Eurlexa

English
- Sign in
- Register

Regulation (EU) 2022/991 of the European Parliament and of the Council of 8 June 2022 amending Regulation (EU) 2016/794, as regards Europol’s cooperation with private parties, the processing of personal data by Europol in support of criminal investigations, and Europol’s role in research and innovation

Règlement (UE) 2022/991 du Parlement européen et du Conseildu 8 juin 2022modifiant le règlement (UE) 2016/794 en ce qui concerne la coopération d’Europol avec les parties privées, le traitement de données à caractère personnel par Europol à l’appui d’enquêtes pénales et le rôle d’Europol en matière de recherche et d’innovation LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 88,vu la proposition de la Commission européenne,après transmission du projet d’acte législatif aux parlements nationaux,statuant conformément à la procédure législative ordinairePosition du Parlement européen du 4 mai 2022 (non encore parue au Journal officiel) et décision du Conseil du 24 mai 2022.,considérant ce qui suit:(1)L’Agence de l’Union européenne pour la coopération des services répressifs (Europol) a été instituée par le règlement (UE) 2016/794 du Parlement européen et du ConseilRèglement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53). afin de soutenir et de renforcer l’action des autorités compétentes des États membres et leur coopération mutuelle dans la prévention des formes graves de criminalité affectant deux ou plusieurs États membres, du terrorisme et des formes de criminalité portant atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union, ainsi que dans la lutte contre ces phénomènes.(2)La situation en matière de sécurité ne cesse de changer en Europe, sous l’influence de menaces qui évoluent et deviennent de plus en plus complexes. Les terroristes et autres criminels exploitent la transformation numérique et les nouvelles technologies, tant notamment l’interconnectivité que le flou qui caractérise les frontières entre le monde réel et le monde numérique, par exemple en dissimulant leurs crimes et leur identité par le recours à des techniques de plus en plus élaborées. Les terroristes et autres criminels ont prouvé leur capacité à adapter leur mode opératoire et à développer de nouvelles activités criminelles en temps de crise, notamment en exploitant des outils technologiques pour multiplier leurs activités criminelles et en développer l’échelle et la portée. Le terrorisme demeure une grave menace pour la liberté et le mode de vie des citoyens de l’Union.(3)Les menaces évolutives et complexes dépassent les frontières, en couvrant des formes de criminalité diverses, qu’elles facilitent, et se manifestent sous la forme d’organisations criminelles à caractère polycriminel qui se livrent à des activités criminelles très variées. L’action au niveau national et la coopération transfrontière n’étant pas suffisantes pour répondre à ces menaces transnationales pour la sécurité, les autorités compétentes des États membres ont de plus en plus eu recours au soutien et à l’expertise offerts par Europol afin de prévenir les formes graves de criminalité et le terrorisme et de lutter contre ces phénomènes. Depuis que le règlement (UE) 2016/794 est devenu applicable, l’importance opérationnelle des missions d’Europol a considérablement augmenté. Par ailleurs, le nouveau contexte de menace modifie la portée et le type de soutien dont les États membres ont besoin et qu’ils attendent d’Europol afin d’assurer la sécurité des citoyens.(4)Des missions supplémentaires devraient dès lors être confiées à Europol par le présent règlement afin de lui permettre de soutenir plus efficacement les autorités compétentes des États membres tout en respectant pleinement les responsabilités des États membres dans le domaine de la sécurité nationale tel que cela est prévu à l’article 4, paragraphe 2, du traité sur l’Union européenne. Le mandat renforcé d’Europol devrait être contrebalancé par le renforcement des garanties en ce qui concerne les droits fondamentaux ainsi qu’un renforcement de l’obligation de rendre des comptes, de la responsabilité et du contrôle, y compris du contrôle parlementaire et du contrôle par le conseil d’administration d’Europol (ci-après dénommé "conseil d’administration"). Pour permettre à Europol de remplir son mandat renforcé, il devrait disposer de ressources humaines et financières suffisantes afin d’appuyer ses missions supplémentaires.