’il y a lieu d’engager des poursuites ou, dans la négative, de procéder au classement sans suite.

3. Afin de fournir des informations au Parquet européen en vertu du paragraphe 2 du présent article, Europol prend toutes les mesures appropriées pour permettre au Parquet européen de disposer d’un accès indirect sur la base d’un système concordance/non-concordance (“hit/no hit”) aux données relatives aux infractions qui relèvent des compétences du Parquet européen, fournies aux fins de l’article 18, paragraphe 2, points a), b) et c). Ce système de concordance/non-concordance (“hit/no hit”) n’informe Europol qu’en cas de concordance et sans préjudice de toute limitation notifiée en vertu de l’article 19, paragraphe 2, par les fournisseurs des informations visés à l’article 19, paragraphe 1.

En cas de concordance, Europol engage la procédure permettant de partager l’information qui a généré cette concordance, conformément à la décision du fournisseur des informations visé à l’article 19, paragraphe 1, et seulement dans la mesure où les données générant la concordance sont pertinentes pour la demande présentée en vertu du paragraphe 2 du présent article.

4. Europol signale, sans retard injustifié, au Parquet européen tout comportement délictueux à l’égard duquel celuici pourrait exercer sa compétence conformément à l’article 22 et à l’article 25, paragraphes 2 et 3, du règlement (UE) 2017/1939 et sans préjudice de toute limitation notifiée en vertu de l’article 19, paragraphe 2, du présent règlement par le fournisseur des informations.

Lorsqu’Europol effectue des signalements à l’intention du Parquet européen en vertu du premier alinéa, il en informe sans retard les États membres concernés.

Lorsque les informations relatives à un comportement délictueux à l’égard duquel le Parquet européen pourrait exercer sa compétence ont été fournies à Europol par un État membre qui a notifié des limitations d’utilisation de ces informations en vertu de l’article 19, paragraphe 2, du présent règlement, Europol informe le Parquet européen de l’existence de ces limitations et en réfère à l’État membre concerné. L’État membre concerné entre directement en contact avec le Parquet européen afin de se conformer à l’article 24, paragraphes 1 et 4, du règlement (UE) 2017/1939.».

14) À l’article 21, le paragraphe suivant est ajouté :
«8. Si, pendant le traitement des informations concernant une enquête pénale spécifique ou un projet spécifique, Europol détecte des informations relatives à une éventuelle activité illégale portant atteinte aux intérêts financiers de l’Union, Europol fournit ces informations, sans retard, à l’OLAF, sans préjudice de toute limitation notifiée en vertu de l’article 19, paragraphe 2, par l’État membre ayant fourni ces informations.

Lorsqu’Europol fournit à l’OLAF des informations en vertu du premier alinéa, elle informe sans retard les États membres concernés.».

15) À l’article 23, le paragraphe 7 est remplacé par le texte suivant :
«7. Les transferts ultérieurs de données à caractère personnel détenues par Europol, les États membres, les organes de l’Union, les pays tiers, les organisations internationales ou les parties privées sont interdits, à moins qu’Europol ne les ait explicitement autorisés au préalable.».

16) Le titre de la section 2 est remplacé par le texte suivant : «Tra nsmissions , transferts et échanges de données à caractère personnel».

17) L’article 24 est remplacé par le texte suivant :

«Article 24

Transmission de données à caractère personnel aux organes de l’Union

1. Europol ne transmet des données à caractère personnel à un organe de l’Union, conformément à l’article 71, paragraphe 2, du règlement (UE) 2018/1725, sous réserve de toute autre limitation en vertu du présent règlement et sans préjudice de l’article 67 du présent règlement, que si ces données sont nécessaires et proportionnées pour l’accomplissement légitime de missions de l’organe de l’Union destinataire.

2. À la suite d’une demande de transmission de données à caractère personnel d’un autre organe de l’Union, Europol vérifie la compétence de l’autre organe de l’Union. Si Europol n’est pas en mesure de confirmer que la transmission des données à caractère personnel est nécessaire conformément au paragraphe 1, Europol demande à l’organe de l’Union demandeur un complément d’informations. L’organe de l’Union demandeur veille à ce que la nécessité de la transmission des données à caractère personnel puisse être vérifiée.

3. L’organe de l’Union destinataire traite les données à caractère personnel visées aux paragraphes 1 et 2 aux seules fins pour lesquelles elles ont été transmises.».

18) L’article 25 est modifié comme suit :

a) le paragraphe 1 est modifié comme suit :
i) la partie introductive est modifiée comme suit :
«1. Sous réserve de toute limitation notifiée en vertu de l’article 19, paragraphe 2 ou 3, et sans préjudice de l’article 67, Europol peut transférer des données à caractère personnel aux autorités compétentes d’un pays tiers ou à une organisation internationale, à condition que ce transfert soit nécessaire à l’accomplissement de ses missions, sur l’un des fondements suivants:»;

ii) le point a) est remplacé par le texte suivant :
«a) une décision de la Commission adoptée conformément à l’article 36 de la directive (UE) 2016/680, selon laquelle le pays tiers, un territoire ou un ou plusieurs secteurs déterminés au sein de ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat (ci-après dénommée “décision d’adéquation”);»;

b) le paragraphe 3 est supprimé;

c) le paragraphe suivant est inséré:
«4 bis. En l’absence de décision d’adéquation, le conseil d’administration peut autoriser Europol à transférer des données à caractère personnel à une autorité compétente d’un pays tiers ou à une organisation internationale lorsque :

a) des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont prévues dans un instrument juridiquement contraignant; ou

b) Europol a évalué toutes les circonstances entourant le transfert de données à caractère personnel et a conclu que des garanties appropriées existent en ce qui concerne la protection de ces données.»;

d) le paragraphe 5 est modifié comme suit :
i) la partie introductive est remplacée par le texte suivant :
«Par dérogation au paragraphe 1, le directeur exécutif peut, dans des cas dûment justifiés, autoriser le transfert ou une catégorie de transferts de données à caractère personnel à une autorité compétente d’un pays tiers ou à une organisation internationale, au cas par cas, si le transfert ou la catégorie de transferts est:»;
ii) le point b) est remplacé par le texte suivant :
«b) nécessaire à la sauvegarde des intérêts légitimes de la personne concernée;»; 

e) le paragraphe 8 est remplacé par le texte suivant :
«8. Europol informe le CEPD des catégories de transferts relevant du paragraphe 4 bis, point b). Lorsqu’un transfert est effectué conformément au paragraphe 4 bis ou 5, ce transfert est documenté et la documentation est mise à la disposition du CEPD, sur demande. La documentation comporte un relevé de la date et de l’heure du transfert et des informations sur l’autorité compétente visée au présent article, sur la justification du transfert et sur les données à caractère personnel transférées.».

19) L’article 26 est modifié comme suit :

a) au paragraphe 1, le point c) est remplacé par le texte suivant :
«c) d’une autorité d’un pays tiers ou d’une organisation internationale visée à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis.»;

b) le paragraphe 2 est remplacé par le texte suivant :
«2. Lorsqu’Europol reçoit des données à caractère personnel directement de parties privées, elle peut les traiter conformément à l’article 18 afin de déterminer les unités nationales concernées, visées au paragraphe 1, point a), du présent article. Europol transmet immédiatement aux unités nationales concernées les données à caractère personnel et les éventuels résultats pertinents du traitement nécessaire de ces données aux fins de l’établissement de la compétence. Europol peut transmettre aux points de contact et aux autorités concernés visés au paragraphe 1, points b) et c), du présent article les données à caractère personnel et les résultats pertinents du traitement nécessaire de ces données aux fins de l’établissement de la compétence, conformément à l’article 25. Si Europol ne peut déterminer aucune des unités nationales concernées ou a déjà transmis les données à caractère personnel à toutes les unités nationales respectivement concernées qu’elle a déterminées et s’il n’est pas possible de déterminer d’autres unités nationales concernées, elle procède à l’effacement des données, à moins que l’unité nationale, le point de contact ou l’autorité concerné ne soumette à nouveau les données à caractère personnel à Europol conformément à l’article 19, paragraphe 1, dans les quatre mois suivant la transmission ou le transfert.

Les critères permettant de déterminer si l’unité nationale de l’État membre d’établissement de la partie privée concernée constitue une unité nationale concernée sont énoncés dans les lignes directrices visées à l’article 18, paragraphe 7.»;

c) le paragraphe suivant est inséré: «2 bis. Toute coopération d’Europol avec des parties privées ne fait pas double emploi ni n’interfère avec les activités des CRF des États membres, et ne concerne pas les informations qui doivent être fournies aux CRF aux fins de la directive (UE) 2015/849.»; d) le paragraphe 4 est remplacé par le texte suivant :

«4. Lorsqu’Europol reçoit des données à caractère personnel d’une partie privée établie dans un pays tiers, elle ne transmet ces données et les résultats de son analyse et de la vérification de ces données qu’à un État membre, ou à un pays tiers concerné visé à l’article 25, paragraphe 1, point a) b) ou c), ou à l’article 25, paragraphe 4 bis.

Sans préjudice du premier alinéa du présent paragraphe, Europol peut transférer les résultats visés au premier alinéa du présent paragraphe au pays tiers concerné en vertu de l’article 25, paragraphe 5 ou 6.»;

e) les paragraphes 5 et 6 sont remplacés par le texte suivant :
«5. Europol ne transmet pas ou ne transfère pas de données à caractère personnel à des parties privées, sauf dans les cas suivants et pour autant que cette transmission ou ce transfert soit strictement nécessaire et proportionné, ceci étant à déterminer au cas par cas :

a) la transmission ou le transfert est, indubitablement, dans l’intérêt de la personne concernée;

b) la transmission ou le transfert est strictement nécessaire aux fins de la prévention de la commission imminente d’une forme de criminalité, y compris le terrorisme, qui relève des objectifs d’Europol;

c) la transmission ou le transfert de données à caractère personnel qui sont accessibles au public est strictement nécessaire à l’accomplissement de la mission visée à l’article 4, paragraphe 1, point m), et les conditions suivantes sont remplies :
i) la transmission ou le transfert concerne un cas individuel et spécifique;
ii) les libertés et les droits fondamentaux de la personne concernée ne prévalent pas sur l’intérêt public qui exige que ces données à caractère personnel soient transmises ou transférées dans le cas en question; ou

d) la transmission ou le transfert est strictement nécessaire pour qu’Europol puisse notifier à la partie privée concernée que les informations reçues sont insuffisantes pour permettre à Europol de déterminer les unités nationales concernées, et les conditions suivantes sont réunies :
i) la transmission ou le transfert fait suite à la réception de données à caractère personnel fournies directement par une partie privée conformément au paragraphe 2;
ii) les informations manquantes, auxquelles Europol peut faire référence dans sa notification, présentent un lien manifeste avec les informations précédemment partagées par cette partie privée;
iii) les informations manquantes, auxquelles Europol peut faire référence dans sa notification, sont strictement limitées à ce qui est nécessaire à Europol pour déterminer les unités nationales concernées.

La transmission ou le transfert visé au premier alinéa du présent paragraphe a lieu sous réserve de toute limitation notifiée en vertu de l’article 19, paragraphe 2 ou 3, et a lieu sans préjudice de l’article 67.

6. En ce qui concerne le paragraphe 5, points a), b) et d), du présent article, si la partie privée concernée n’est pas établie dans l’Union ou dans un pays tiers visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis, le transfert n’est autorisé par le directeur exécutif que si ce transfert est :

a) nécessaire à la sauvegarde des intérêts vitaux de la personne concernée en question ou d’une autre personne;

b) nécessaire à la sauvegarde des intérêts légitimes de la personne concernée en question;

c) essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers;

d) nécessaire dans des cas particuliers à des fins de prévention et de détection d’une forme de criminalité spécifique relevant des objectifs d’Europol, d’enquêtes et de poursuites en la matière; ou

e) nécessaire, dans des cas particuliers, à la constatation, à l’exercice ou à la défense d’un droit en justice en rapport avec la prévention et la détection d’une infraction pénale spécifique relevant des objectifs d’Europol, les enquêtes et les poursuites en la matière.

Les données à caractère personnel ne sont pas transférées si le directeur exécutif estime que les libertés et droits fondamentaux de la personne concernée prévalent sur l’intérêt public qui exige le transfert visé au premier alinéa, points d) et e), du présent paragraphe.»;

f) les paragraphes suivants sont insérés :
«6 bis. Sans préjudice du paragraphe 5, points a), c) et d), du présent article et d’autres actes juridiques de l’Union, les transferts ou transmissions de données à caractère personnel au titre des paragraphes 5 et 6 ne sont pas systématiques, en masse ou structurels.

6 ter. Europol peut demander aux États membres, par l’intermédiaire de leurs unités nationales, d’obtenir, conformément à leur droit national, des données à caractère personnel auprès de parties privées qui sont établies ou ont un représentant légal sur leur territoire, afin de les partager avec Europol. De telles demandes sont motivées et aussi précises que possible. Ces données à caractère personnel sont les moins sensibles possibles et strictement limitées à ce qui est nécessaire et proportionné aux fins de permettre à Europol de déterminer les unités nationales concernées.

Nonobstant la compétence des États membres s’agissant d’une forme de criminalité spécifique, les États membres veillent à ce que leurs autorités compétentes puissent traiter les demandes visées au premier alinéa conformément à leur droit national afin de fournir à Europol les informations qui lui nécessaires pour déterminer les unités nationales concernées.

6 quater. Les infrastructures d’Europol peuvent être utilisées pour les échanges entre les autorités compétentes des États membres et des parties privées conformément au droit national respectif. Ces échanges peuvent également porter sur des formes de criminalité qui ne relèvent pas des objectifs d’Europol.

Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité qui relèvent des objectifs d’Europol, ils peuvent accorder à Europol l’accès à ces données.

Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité qui ne relèvent pas des objectifs d’Europol, cette dernière n’a pas accès à ces données et est considérée comme un sous-traitant conformément à l’article 87 du règlement (UE) 2018/1725. Europol évalue les risques en matière de sécurité que pose le fait d’autoriser l’utilisation de ses infrastructures par des parties privées et, au besoin, met en œuvre des mesures de prévention et d’atténuation appropriées.»;

g) les paragraphes 9 et 10 sont supprimés;
h) le paragraphe suivant est ajouté :
«11. Europol prépare un rapport annuel à l’intention du conseil d’administration sur les données à caractère personnel échangées avec des parties privées en vertu des articles 26, 26 bis et 26 ter, sur la base de critères d’évaluation quantitatifs et qualitatifs fixés par le conseil d’administration. Le rapport annuel comprend des exemples spécifiques démontrant pourquoi les demandes d’Europol formulées conformément au paragraphe 6 ter du présent article étaient nécessaires pour atteindre ses objectifs et accomplir ses missions. Le rapport annuel tient compte des obligations de réserve et de confidentialité et les exemples sont anonymisés en ce qui concerne les données à caractère personnel. Ce rapport annuel est transmis au Parlement européen, au Conseil, à la Commission et aux parlements nationaux.».

20) Les articles suivants sont insérés :

«Article 26 bis

Échanges de données à caractère personnel avec des parties privées dans les situations de crise en ligne

1. Dans les situations de crise en ligne, Europol peut recevoir des données à caractère personnel directement de parties privées et les traiter conformément à l’article 18.

2. Lorsqu’Europol reçoit des données à caractère personnel d’une partie privée établie dans un pays tiers, elle ne transmet ces données et les résultats de son analyse et de la vérification de ces données qu’à un État membre, ou à un pays tiers concerné visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis. Europol peut transférer les résultats de son analyse et de la vérification des données visées au paragraphe 1 du présent article au pays tiers concerné en vertu de l’article 25, paragraphe 5 ou 6.

3. Europol peut transmettre ou transférer des données à caractère personnel à des parties privées au cas par cas, sous réserve de toute limitation notifiée en vertu de l’article 19, paragraphe 2 ou 3, et sans préjudice de l’article 67, lorsque la transmission ou le transfert de ces données est strictement nécessaire pour faire face à des situations de crise en ligne, et que les libertés et les droits fondamentaux des personnes concernées ne prévalent pas sur l’intérêt public qui exige que ces données à caractère personnel soient transmises ou transférées.

4. Lorsque la partie privée concernée n’est pas établie dans l’Union ou dans un pays tiers visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis, le transfert exige l’autorisation du directeur exécutif.

5. Europol assiste les autorités compétentes des États membres, échange des informations et coopère avec celles-ci en ce qui concerne la transmission ou le transfert de données à caractère personnel à des parties privées au titre du paragraphe 3 ou 4, en particulier afin d’éviter la duplication des efforts, de renforcer la coordination et d’éviter les interférences avec les enquêtes menées dans les différents États membres.

6. Europol peut demander aux États membres, par l’intermédiaire de leurs unités nationales, d’obtenir, conformément à leur droit national, des données à caractère personnel auprès de parties privées qui sont établies ou ont un représentant légal sur leur territoire, aux fins de partager ces données avec Europol. De telles demandes sont motivées et aussi précises que possible. Ces données à caractère personnel sont les moins sensibles possibles et strictement limitées à ce qui est nécessaire et proportionné aux fins de permettre à Europol d’aider les États membres à faire face aux situations de crise en ligne.