(5)Étant donné que l’Union est de plus en plus menacée par les organisations criminelles et les attentats terroristes, une réponse efficace des services répressifs doit inclure la mise à disposition d’unités spéciales d’intervention interopérables, dûment formées et spécialisées dans la maîtrise des situations de crise d’origine humaine. Dans l’Union, les unités spéciales d’intervention des États membres coopèrent en vertu de la décision 2008/617/JAI du ConseilDécision 2008/617/JAI du Conseil du 23 juin 2008 relative à l’amélioration de la coopération entre les unités spéciales d’intervention des États membres de l’Union européenne dans les situations de crise (JO L 210 du 6.8.2008, p. 73).. Europol devrait être en mesure de soutenir ces unités spéciales d’intervention en leur apportant une aide technique et financière, en complément des efforts déployés par les États membres.(6)Ces dernières années, des cyberattaques de grande envergure, dont certaines depuis des pays tiers, ont ciblé tant des entités publiques que privées sur de nombreux territoires, au sein de l’Union ou en dehors de l’Union, en perturbant différents secteurs, dont les transports, la santé et les services financiers. La prévention, la détection, les enquêtes et les poursuites relatives à ces cyberattaques sont soutenues par la coordination et la coopération entre les acteurs concernés, y compris l’Agence de l’Union européenne pour la cybersécurité (ENISA) instituée par le règlement (UE) 2019/881 du Parlement européen et du ConseilRèglement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15)., les autorités compétentes en matière de sécurité des réseaux et des systèmes d’information au sens de la directive (UE) 2016/1148 du Parlement européen et du ConseilDirective (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1)., les autorités compétentes des États membres et les parties privées. Afin de garantir une coopération efficace entre tous les acteurs concernés au niveau de l’Union et au niveau national en ce qui concerne les cyberattaques et les cybermenaces, Europol devrait coopérer avec l’ENISA en particulier en échangeant des informations et en fournissant une aide à l’analyse dans les domaines qui relèvent de leurs compétences respectives.(7)Les criminels à haut risque jouent un rôle majeur dans les réseaux criminels et leurs activités criminelles représentent un risque élevé pour la sécurité intérieure de l’Union. Afin de lutter contre les organisations criminelles à haut risque et leurs chefs, Europol devrait avoir la possibilité d’aider les États membres à axer leurs efforts d’enquête sur l’identification des membres et des membres dirigeants de ces réseaux, de leurs activités criminelles et de leurs avoirs financiers.(8)Les menaces que représentent les formes graves de criminalité nécessitent une réponse coordonnée, cohérente, pluridisciplinaire et interagences. Europol devrait avoir la possibilité de faciliter et d’appuyer les initiatives de sécurité fondées sur le renseignement que pilotent les États membres qui visent à identifier, hiérarchiser et traiter les menaces liées aux formes graves de criminalité, telles que la plateforme pluridisciplinaire européenne contre les menaces criminelles (EMPACT). Europol devrait être en mesure de soutenir ces initiatives sur le plan administratif, logistique, financier et opérationnel.(9)Le système d’information Schengen (SIS), établi dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale par le règlement (UE) 2018/1862 du Parlement européen et du ConseilRèglement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) no 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission (JO L 312 du 7.12.2018, p. 56)., constitue un outil essentiel pour le maintien d’un niveau élevé de sécurité dans l’espace de liberté, de sécurité et de justice. Europol, en tant que plateforme d’échange d’informations dans l’Union, reçoit et détient des informations précieuses fournies par les pays tiers et les organisations internationales au sujet de personnes soupçonnées d’être impliquées dans des formes de criminalité relevant des objectifs d’Europol. Dans le cadre de ses objectifs et de sa mission de soutien des États membres dans la prévention des formes graves de criminalité et du terrorisme ainsi que dans la lutte contre ces phénomènes, Europol devrait aider les États membres à traiter les données qui lui sont fournies par les pays tiers ou par des organisations internationales en proposant l’introduction éventuelle par les États membres de signalements dans le SIS sous une nouvelle catégorie de signalements pour information dans