Nonobstant la compétence des États membres concernant la diffusion des contenus pour lesquels Europol demande les données à caractère personnel, les États membres veillent à ce que leurs autorités compétentes puissent traiter les demandes visées au premier alinéa conformément à leur droit national aux fins de fournir à Europol les informations nécessaires à la réalisation de ses objectifs.

7. Europol veille à ce qu’un relevé détaillé de tous les transferts de données à caractère personnel ainsi que des motifs de ces transferts soit conservé conformément au présent règlement. Sur demande du CEPD, Europol met à la disposition du CEPD ces relevés en application de l’article 39 bis.

8. Si les données à caractère personnel reçues ou qui doivent être transférées portent atteinte aux intérêts d’un État membre, Europol informe immédiatement l’unité nationale de l’État membre concerné.

Article 26 ter

Échange de données à caractère personnel avec des parties privées pour lutter contre la diffusion en ligne de matériel pédopornographique en ligne

1. Europol peut recevoir des données à caractère personnel directement de parties privées et les traiter conformément à l’article 18 pour lutter contre la diffusion en ligne de matériel pédopornographique en ligne, conformément à l’article 4, paragraphe 1, point y).

2. Lorsqu’Europol reçoit des données à caractère personnel d’une partie privée établie dans un pays tiers, elle ne transmet ces données et les résultats de son analyse et de la vérification de ces données qu’à l’État membre, ou au pays tiers concerné visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis.

Europol peut transférer les résultats de son analyse et de la vérification des données visées au premier alinéa du présent paragraphe au pays tiers concerné en vertu de l’article 25, paragraphe 5 ou 6.

3. Europol peut transmettre ou transférer des données à caractère personnel à des parties privées, au cas par cas, sous réserve de toute limitation notifiée en vertu de l’article 19, paragraphe 2 ou 3, et sans préjudice de l’article 67, lorsque la transmission ou le transfert de ces données est strictement nécessaire pour lutter contre la diffusion en ligne de matériel pédopornographique en ligne visée à l’article 4, paragraphe 1, point y), et que les libertés et les droits fondamentaux des personnes concernées prévalent sur l’intérêt public qui exige que ces données à caractère personnel soient transmises ou transférées.

4. Lorsque la partie privée concernée n’est pas établie dans l’Union ou dans un pays tiers visé à l’article 25, paragraphe 1, point a), b) ou c), ou à l’article 25, paragraphe 4 bis, le transfert requiert l’autorisation du directeur exécutif.

5. Europol assiste les autorités compétentes des États membres, échange des informations et coopère avec celles-ci en ce qui concerne la transmission ou le transfert de données à caractère personnel à des parties privées au titre du paragraphe 3 ou 4, en particulier afin d’éviter la duplication des efforts, de renforcer la coordination et d’éviter les interférences avec les enquêtes menées dans les différents États membres.

6. Europol peut demander aux États membres, par l’intermédiaire de leurs unités nationales, d’obtenir, conformément à leur droit national, des données à caractère personnel auprès de parties privées qui sont établies ou ont un représentant légal sur leur territoire aux fins de partager ces données avec Europol. De telles demandes sont motivées et aussi précises que possible. Ces données à caractère personnel sont les moins sensibles possibles et strictement limitées à ce qui est nécessaire et proportionné aux fins de permettre à Europol de lutter contre la diffusion en ligne de matériel pédopornographique en ligne, conformément à l’article 4, paragraphe 1, point y).

Nonobstant la compétence des États membres concernant la diffusion des contenus pour lesquels Europol demande les données à caractère personnel, les États membres veillent à ce que leurs autorités compétentes puissent traiter les demandes visées au premier alinéa conformément à leur droit national aux fins de fournir à Europol les informations nécessaires à la réalisation de ses objectifs. 

7. Europol veille à ce qu’un relevé détaillé de tous les transferts de données à caractère personnel ainsi que des motifs de ces transferts soit conservé conformément au présent règlement. Sur demande du CEPD, Europol met à la disposition du CEPD ces relevés en application de l’article 39 bis.

8. Si les données à caractère personnel reçues ou qui doivent être transférées portent atteinte aux intérêts d’un État membre, Europol informe immédiatement l’unité nationale de l’État membre concerné.».
21) À l’article 27, les paragraphes 1 et 2 sont remplacés par le texte suivant :

«1. Dans la mesure où cela est nécessaire à l’accomplissement de ses missions, Europol peut recevoir et traiter des informations émanant de personnes privées. Europol ne traite des données à caractère personnel émanant de personnes privées qu’à condition de les avoir reçues par l’intermédiaire :

a) d’une unité nationale, conformément au droit national;

b) du point de contact d’un pays tiers ou d’une organisation internationale en vertu de l’article 25, paragraphe 1, point c); ou

c) d’une autorité d’un pays tiers ou d’une organisation internationale visé à l’article 25, paragraphe 1, point a), ou b), ou à l’article 25, paragraphe 4 bis.

2. Lorsqu’Europol reçoit des informations, y compris des données à caractère personnel, d’une personne privée résidant dans un pays tiers autre que celui visé à l’article 25, paragraphe 1, point a) ou b), ou à l’article 25, paragraphe 4 bis, Europol ne transmet ces informations qu’à un État membre ou à ce pays tiers.».

22) le titre du chapitre VI est remplacé par le texte suivant :

«PROTECTION DES DONNÉES».

23) L’article suivant est inséré :

«Article 27 bis

Traitement des données à caractère personnel par Europol

1. Sans préjudice du présent règlement, l’article 3 et le chapitre IX du règlement (UE) 2018/1725 s’appliquent au traitement des données à caractère personnel par Europol. Le règlement (UE) 2018/1725, à l’exception du chapitre IX, s’applique au traitement de données administratives à caractère personnel par Europol.

2. Les références aux “données à caractère personnel” dans le présent règlement s’entendent comme des références aux “données opérationnelles à caractère personnel” au sens de l’article 3, point 2), du règlement (UE) 2018/1725, sauf disposition contraire du présent règlement.

3. Le conseil d’administration adopte des règles fixant les délais de conservation des données administratives à caractère personnel.».

24) L’article 28 est supprimé.

25) L’article 30 est modifié comme suit :
a) au paragraphe 2, la première phrase est remplacée par le texte suivant :
«2. Le traitement de données à caractère personnel, par des moyens automatisés ou autres, qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale et le traitement de données génétiques, de données biométriques aux fins d’identifier une personne physique de manière unique, ou de données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique n’est autorisé que lorsque cela est strictement nécessaire et proportionné aux fins de projets de recherche et d’innovation menés en vertu de l’article 33 bis et à des fins opérationnelles, dans le cadre des objectifs d’Europol, et dans le seul but de prévenir ou de combattre les formes de criminalité relevant des objectifs d’Europol. Un tel traitement de données s’effectue également sous réserve des garanties appropriées prévues dans le présent règlement concernant les droits et libertés de la personne concernée et, à l’exception du traitement de données biométriques aux fins d’identifier une personne physique de manière unique, n’est autorisé que si ces données complètent d’autres données à caractère personnel traitées par Europol.»; 

b) le paragraphe suivant est inséré :
«2 bis. Le délégué à la protection des données est informé sans retard injustifié de tout traitement de données à caractère personnel effectué en vertu du présent article.»;

c) le paragraphe 3 est remplacé par le texte suivant :
«3. Europol a l’exclusivité de l’accès direct aux données à caractère personnel visées aux paragraphes 1 et 2. Le directeur exécutif autorise dûment un nombre limité de membres du personnel d’Europol à avoir cet accès s’il est nécessaire à l’exécution de leurs tâches. Nonobstant le premier alinéa, lorsqu’il est nécessaire d’accorder au personnel des autorités compétentes des États membres ou des agences de l’Union instituées sur la base du titre V du traité sur le fonctionnement de l’Union européenne un accès direct aux données à caractère personnel pour l’exécution de leurs tâches, dans les cas prévus à l’article 20, paragraphes 1 et 2 bis, du présent règlement ou pour des projets de recherche et d’innovation menés conformément à l’article 33 bis, paragraphe 2, point d), du présent règlement, le directeur exécutif autorise dûment un nombre limité de ces membres de personnel à avoir cet accès.»;

d) le paragraphe 4 est supprimé;

e) le paragraphe 5 est remplacé par le texte suivant :
«5. Les données à caractère personnel visées aux paragraphes 1 et 2 ne sont pas transmises à des États membres ou à des organes de l’Union ou transférées vers des pays tiers ou à des organisations internationales, à moins que cette transmission ou ce transfert ne soit requis par le droit de l’Union ou strictement nécessaire et proportionné dans des cas particuliers concernant des formes de criminalité relevant des objectifs d’Europol et que cela ne soit conforme au chapitre V.».

26) L’article 32 est remplacé par le texte suivant :

«Article 32

Sécurité du traitement

Des mécanismes visant à garantir que des mesures de sécurité sont prises en compte au-delà des limites des systèmes d’information sont mis en place par Europol conformément à l’article 91 du règlement (UE) 2018/1725 et par les États membres conformément à l’article 29 de la directive (UE) 2016/680.».

27) L’article 33 est supprimé.

28) L’article suivant est inséré :

«Article 33 bis

Traitement de données à caractère personnel à des fins de recherche et d’innovation

1. Europol peut traiter des données à caractère personnel aux fins de ses projets de recherche et d’innovation, à condition que le traitement de ces données à caractère personnel :
a) soit strictement nécessaire et dûment motivé pour atteindre les objectifs du projet concerné;

b) en ce qui concerne des catégories particulières de données à caractère personnel, soit strictement nécessaire et s’accompagne de garanties appropriées pouvant inclure la pseudonymisation.

Le traitement de données à caractère personnel par Europol dans le cadre de projets de recherche et d’innovation est guidé par les principes de transparence, d’explicabilité, d’équité et de responsabilité.

2. Sans préjudice du paragraphe 1, pour le traitement de données à caractère personnel effectué dans le cadre de projets de recherche et d’innovation d’Europol, les garanties suivantes s’appliquent :
a) tout projet de recherche et d’innovation requiert l’autorisation préalable du directeur exécutif, en consultation avec le délégué à la protection des données et l’officier aux droits fondamentaux, sur la base :
i) d’une description des objectifs du projet et d’une explication de la manière dont ce dernier soutient Europol ou les autorités compétentes des États membres dans l’accomplissement de leurs tâches; 
ii) d’une description de l’activité de traitement envisagée, expliquant les objectifs, l’ampleur et la durée du traitement, ainsi que la nécessité et la proportionnalité du traitement des données à caractère personnel, par exemple pour étudier et expérimenter des solutions technologiques innovantes et garantir l’exactitude des résultats du projet;
iii) d’une description des catégories de données à caractère personnel à traiter;
iv) d’une évaluation du respect des principes en matière de protection des données énoncés à l’article 71 du règlement (UE) 2018/1725, des délais pour la conservation des données à caractère personnel et des conditions d’accès à ces données; et
v) d’une analyse d’impact relative à la protection des données, y compris en ce qui concerne les risques pour les droits et libertés des personnes concernées, le risque de tout biais éventuel dans les données à caractère personnel à utiliser lors de l’entraînement des algorithmes et dans les résultats du traitement, et les mesures envisagées pour faire face à ces risques ainsi que pour éviter toute atteinte aux droits fondamentaux;

b) le CEPD est informé préalablement au lancement du projet;

c) le conseil d’administration est consulté ou informé préalablement au lancement du projet, conformément aux lignes directrices visées à l’article 18, paragraphe 7;

d) les données à caractère personnel devant être traitées dans le cadre du projet :
i) sont temporairement copiées dans un environnement de traitement des données séparé, isolé et protégé au sein d’Europol à la seule fin de la réalisation de ce projet;
ii) sont accessibles par les seuls membres du personnel expressément autorisés d’Europol conformément à l’article 30, paragraphe 3, du présent règlement et, sous réserve de mesures de sécurité techniques, par les membres du personnel expressément autorisés des autorités compétentes des États membres et des agences de l’Union instituées sur la base du titre V du traité sur le fonctionnement de l’Union européenne;
iii) ne sont pas transmises ou transférées;
iv) leur traitement ne débouche pas sur des mesures ou des décisions affectant les personnes concernées;
v) sont effacées une fois que le projet est achevé ou que le délai de conservation de ces données a expiré conformément à l’article 31;

e) les journaux des traitements de données à caractère personnel effectués dans le cadre du projet sont conservés pendant deux ans après la conclusion du projet, aux seules fins de vérifier l’exactitude du résultat du traitement des données et uniquement pour la durée nécessaire à cette vérification.

3. Le conseil d’administration définit dans un document contraignant le cadre général pour les projets de recherche et d’innovation. Ce document est actualisé en tant que de besoin et est mis à la disposition du CEPD à des fins de contrôle.

4. Europol conserve un document contenant une description détaillée du processus et de la justification de l’entraînement, de l’expérimentation et de la validation des algorithmes pour garantir la transparence du processus et des algorithmes, y compris leur conformité avec les garanties prévues au présent article, et pour permettre la vérification de l’exactitude des résultats basés sur l’utilisation de ces algorithmes. Sur demande, Europol met ce document à la disposition des parties intéressées, y compris les États membres et le groupe de contrôle parlementaire conjoint.

5. Si les données à traiter pour un projet de recherche et d’innovation ont été fournies par un État membre, un organe de l’Union, un pays tiers ou une organisation internationale, Europol demande le consentement dudit fournisseur de données conformément à l’article 19, paragraphe 2, sauf si le fournisseur de données a donné son accord préalable à ce traitement aux fins de projets de recherche et d’innovation, en termes généraux ou sous réserve de conditions spécifiques.

Europol ne traite pas de données aux fins de projets de recherche et d’innovation sans le consentement du fournisseur de données. Ce consentement peut être retiré à tout moment.». 

29) L’article 34 est modifié comme suit :
a) le paragraphe 1 est remplacé par le texte suivant :
«1. Sans préjudice de l’article 92 du règlement (UE) 2018/1725, en cas de violation de données à caractère personnel, Europol en informe les autorités compétentes des États membres concernés, sans retard injustifié, conformément à l’article 7, paragraphe 5, du présent règlement, ainsi que le fournisseur de données concerné, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés de personnes physiques.»;

b) le paragraphe 3 est supprimé.

30) L’article 35 est modifié comme suit :
a) les paragraphes 1 et 2 sont supprimés;

b) le paragraphe 3 est remplacé par le texte suivant :
«Sans préjudice de l’article 93 du règlement (UE) 2018/1725, si Europol n’a pas les coordonnées de la personne concernée, elle demande au fournisseur de données de communiquer la violation des données à caractère personnel à la personne concernée et d’être informée de la décision prise. Les États membres qui fournissent les données communiquent la violation des données à caractère personnel à la personne concernée conformément au droit national.»;

c) les paragraphes 4 et 5 sont supprimés.

31) L’article 36 est modifié comme suit :
a) les paragraphes 1 et 2 sont supprimés;

b) le paragraphe 3 est remplacé par le texte suivant :
«3. Toute personne concernée souhaitant exercer le droit d’accès, visé à l’article 80 du règlement (UE) 2018/1725, à des données à caractère personnel la concernant peut introduire une demande à cet effet auprès de l’autorité désignée à cette fin dans l’État membre de son choix ou d’Europol. Lorsque la demande est adressée à cette autorité, celle-ci la fait suivre sans retard injustifié à Europol et, en tout état de cause, dans un délai d’un mois à compter de la réception de la demande.»;

c) les paragraphes 6 et 7 sont supprimés.

32) L’article 37 est modifié comme suit :
a) le paragraphe 1 est remplacé par le texte suivant :
«1. Toute personne concernée souhaitant, pour des données à caractère personnel la concernant visées à l’article 82 du règlement (UE) 2018/1725, exercer le droit de rectification ou d’effacement de ces données ou de limitation du traitement de ces données peut introduire une demande à cet effet par l’intermédiaire de l’autorité désignée à cette fin dans l’État membre de son choix ou auprès d’Europol. Lorsque cette demande est adressée à cette autorité, celle-ci la fait suivre sans retard injustifié à Europol et dans un délai d’un mois à compter de la réception de la demande.»;

b) le paragraphe 2 est supprimé;

c) les paragraphes 3, 4 et 5 sont remplacés par le texte suivant :
«3. Sans préjudice de l’article 82, paragraphe 3, du règlement (UE) 2018/1725, Europol soumet à limitation le traitement des données à caractère personnel plutôt qu’elle n’efface les données à caractère personnel lorsqu’il y a de bonnes raisons de croire que leur effacement pourrait porter atteinte aux intérêts légitimes de la personne concernée.

Les données soumises à limitation ne sont traitées qu’aux fins de protéger les droits de la personne concernée, lorsque cela est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne ou aux fins visées à l’article 82, paragraphe 3, du règlement (UE) 2018/1725.

4. Lorsque des données à caractère personnel visées aux paragraphes 1 et 3 détenues par Europol lui ont été fournies par des pays tiers, des organisations internationales ou des organes de l’Union, ont été fournies directement par des parties privées, ont été extraites par Europol auprès de sources accessibles au public ou résultent des propres analyses d’Europol, Europol rectifie ou efface ces données ou soumet à limitation leur traitement et informe, le cas échéant, les fournisseurs de données. 

5. Lorsque des données à caractère personnel visées aux paragraphes 1 et 3 détenues par Europol lui ont été fournies par des États membres, les États membres concernés rectifient ou effacent ces données ou soumettent à limitation leur traitement en coopération avec Europol, dans le cadre de leurs compétences respectives.»;

d) les paragraphes 8 et 9 sont supprimés.