l’intérêt de l’Union (ci-après dénommés "signalements pour information"), afin de mettre ces signalements pour information à la disposition des utilisateurs finaux du SIS. À cette fin, il convient de mettre en place un mécanisme de rapport périodique afin que les États membres et Europol soient informés du résultat de la vérification et de l’analyse de ces données et de l’introduction ou non des informations dans le SIS. Les modalités de coopération des États membres concernant le traitement de ces données et l’introduction de signalements dans le SIS, notamment en ce qui concerne la lutte contre le terrorisme, devraient faire l’objet d’une coordination continue entre les États membres. Le conseil d’administration devrait préciser les critères sur la base desquels Europol devrait pouvoir formuler des propositions en vue de l’introduction de ces signalements pour information dans le SIS.(10)Europol a un rôle important à jouer pour soutenir le mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen créé par le règlement (UE) no 1053/2013 du ConseilRèglement (UE) no 1053/2013 du Conseil du 7 octobre 2013 portant création d’un mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen et abrogeant la décision du comité exécutif du 16 septembre 1998 concernant la création d’une commission permanente d’évaluation et d’application de Schengen (JO L 295 du 6.11.2013, p. 27).. Europol devrait donc, sur demande des États membres, contribuer, par son expertise, ses analyses, ses rapports et d’autres informations utiles au mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen.(11)Les évaluations de risque contribuent à anticiper les nouvelles tendances et à répondre aux nouvelles menaces que représentent les formes graves de criminalité et le terrorisme. Afin d’aider la Commission et les États membres à réaliser des évaluations de risque efficaces, Europol devrait fournir à la Commission et aux États membres des analyses des évaluations de la menace fondées sur les informations qu’elle détient concernant les tendances et phénomènes criminels, sans préjudice du droit de l’Union relatif à la gestion des risques en matière douanière.(12)Afin que le financement de l’Union destiné à la recherche en matière de sécurité atteigne l’objectif qui est de s’assurer que cette recherche développe tout son potentiel et réponde aux besoins de l’action répressive, Europol devrait aider la Commission à déterminer les principaux thèmes de recherche, et à établir et mettre en œuvre les programmes-cadres de l’Union pour la recherche et l’innovation qui sont pertinents pour les objectifs d’Europol. S’il y a lieu, Europol devrait pouvoir diffuser les résultats de ses activités en matière de recherche et d’innovation dans le cadre de sa contribution à la création de synergies entre les activités de recherche et d’innovation des organes de l’Union concernés. Lors de la conception et de la conceptualisation des activités de recherche et d’innovation pertinentes pour les objectifs d’Europol, Europol devrait pouvoir, le cas échéant, consulter le Centre commun de recherche (JRC) de la Commission. Europol devrait prendre toutes les mesures nécessaires pour éviter les conflits d’intérêts. Lorsque Europol aide la Commission à déterminer les principaux thèmes de recherche et à établir et mettre en œuvre un programme-cadre de l’Union, Europol ne devrait pas recevoir de financement au titre de ce programme. Il importe qu’Europol puisse compter sur l’octroi d’un financement adéquat afin de pouvoir aider les États membres et la Commission dans le domaine de la recherche et de l’innovation.(13)L’Union et les États membres ont la possibilité d’adopter des mesures restrictives en ce qui concerne les investissements directs étrangers pour des motifs de sécurité ou d’ordre public. À cet effet, le règlement (UE) 2019/452 du Parlement européen et du ConseilRèglement (UE) 2019/452 du Parlement européen et du Conseil du 19 mars 2019 établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union (JO L 79 I du 21.3.2019, p. 1). établit un cadre pour le filtrage des investissements directs étrangers dans l’Union. Les investissements directs étrangers dans les technologies émergentes méritent une attention particulière car ils peuvent avoir de lourdes implications pour la sécurité et l’ordre public, notamment lorsque ces technologies sont utilisées par les autorités compétentes des États membres. Compte tenu de l’implication d’Europol dans la surveillance des technologies émergentes, ainsi que de sa participation à