33) L’article 38 est modifié comme suit :
a) le paragraphe 1 est remplacé par le texte suivant :
«1. Europol traite les données à caractère personnel d’une manière permettant d’établir leur source, conformément à l’article 17.»;

b) au paragraphe 2, la partie introductive est remplacée par le texte suivant :
«2. La responsabilité de l’exactitude des données à caractère personnel, visée à l’article 71, paragraphe 1, point d), du règlement (UE) 2018/1725, incombe:»;

c) le paragraphe 4 est remplacé par le texte suivant :
«4. Europol est responsable du respect du règlement (UE) 2018/1725 en ce qui concerne les données administratives à caractère personnel et du respect du présent règlement ainsi que de l’article 3 et du chapitre IX du règlement (UE) 2018/1725 en ce qui concerne les données à caractère personnel.»;

d) au paragraphe 7, la troisième phrase est remplacée par le texte suivant :
«La sécurité de ces échanges est assurée conformément à l’article 91 du règlement (UE) 2018/1725.».

34) L’article 39 est remplacé par le texte suivant :

«Article 39

Consultation préalable

1. Sans préjudice de l’article 90 du règlement (UE) 2018/1725, la consultation préalable du CEPD ne s’applique pas aux activités opérationnelles individuelles spécifiques ne comportant aucun nouveau type de traitement qui présenterait des risques élevés pour les libertés et les droits des personnes concernées.

2. Europol peut engager des opérations de traitement qui font l’objet d’une consultation préalable du CEPD en vertu de l’article 90, paragraphe 1, du règlement (UE) 2018/1725, à moins que le CEPD n’ait fourni un avis écrit en vertu de l’article 90, paragraphe 4, dudit règlement dans les délais prévus dans ladite disposition, qui commencent à courir à la date de réception de la demande initiale de consultation et ne peuvent pas être suspendus.

3. Lorsque les opérations de traitement visées au paragraphe 2 du présent article revêtent une importance essentielle pour l’exécution des missions d’Europol et sont particulièrement urgentes et nécessaires pour prévenir et combattre une menace immédiate d’une forme de criminalité qui relève des objectifs d’Europol ou pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne, Europol peut exceptionnellement engager le traitement après le début de la consultation préalable du CEPD prévue à l’article 90, paragraphe 1, du règlement (UE) 2018/1725 et avant l’expiration du délai prévu à l’article 90, paragraphe 4, dudit règlement. Dans ce cas, Europol informe le CEPD préalablement au début des opérations de traitement.

L’avis écrit du CEPD en vertu de l’article 90, paragraphe 4, du règlement (UE) 2018/1725 est pris en compte rétrospectivement et la manière dont le traitement est effectué est adaptée en conséquence.

Le délégué à la protection des données est associé à l’évaluation de l’urgence de telles opérations de traitement avant l’expiration du délai prévu à l’article 90, paragraphe 4, du règlement (UE) 2018/1725 et supervise le traitement en question.

4. Le CEPD tient un registre de toutes les opérations de traitement qui lui ont été notifiées en vertu du paragraphe 1. Ce registre n’est pas rendu public.».

35) L’article suivant est inséré :

«Article 39 bis

Registre des catégories d’activités de traitement

1. Europol tient un registre de toutes les catégories d’activités de traitement effectuées sous sa responsabilité. Ce registre contient les informations suivantes :

a) les coordonnées d’Europol ainsi que le nom et les coordonnées du délégué à la protection des données;

b) les finalités du traitement;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers, à une organisation internationale ou à une partie privée, y compris l’identification de ce destinataire;

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 91 du règlement (UE) 2018/1725;

h) le cas échéant, le recours au profilage.

2. Le registre visé au paragraphe 1 se présente sous une forme écrite, y compris électronique.

3. Europol met le registre visé au paragraphe 1 à la disposition du CEPD sur demande.».

36) L’article 40 est remplacé par le texte suivant :

«Article 40

Journalisation

1. Conformément à l’article 88 du règlement (UE) 2018/1725, Europol établit des journaux de ses opérations de traitement. Il n’est pas possible de modifier les journaux.

2. Sans préjudice de l’article 88 du règlement (UE) 2018/1725, si une unité nationale le requiert pour une enquête spécifique liée au respect des règles en matière de protection des données, les journaux visés au paragraphe 1 sont communiqués à cette unité nationale.».

37) L’article 41 est remplacé par le texte suivant :

«Article 41

Désignation du délégué à la protection des données

1. Le conseil d’administration désigne un membre du personnel d’Europol en tant que délégué à la protection des données, qui est désigné pour cette seule fonction.

2. Le délégué à la protection des données est choisi sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 41 ter du présent règlement et dans le règlement (UE) 2018/1725.

3. Le choix du délégué à la protection des données ne doit pas donner lieu à un conflit d’intérêts entre sa fonction de délégué à la protection des données et toute autre fonction officielle qu’il pourrait exercer, en particulier dans le cadre de l’application du présent règlement.

4. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le conseil d’administration pour l’exercice de ses missions.

5. Europol publie les coordonnées du délégué à la protection des données et les communique au CEPD.». 

38) Les articles suivants sont insérés :

«Article 41 bis

Fonction du délégué à la protection des données

1. Europol veille à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

2. Europol aide le délégué à la protection des données à exercer les missions visées à l’article 41 ter en fournissant les ressources et le personnel nécessaires pour exercer ces missions ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d’entretenir ses connaissances spécialisées. Afin de soutenir le délégué à la protection des données dans l’exercice de ses missions, un membre du personnel d’Europol peut être désigné en tant qu’adjoint au délégué à la protection des données.

3. Europol veille à ce que le délégué à la protection des données agisse en toute indépendance et ne reçoive aucune instruction en ce qui concerne l’exercice de ces missions. Le délégué à la protection des données rend compte directement au conseil d’administration.

4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confèrent le présent règlement et le règlement (UE) 2018/1725. Aucune personne ne doit subir de préjudice pour avoir porté à l’attention du délégué à la protection des données un fait dont elle allègue qu’il constitue une violation du présent règlement ou du règlement (UE) 2018/1725.

5. Le conseil d’administration adopte des dispositions d’application concernant le délégué à la protection des données. Ces dispositions d’application portent notamment sur la procédure de sélection du délégué à la protection des données, sur sa révocation, ses missions, ses fonctions et ses compétences, ainsi que sur les moyens de garantir son indépendance.

6. Le délégué à la protection des données et son personnel sont tenus à l’obligation de confidentialité conformément à l’article 67, paragraphe 1.

7. Le délégué à la protection des données est nommé pour une période de quatre ans et son mandat est renouvelable.

8. Le délégué à la protection des données est démis de ses fonctions par le conseil d’administration s’il ne remplit plus les conditions requises pour l’exercice de ses fonctions et il ne l’est qu’avec l’accord du CEPD.

9. Les noms du délégué à la protection des données et de l’adjoint au délégué à la protection des données sont communiqués au CEPD par le conseil d’administration.

10. Les dispositions applicables au délégué à la protection des données s’appliquent mutatis mutandis à l’adjoint au délégué à la protection des données.

Article 41 ter

Missions du délégué à la protection des données

1. Le délégué à la protection des données exerce notamment les missions ci-après, en ce qui concerne le traitement de données à caractère personnel :

a) veiller en toute indépendance au respect, par Europol, des dispositions du présent règlement et du règlement (UE) 2018/1725 en matière de protection des données ainsi que des dispositions pertinentes des règles internes d’Europol relatives à la protection des données, y compris le contrôle du respect du présent règlement, du règlement (UE) 2018/1725, d’autres dispositions du droit de l’Union ou du droit national en matière de protection des données et des politiques d’Europol en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant à des opérations de traitement, et les audits s’y rapportant;

b) informer et conseiller Europol et le personnel qui procède au traitement de données à caractère personnel sur les obligations qui leur incombent en vertu du présent règlement, du règlement (UE) 2018/1725 et d’autres dispositions du droit de l’Union ou du droit national en matière de protection des données; 

c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données en vertu de l’article 89 du règlement (UE) 2018/1725 et contrôler l’exécution de cette analyse d’impact relative à la protection des données;

d) tenir un registre des violations de données à caractère personnel et dispenser des conseils, sur demande, en ce qui concerne la nécessité d’une notification ou d’une communication d’une violation de données à caractère personnel conformément aux articles 92 et 93 du règlement (UE) 2018/1725;

e) veiller à ce qu’une trace écrite de la transmission, du transfert et de la réception des données à caractère personnel soit conservée conformément au présent règlement;

f) veiller à ce que les personnes concernées soient, à leur demande, informées des droits qui leur sont conférés par le présent règlement et le règlement (UE) 2018/1725;

g) coopérer avec le personnel d’Europol chargé des procédures, de la formation et du conseil en matière de traitement des données;

h) répondre aux demandes du CEPD, dans son domaine de compétences, coopérer et se concerter avec le CEPD, sur demande de celui-ci ou de sa propre initiative;

i) coopérer avec les autorités compétentes des États membres, en particulier avec les délégués à la protection des données des autorités compétentes des États membres et les autorités de contrôle nationales en ce qui concerne les questions relatives à la protection des données dans le domaine répressif;

j) faire office de point de contact pour le CEDP pour les questions relatives au traitement, y compris la consultation préalable visée aux articles 40 et 90 du règlement (UE) 2018/1725, et mener des consultations, le cas échéant, sur tout autre sujet dans son domaine de compétences;

k) élaborer un rapport annuel et le communiquer au conseil d’administration et au CEPD;

l) veiller à ce que les opérations de traitement ne portent pas atteinte aux droits et libertés des personnes concernées.

2. Le délégué à la protection des données peut formuler des recommandations à l’intention du conseil d’administration visant à améliorer concrètement la protection des données et dispenser des conseils sur des questions touchant à l’application des dispositions relatives à la protection des données.

De sa propre initiative ou à la demande du conseil d’administration ou de toute personne, le délégué à la protection des données peut examiner des questions et des faits qui sont directement en rapport avec ses missions et qui sont portés à sa connaissance, et faire rapport à la personne qui a demandé cet examen ou au conseil d’administration sur les résultats de cet examen.

3. Le délégué à la protection des données exerce les fonctions prévues par le règlement (UE) 2018/1725 en ce qui concerne les données administratives à caractère personnel.

4. Dans l’accomplissement de leurs missions, le délégué à la protection des données et les membres du personnel d’Europol qui l’assistent dans l’exercice de ses fonctions ont accès à toutes les données traitées par Europol ainsi qu’à tous les locaux d’Europol.

5. Si le délégué à la protection des données estime que les dispositions du présent règlement ou du règlement (UE) 2018/1725 relatives au traitement des données administratives à caractère personnel, ou les dispositions du présent règlement ou de l’article 3 et du chapitre IX du règlement (UE) 2018/1725 relatives au traitement des données à caractère personnel n’ont pas été respectées, il en informe le directeur exécutif et lui demande d’y remédier dans un délai déterminé.

Si le directeur exécutif ne remédie pas au problème dans le délai imparti, le délégué à la protection des données en informe le conseil d’administration. Le conseil d’administration transmet sa réponse dans un délai déterminé convenu avec le délégué à la protection des données. Si le conseil d’administration ne remédie pas au problème dans le délai imparti, le délégué à la protection des données saisit le CEPD.

Article 41 quater

Officier aux droits fondamentaux

1. Le conseil d’administration désigne, sur proposition du directeur exécutif, un officier aux droits fondamentaux. L’officier aux droits fondamentaux peut être un membre du personnel existant d’Europol qui a reçu une formation spéciale sur le droit et la pratique en matière de droits fondamentaux. 

2. L’officier aux droits fondamentaux est chargé des tâches suivantes :

a) fournir des conseils à Europol sur toute activité de celle-ci lorsqu’il le juge nécessaire ou lorsqu’on lui en fait la demande, sans pour autant entraver ni retarder ces activités;

b) surveiller le respect des droits fondamentaux par Europol;

c) émettre des avis non contraignants sur les arrangements de travail;

d) informer le directeur exécutif au sujet d’éventuelles violations des droits fondamentaux au cours des activités d’Europol;

e) promouvoir le respect des droits fondamentaux par Europol dans l’exercice de ses missions et activités;

f) effectuer toute autre tâche prévue par le présent règlement.

3. Europol veille à ce que l’officier aux droits fondamentaux ne reçoive aucune instruction en ce qui concerne l’exercice de ses tâches.

4. L’officier aux droits fondamentaux rend compte directement au directeur exécutif et prépare des rapports annuels sur ses activités, y compris sur la mesure dans laquelle les activités d’Europol respectent les droits fondamentaux. Ces rapports sont mis à la disposition du conseil d’administration.

Article 41 quinquies

Formation aux droits fondamentaux

L’ensemble du personnel d’Europol participant à des tâches opérationnelles impliquant le traitement de données à caractère personnel reçoit une formation obligatoire relative à la protection des libertés et droits fondamentaux, y compris en ce qui concerne le traitement des données à caractère personnel. Cette formation est mise au point en coopération avec l’Agence des droits fondamentaux de l’Union européenne (FRA), créée par le règlement (CE) n°168/2007 du Conseil (*), et l’Agence de l’Union européenne pour la formation des services répressifs (CEPOL), instituée par le règlement (UE) 2015/2219 du Parlement européen et du Conseil (**).

___________
(*) Règlement (CE) n°168/2007 du Conseil du 15 février 2007 portant création d’une Agence des droits fondamentaux de l’Union européenne (JO L 53 du 22.2.2007, p. 1).
(**) Règlement (UE) 2015/2219 du Parlement européen et du Conseil du 25 novembre 2015 sur l’Agence de l’Union européenne pour la formation des services répressifs (CEPOL) et remplaçant et abrogeant la décision 2005/681/JAI du Conseil (JO L 319 du 4.12.2015, p. 1).».

39) À l’article 42, les paragraphes 1 et 2 sont remplacés par le texte suivant :
«1. Pour exercer leur fonction de contrôle, les autorités de contrôle nationales visées à l’article 41 de la directive (UE) 2016/680 ont accès, auprès de l’unité nationale ou dans les locaux des officiers de liaison, aux données transmises à Europol par leur État membre conformément aux procédures nationales applicables ainsi qu’aux journaux visés à l’article 40 du présent règlement.

2. Les autorités de contrôle nationales ont accès aux bureaux et aux dossiers de leurs officiers de liaison respectifs auprès d’Europol.».

40) L’article 43 est modifié comme suit :

a) au paragraphe 1, la première phrase est remplacée par le texte suivant :
«1. Le CEPD est chargé de surveiller et de garantir l’application des dispositions du présent règlement et du règlement (UE) 2018/1725 concernant la protection des libertés et droits fondamentaux des personnes physiques à l’égard des traitements de données à caractère personnel effectués par Europol, ainsi que de conseiller Europol et les personnes concernées sur toutes les questions concernant le traitement des données à caractère personnel.»; 

b) au paragraphe 3, les points suivants sont ajoutés :
«j) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec le présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé; k) ordonner la suspension des flux de données vers un destinataire situé dans un État membre ou un pays tiers ou vers une organisation internationale;

l) imposer une amende administrative dans le cas où Europol ne se conformerait pas à l’une des mesures visées aux points c), e), f), j) et k) du présent paragraphe, en fonction des circonstances propres à chaque cas.»;

c) le paragraphe 5 est remplacé par le texte suivant :
«5. Le CEPD prépare un rapport annuel sur ses activités de contrôle portant sur Europol. Ce rapport est intégré au rapport annuel du CEPD visé à l’article 60 du règlement (UE) 2018/1725. Le CEPD invite les autorités de contrôle nationales à présenter des observations sur cette partie du rapport annuel avant que le rapport annuel ne soit adopté.

Le CEPD tient le plus grand compte de ces observations et en fait état dans le rapport annuel.

La partie du rapport annuel visée au deuxième alinéa comprend des informations statistiques concernant les réclamations, les recherches et les enquêtes, ainsi que les transferts de données à caractère personnel vers des pays tiers et à des organisations internationales, les cas de consultation préalable du CEPD et l’utilisation des pouvoirs énoncés au paragraphe 3 du présent article.».

41) L’article 44 est modifié comme suit :

a) le paragraphe 2 est remplacé par le texte suivant :
«2. Dans les cas visés au paragraphe 1, un contrôle coordonné est exercé conformément à l’article 62 du règlement (UE) 2018/1725. Le CEPD recourt à l’expertise et à l’expérience des autorités de contrôle nationales dans l’exercice de ses fonctions décrites à l’article 43, paragraphe 2, du présent règlement.

Lorsqu’ils effectuent des inspections communes en collaboration avec le CEPD, les membres et le personnel des autorités de contrôle nationales, disposent de pouvoirs équivalents à ceux prévus à l’article 43, paragraphe 4, du présent règlement et sont tenus à une obligation équivalente à celle prévue à l’article 43, paragraphe 6, du présent règlement, dans le respect des principes de subsidiarité et de proportionnalité.»;

b) le paragraphe 4 est remplacé par le texte suivant :
«4. Dans certains cas portant sur des données provenant d’un ou de plusieurs États membres, y compris les cas visés à l’article 47, paragraphe 2, le CEPD consulte les autorités de contrôle nationales concernées. Le CEPD ne décide pas des suites à donner avant que ces autorités de contrôle nationales ne l’aient informé de leur avis, dans un délai qu’il précise et qui ne peut être inférieur à un mois ni supérieur à trois mois à partir du moment où le CEPD consulte les autorités de contrôle nationales concernées. Le CEPD tient le plus grand compte des avis respectifs des autorités de contrôle nationales concernées. Lorsque le CEPD a l’intention de ne pas se conformer à l’avis d’une autorité de contrôle nationale, il en informe ladite autorité, lui fournit une justification et soumet la question au comité européen de la protection des données.».