l’élaboration de nouvelles façons d’utiliser ces technologies à des fins répressives, notamment par l’intermédiaire de son laboratoire d’innovation et du pôle d’innovation de l’Union européenne pour la sécurité intérieure, Europol possède une très bonne connaissance des possibilités offertes par ces technologies ainsi que des risques liés à leur utilisation. Elle devrait donc pouvoir soutenir les États membres dans le filtrage des investissements directs étrangers dans l’Union et des risques connexes pour la sécurité qui concernent des entreprises qui fournissent des technologies, y compris des logiciels, utilisées par Europol aux fins de la prévention des formes de criminalité qui relèvent des objectifs d’Europol et des enquêtes en la matière, ou encore des technologies critiques qui pourraient être utilisées pour faciliter des actes terroristes. Dans ce contexte, l’expertise d’Europol devrait venir en appui du filtrage des investissements directs étrangers et des risques connexes pour la sécurité. Il convient de tenir compte en particulier de la question de savoir si l’investisseur étranger a déjà participé à des activités portant atteinte à la sécurité, s’il existe un risque grave que l’investisseur étranger se livre à des activités illégales ou criminelles, et si celui-ci est contrôlé directement ou indirectement par le gouvernement d’un pays tiers, y compris au moyen de subventions.(14)Europol fournit une expertise spécialisée dans la lutte contre les formes graves de criminalité et le terrorisme. À la demande d’un État membre, le personnel d’Europol devrait avoir la possibilité d’apporter un soutien opérationnel aux autorités compétentes de cet État membre, lors d’opérations et d’enquêtes, notamment en facilitant les échanges d’informations transfrontières et en fournissant une aide technique et criminalistique lors d’opérations et d’enquêtes, y compris dans le cadre d’équipes communes d’enquête. À la demande d’un État membre, le personnel d’Europol devrait être autorisé à être présent au cours de la mise en œuvre de mesures d’enquête dans cet État membre. Le personnel d’Europol ne devrait pas être habilité à mettre en œuvre des mesures d’enquête.(15)L’un des objectifs d’Europol est d’appuyer et de renforcer l’action des autorités compétentes des États membres et leur coopération mutuelle dans la prévention des formes de criminalité portant atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union, ainsi que dans la lutte contre celles-ci. Afin de renforcer ce soutien, le directeur exécutif d’Europol (ci-après dénommé "directeur exécutif") devrait pouvoir proposer aux autorités compétentes d’un État membre qu’ils ouvrent, mènent ou coordonnent l’enquête sur une forme de criminalité ne concernant que cet État membre mais portant atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union. Europol devrait informer Eurojust et, s’il y a lieu, le Parquet européen institué par le règlement (UE) 2017/1939 du ConseilRèglement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1)., d’une telle proposition.(16)Rendre publiques l’identité ainsi que certaines données à caractère personnel d’individus soupçonnés ou condamnés qui sont recherchés en vertu d’une décision judiciaire nationale augmente les chances des États membres de localiser et d’arrêter ces individus. Afin de soutenir les États membres dans la localisation et l’arrestation de ces individus, Europol devrait pouvoir publier sur son site internet des informations sur les fugitifs les plus recherchés en Europe pour les infractions pénales relevant des objectifs d’Europol. Dans le même but, Europol devrait faciliter la fourniture d’informations sur ces individus par le public aux États membres et à Europol.(17)Une fois qu’Europol a établi que les données à caractère personnel qu’elle reçoit relèvent de ses objectifs, elle devrait pouvoir traiter ces données à caractère personnel dans les quatre situations suivantes. Dans la première situation, les données à caractère personnel reçues portent sur l’une des catégories de personnes concernées énumérées à l’annexe II du règlement (UE) 2016/794 (ci-après dénommée "annexe II"). Dans la deuxième situation, les données à caractère personnel reçues sont des données d’enquête qui contiennent des données qui ne portent pas sur l’une des catégories de personnes concernées énumérées à l’annexe II mais qui ont été fournies, en réponse à une demande aux fins de recevoir le soutien d’Europol pour une enquête pénale spécifique, par un État membre, le Parquet européen, Eurojust