42) Les articles 45 et 46 sont supprimés.

43) L’article 47 est modifié comme suit :

a) le paragraphe 1 est remplacé par le texte suivant :
«1. Toute personne concernée a le droit d’introduire une réclamation auprès du CEPD si elle estime que le traitement, par Europol, de données à caractère personnel la concernant n’est pas conforme au présent règlement ou au règlement (UE) 2018/1725.»;

b) au paragraphe 2, la première phrase est remplacée par le texte suivant :
«2. Lorsque la réclamation concerne une décision visée à l’article 36 ou 37 du présent règlement ou à l’article 81 ou 82 du règlement (UE) 2018/1725, le CEPD consulte les autorités de contrôle nationales de l’État membre qui a fourni les données ou de l’État membre directement concerné.»; 

c) le paragraphe suivant est ajouté :
«5. Le CEPD informe la personne concernée de l’état d’avancement et de l’issue de la réclamation ainsi que de la possibilité de former un recours juridictionnel en vertu de l’article 48.».

44) L’article 50 est remplacé par le texte suivant :

«Article 50

Droit à réparation

1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir réparation conformément à l’article 65 du règlement (UE) 2018/1725 et à l’article 56 de la directive (UE) 2016/680.

2. Le conseil d’administration est saisi de tout litige entre Europol et les États membres quant à la responsabilité ultime en matière de réparation accordée à une personne ayant subi un dommage matériel ou moral conformément au paragraphe 1 du présent article. Le conseil d’administration statue sur cette responsabilité à la majorité des deux tiers de ses membres, sans préjudice du droit de former un recours contre cette décision conformément à l’article 263 du traité sur le fonctionnement de l’Union européenne.».

45) L’article 51 est modifié comme suit :

a) le paragraphe 3 est modifié comme suit :
i) le point d) est remplacé par le texte suivant :
«d) le rapport d’activité annuel consolidé sur les activités d’Europol, visé à l’article 11, paragraphe 1, point c), y compris les informations pertinentes sur les activités d’Europol et les résultats obtenus dans le cadre du traitement de vastes ensembles de données, sans divulguer de détails opérationnels et sans préjudice d’éventuelles enquêtes en cours;»;

ii) les points suivants sont ajoutés :
«f) des informations annuelles en vertu de l’article 26, paragraphe 11, sur les données à caractère personnel échangées avec des parties privées en vertu des articles 26, 26 bis et 26 ter, y compris une évaluation de l’efficacité de la coopération, des exemples spécifiques de cas démontrant les raisons pour lesquelles ces demandes étaient nécessaires et proportionnées aux fins de permettre à Europol de réaliser ses objectifs et d’accomplir ses missions et, en ce qui concerne les échanges de données à caractère personnel en vertu de l’article 26 ter, le nombre d’enfants recensés grâce à ces échanges dans la mesure où Europol dispose de ces informations;

g) des informations annuelles sur le nombre de cas dans lesquels il a été nécessaire pour Europol de traiter des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II afin de soutenir les États membres dans une enquête pénale spécifique en cours conformément à l’article 18 bis, ainsi que des informations sur la durée et les résultats des opérations de traitement, y compris des exemples de cas démontrant les raisons pour lesquelles ces traitements de données étaient nécessaires et proportionnés;

h) des informations annuelles sur les transferts de données à caractère personnel vers des pays tiers et à des organisations internationales en vertu de l’article 25, paragraphe 1 ou 4 bis, ventilées par base juridique, ainsi que sur le nombre de cas dans lesquels le directeur exécutif a autorisé, en vertu de l’article 25, paragraphe 5, le transfert ou les catégories de transferts de données à caractère personnel liées à une enquête pénale spécifique en cours vers des pays tiers ou à des organisations internationales, y compris des informations relatives aux pays concernés et à la durée de l’autorisation;

i) des informations annuelles sur le nombre de cas dans lesquels Europol a proposé l’introduction éventuelle de signalements pour information conformément à l’article 4, paragraphe 1, point t), y compris des exemples spécifiques de cas démontrant les raisons pour lesquelles l’introduction de ces signalements a été proposée;

j) des informations annuelles sur le nombre de projets de recherche et d’innovation entrepris, y compris des informations sur les finalités de ces projets, les catégories de données à caractère personnel traitées, les garanties supplémentaires utilisées, y compris la minimisation des données, les besoins de l’action répressive auxquels ces projets visent à répondre et les résultats de ces projets;

k) des informations annuelles sur le nombre de cas dans lesquels Europol a eu recours au traitement temporaire conformément à l’article 18, paragraphe 6 bis, et, le cas échéant, le nombre de cas dans lesquels la période de traitement a été prolongée;

l) des informations annuelles sur le nombre et les types de cas dans lesquels des catégories particulières de données à caractère personnel ont été traitées, conformément à l’article 30, paragraphe 2. Les exemples visés aux points f) et i) sont anonymisés en ce qui concerne les données à caractère personnel.

Les exemples visés au point g) sont anonymisés en ce qui concerne les données à caractère personnel, sans divulguer de détails opérationnels et sans préjudice d’éventuelles enquêtes en cours.»;

b) le paragraphe 5 est remplacé par le texte suivant :
«5. Le groupe de contrôle parlementaire conjoint peut établir des conclusions sommaires concernant le contrôle politique des activités d’Europol, y compris formuler des recommandations spécifiques non contraignantes à l’intention d’Europol, et soumettre ces conclusions au Parlement européen et aux parlements nationaux. Le Parlement européen transmet ces conclusions pour information au Conseil, à la Commission et à Europol.».

46) L’article suivant est inséré :

«Article 52 bis

Forum consultatif

1. Le groupe de contrôle parlementaire conjoint crée un forum consultatif pour l’assister, sur demande, en lui fournissant des conseils en toute indépendance dans les matières concernant les droits fondamentaux. Le groupe de contrôle parlementaire conjoint et le directeur exécutif peuvent consulter le forum consultatif au sujet de toute question liée aux droits fondamentaux.

2. Le groupe de contrôle parlementaire conjoint détermine la composition du forum consultatif, ses méthodes de travail et les modalités de transmission des informations au forum consultatif.».

47) À l’article 58, le paragraphe 9 est remplacé par le texte suivant :
«9. Le règlement délégué (UE) 2019/715 s’applique à tout projet immobilier susceptible d’avoir des incidences notables sur le budget d’Europol.».

48) L’article 60 est modifié comme suit :

a) le paragraphe 4 est remplacé par le texte suivant :
«4. Dès réception des observations formulées par la Cour des comptes sur les comptes provisoires d’Europol de l’année N en vertu de l’article 246 du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (*), le comptable d’Europol établit les comptes définitifs d’Europol pour ladite année. Le directeur exécutif soumet ensuite ces comptes définitifs pour avis au conseil d’administration.

___________
(*) Règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l’Union, modifiant les règlements (UE) n°1296/2013, (UE) n°1301/2013, (UE) n°1303/2013, (UE) n°1304/2013, (UE) n°1309/2013, (UE) n°1316/2013, (UE) n°223/2014, (UE) n°283/2014 et la décision n°541/2014/UE, et abrogeant le règlement (UE, Euratom) n°966/2012 (JO L 193 du 30.7.2018, p. 1).»;

b) le paragraphe 9 est remplacé par le texte suivant :
«9. À la demande du Parlement européen, le directeur exécutif lui soumet toute information nécessaire au bon déroulement de la procédure de décharge pour l’année N, conformément à l’article 106, paragraphe 3, du règlement délégué (UE) 2019/715.».

49) L’article 61 est remplacé par le texte suivant :

«Article 61

Règles financières

1. Les règles financières applicables à Europol sont adoptées par le conseil d’administration après consultation de la Commission. Elles ne s’écartent du règlement délégué (UE) 2019/715 que si les exigences spécifiques du fonctionnement d’Europol le nécessitent et avec l’accord préalable de la Commission.

2. Europol peut octroyer des fonds liés à la réalisation de ses objectifs et à l’accomplissement de ses missions.

3. Europol peut octroyer des fonds sans appel à propositions aux États membres pour leur permettre de mener des activités relevant des objectifs et des missions d’Europol.