ou un pays tiers pour autant que cet État membre, le Parquet européen, Eurojust ou ce pays tiers soit autorisé à traiter de telles données d’enquête conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union et du droit national. Dans cette situation, Europol devrait pouvoir traiter ces données d’enquête pendant toute la durée de son soutien à cette enquête pénale spécifique. Dans la troisième situation, les données à caractère personnel reçues pourraient ne pas porter sur les catégories de personnes concernées énumérées à l’annexe II et n’ont pas été fournies en réponse à une demande de soutien d’Europol pour une enquête pénale spécifique. Dans cette situation, Europol devrait pouvoir vérifier si ces données à caractère personnel portent sur l’une de ces catégories de personnes concernées. Dans la quatrième situation, les données à caractère personnel reçues ont été transmises aux fins de projets de recherche et d’innovation et ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II.(18)Conformément à l’article 73 du règlement (UE) 2018/1725 du Parlement européen et du ConseilRèglement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39)., le cas échéant et dans la mesure du possible, Europol doit établir une distinction claire entre les données à caractère personnel qui portent sur les différentes catégories de personnes concernées énumérées à l’annexe II.(19)Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité ne relevant pas des objectifs d’Europol, cette dernière ne devrait pas avoir accès à ces données et devrait être considérée comme un sous-traitant en vertu de l’article 87 du règlement (UE) 2018/1725. Dans ces cas, Europol devrait pouvoir traiter des données qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II. Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité relevant des objectifs d’Europol et lorsqu’ils accordent à Europol l’accès à ces données, les exigences liées aux catégories de personnes concernées énumérées à l’annexe II devraient s’appliquer à tout autre traitement de ces données par Europol.(20)Tout en respectant le principe de minimisation des données, Europol devrait pouvoir vérifier si les données à caractère personnel reçues dans le cadre de la prévention des formes de criminalité relevant de ses objectifs et la lutte contre celles-ci portent sur l’une des catégories de personnes concernées énumérées à l’annexe II. À cette fin, Europol devrait pouvoir effectuer une analyse préliminaire des données à caractère personnel reçues dans le seul but de déterminer si ces données portent sur l’une de ces catégories de personnes concernées en comparant ces données à caractère personnel aux données qu’elle détient déjà, sans analyser plus avant ces données à caractère personnel. Cette analyse préliminaire devrait avoir lieu préalablement au traitement des données par Europol à des fins de recoupement, d’analyse stratégique, d’analyse opérationnelle ou d’échange d’informations et constituer une étape distincte de ce traitement et après qu’Europol a établi que les données en question sont pertinentes et nécessaires à l’exécution de ses missions. Une fois qu’Europol a établi que ces données à caractère personnel portent sur les catégories de personnes concernées énumérées à l’annexe II, Europol devrait pouvoir traiter ces données à caractère personnel à des fins de recoupement, d’analyse stratégique, d’analyse opérationnelle ou d’échange d’informations. Si Europol conclut que ces données à caractère personnel ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II, elle devrait effacer ces données.(21)La catégorisation des données à caractère personnel d’un ensemble donné de données peut évoluer au fil du temps en raison de nouvelles informations qui deviennent disponibles dans le cadre des enquêtes pénales, par exemple concernant des suspects supplémentaires. C’est pourquoi Europol devrait être autorisée à traiter les données à caractère personnel lorsque cela est strictement nécessaire et proportionné aux fins de définir les catégories de personnes concernées sur lesquelles portent les données en question pendant une période ne dépassant pas dix-huit mois et commençant à partir du moment où Europol établit que ces données relèvent de ses objectifs. Europol devrait pouvoir prolonger cette période jusqu’à trois ans dans des cas dûment justifiés et à condition que cette prolongation soit nécessaire et proportionnée. Le Contrôleur européen de la protection des données (CEPD) devrait être informé de cette prolongation. Lorsque le traitement des données à caractère personnel aux fins de définir les catégories de personnes concernées n’est plus nécessaire ni justifié et, en tout état de cause, après la fin de la période maximale de traitement, Europol devrait effacer les données à caractère personnel.