4. Lorsque cela est dûment justifié à des fins opérationnelles, après autorisation du conseil d’administration, le soutien financier peut couvrir l’intégralité des coûts d’investissement en équipements et en infrastructures.

Les règles financières visées au paragraphe 1 peuvent préciser les critères en vertu desquels le soutien financier peut couvrir l’intégralité des coûts d’investissement visés au premier alinéa du présent paragraphe.

5. En ce qui concerne le soutien financier à apporter aux équipes communes d’enquête, Europol et Eurojust établissent conjointement les règles et les conditions selon lesquelles les demandes de soutien sont traitées.».

50) L’article 68 est modifié comme suit :

a) le paragraphe 1 est remplacé par le texte suivant :
«1. Au plus tard le 29 juin 2027 et tous les cinq ans par la suite, la Commission procède à une évaluation portant, notamment, sur l’impact, l’efficacité et l’efficience de l’action d’Europol et de ses méthodes de travail. Cette évaluation peut notamment étudier la nécessité éventuelle de modifier la structure, le fonctionnement, le domaine d’action et les missions d’Europol, ainsi que les implications financières d’une telle modification.»;

b) le paragraphe suivant est ajouté :
«3. Au plus tard le 29 juin 2025, la Commission transmet au Parlement européen et au Conseil, un rapport évaluant et analysant l’incidence opérationnelle de l’exécution des missions prévues par le présent règlement, en particulier par l’article 4, paragraphe 1, point t), l’article 18, paragraphe 2, point e), l’article 18, paragraphe 6 bis, et les articles 18 bis, 26, 26 bis et 26 ter, en ce qui concerne les objectifs d’Europol. Ce rapport évalue l’incidence de ces missions sur les libertés et droits fondamentaux prévus par la Charte. Il fournit également une analyse coûtsavantages de l’extension des missions d’Europol.».

51) Les articles suivants sont insérés :

«Article 74 bis

Arrangements transitoires concernant le traitement de données à caractère personnel à l’appui d’une enquête pénale en cours

1. Lorsqu’un État membre, le Parquet européen ou Eurojust a fourni à Europol des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II avant le 28 juin 2022, Europol peut traiter ces données à caractère personnel conformément à l’article 18 bis lorsque :

a) l’État membre concerné, le Parquet européen ou Eurojust informe Europol, au plus tard le 29 septembre 2022, qu’il est autorisé à traiter ces données à caractère personnel, conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union ou du droit national, dans le cadre de l’enquête pénale en cours pour laquelle il a demandé le soutien d’Europol lorsqu’il a initialement fourni les données;

b) l’État membre concerné, le Parquet européen ou Eurojust demande à Europol, au plus tard le 29 septembre 2022, de soutenir l’enquête pénale en cours visée au point a); et

c) Europol évalue, conformément à l’article 18 bis, paragraphe 1, point b), qu’il n’est pas possible de soutenir l’enquête pénale en cours visée au point a) du présent paragraphe sans traiter des données à caractère personnel qui ne respectent pas l’article 18, paragraphe 5.

L’évaluation visée au point c) du présent paragraphe est enregistrée et transmise au CEPD pour information lorsqu’Europol cesse de soutenir l’enquête pénale spécifique connexe.

2. Lorsqu’un État membre, le Parquet européen ou Eurojust ne respecte pas une ou plusieurs des exigences énoncées au paragraphe 1, points a) et b), du présent article, en ce qui concerne les données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II qu’il a fournies à Europol avant le 28 juin 2022, ou lorsqu’un État membre, le Parquet européen ou Eurojust ne respecte pas le paragraphe 1, point c), du présent article, Europol ne traite pas ces données à caractère personnel conformément à l’article 18 bis, mais, sans préjudice de l’article 18, paragraphe 5, et de l’article 74 ter, efface ces données à caractère personnel au plus tard le 29 octobre 2022.

3. Lorsqu’un pays tiers visé à l’article 18 bis, paragraphe 6, a fourni à Europol des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II avant le 28 juin 2022, Europol peut traiter ces données à caractère personnel conformément à l’article 18 bis, paragraphe 6, lorsque :

a) le pays tiers a fourni les données à caractère personnel à l’appui d’une enquête pénale spécifique menée dans un ou plusieurs États membres et soutenue par Europol;

b) le pays tiers a obtenu les données dans le cadre d’une enquête pénale conformément aux exigences et garanties procédurales applicables au titre de son droit pénal national; c) le pays tiers informe Europol, au plus tard le 29 septembre 2022, qu’il est autorisé à traiter ces données à caractère personnel dans le cadre de l’enquête pénale dans le contexte de laquelle il a obtenu les données;

d) Europol évalue, conformément à l’article 18 bis, paragraphe 1, point b), qu’il est impossible de soutenir l’enquête pénale spécifique visée au point a) du présent paragraphe sans traiter des données à caractère personnel qui ne respectent pas l’article 18, paragraphe 5, et cette évaluation est enregistrée et transmise au CEPD pour information lorsqu’Europol cesse de soutenir l’enquête pénale spécifique connexe; et

e) Europol vérifie, conformément à l’article 18 bis, paragraphe 6, que le volume de données à caractère personnel n’est pas manifestement disproportionné par rapport à l’enquête pénale spécifique visée au point a) du présent paragraphe menée dans un ou plusieurs États membres et soutenue par Europol.

4. Lorsqu’un pays tiers ne respecte pas l’exigence énoncée au paragraphe 3, point c), du présent article, en ce qui concerne les données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II qu’il a fournies à Europol avant le 28 juin 2022, ou lorsque l’une des autres exigences énoncées au paragraphe 3 du présent article n’est pas respectée, Europol ne traite pas ces données à caractère personnel conformément à l’article 18 bis, paragraphe 6, mais, sans préjudice de l’article 18, paragraphe 5, et de l’article 74 ter, efface ces données à caractère personnel au plus tard le 29 octobre 2022.

5. Lorsqu’un État membre, le Parquet européen ou Eurojust a fourni à Europol des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II avant le 28 juin 2022, il peut demander à Europol au plus tard le 29 septembre 2022, de conserver ces données et le résultat du traitement de ces données par Europol lorsque cela est nécessaire pour garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel. Europol maintient les données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II séparées des autres données sur le plan fonctionnel et ne traite ces données qu’aux fins de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel et uniquement tant que la procédure judiciaire concernant l’enquête pénale pour laquelle ces données ont été fournies est en cours.

6. Lorsqu’Europol a reçu des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II avant le 28 juin 2022, Europol ne conserve pas ces données aux fins de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel, à moins que cela ne lui soit demandé conformément au paragraphe 5. En l’absence d’une telle demande, Europol efface ces données à caractère personnel au plus tard le 29 octobre 2022. 

Article 74 ter

Arrangements transitoires concernant le traitement de données à caractère personnel détenues par Europol

Sans préjudice de l’article 74 bis, en ce qui concerne les données à caractère personnel qu’Europol a reçues avant le 28 juin 2022, Europol peut vérifier si ces données à caractère personnel portent sur l’une des catégories de personnes concernées énumérées à l’annexe II. À cette fin, Europol peut effectuer une analyse préliminaire de ces données à caractère personnel pendant une période ne dépassant pas dix-huit mois à compter du jour de la première réception des données ou, dans des cas justifiés et avec l’autorisation préalable du CEPD, pendant une plus longue période.

La durée maximale du traitement des données visées au premier alinéa est de trois ans à compter du jour de la réception des données par Europol.».

Article 2

Le présent règlement entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.


Fait à Strasbourg, le 8 juin 2022.

Par le Parlement européen
La présidente
R. METSOLA

Par le Conseil
Le président
C. BEAUNE







(1) Position du Parlement européen du 4 mai 2022 (non encore parue au Journal officiel) et décision du Conseil du 24 mai 2022.
(2) Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).
(3) Décision 2008/617/JAI du Conseil du 23 juin 2008 relative à l’amélioration de la coopération entre les unités spéciales d’intervention des États membres de l’Union européenne dans les situations de crise (JO L 210 du 6.8.2008, p. 73).
(4) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).
(5) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1).
( 6) Règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) n°1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission (JO L 312 du 7.12.2018, p. 56).
(7) Règlement (UE) no 1053/2013 du Conseil du 7 octobre 2013 portant création d’un mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen et abrogeant la décision du comité exécutif du 16 septembre 1998 concernant la création d’une commission permanente d’évaluation et d’application de Schengen (JO L 295 du 6.11.2013, p. 27).
(8) Règlement (UE) 2019/452 du Parlement européen et du Conseil du 19 mars 2019 établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union (JO L 79 I du 21.3.2019, p. 1).
(9) Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).
(10) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(11) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
(12) Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) n°648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73).
(13) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (JO L 172 du 17.5.2021, p. 79).
(14) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(15) JO C 143 du 23.4.2021, p. 6.