(22)La quantité de données collectées dans le cadre d’enquêtes pénales ont vu leur volume augmenter et les ensembles de données sont devenus plus complexes. Les États membres soumettent à Europol des ensembles de données vastes et complexes, en lui demandant de procéder à une analyse opérationnelle afin de déterminer des liens avec des formes de criminalité autres que la forme de criminalité faisant l’objet de l’enquête dans le cadre de laquelle les données ont été collectées et avec des criminels dans d’autres États membres et en dehors de l’Union. Étant donné qu’Europol peut détecter de tels liens transfrontières de façon plus efficace que les États membres au moyen de leur propre analyse des données, Europol devrait être en mesure de soutenir les enquêtes pénales des États membres en traitant des ensembles de données vastes et complexes de manière à déterminer de tels liens transfrontières pour autant que les exigences et les garanties strictes énoncées dans le présent règlement soient respectées. Lorsque cela est nécessaire pour soutenir efficacement une enquête pénale spécifique en cours dans un État membre, Europol devrait pouvoir traiter les données d’enquête que les autorités compétentes des États membres sont autorisées à traiter dans le cadre de cette enquête pénale spécifique conformément aux exigences et garanties procédurales applicables au titre de leur droit national et qu’elles ont transmises ultérieurement à Europol. Cela devrait inclure les données à caractère personnel dans les cas où un État membre n’a pas été en mesure d’établir si ces données portent sur les catégories de personnes concernées énumérées à l’annexe II. Lorsqu’un État membre, le Parquet européen ou Eurojust fournit à Europol des données d’enquête et demande le soutien d’Europol pour une enquête pénale spécifique en cours, Europol devrait pouvoir traiter ces données pendant toute la durée de son soutien à cette enquête pénale spécifique, conformément aux exigences et garanties procédurales applicables au titre du droit de l’Union ou du droit national.(23)Afin de veiller à ce que tout traitement de données effectué dans le cadre d’une enquête pénale soit nécessaire et proportionné, les États membres devraient veiller au respect du droit de l’Union et du droit national lorsqu’ils transmettent des données d’enquête à Europol. Lorsqu’ils transmettent des données d’enquête à Europol pour demander le soutien d’Europol pour une enquête pénale spécifique, les États membres devraient tenir compte de l’ampleur et de la complexité du traitement des données requis ainsi que du type et de l’importance de l’enquête. Les États membres devraient informer Europol lorsque, conformément aux exigences et garanties procédurales applicables au titre de leur droit national, ils ne sont plus autorisés à traiter des données dans le cadre de l’enquête pénale spécifique en cours concernée. Europol ne devrait traiter que les données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II lorsqu’elle évalue qu’il n’est pas possible de soutenir une enquête pénale spécifique en cours sans traiter ces données à caractère personnel. Europol devrait documenter cette évaluation. Europol devrait maintenir une séparation sur le plan fonctionnel entre ces données et les autres données et ne devrait les traiter que lorsque cela est nécessaire pour soutenir l’enquête pénale spécifique en cours concernée, comme dans le cas d’une nouvelle piste.(24)Europol devrait également pouvoir traiter les données à caractère personnel qui lui sont nécessaires pour soutenir une enquête pénale spécifique dans un ou plusieurs États membres lorsque ces données sont fournies par un pays tiers, à condition que le pays tiers fasse l’objet d’une décision d’adéquation conformément à la directive (UE) 2016/680 du Parlement européen et du ConseilDirective (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89). (ci-après dénommée "décision d’adéquation"), qu’un accord international avec ce pays tiers ait été conclu par l’Union en vertu de l’article 218 du traité sur le fonctionnement de l’Union européenne qui prévoit le transfert de données à caractère personnel à des fins répressives (ci-après dénommé "accord international"), qu’un accord de coopération autorisant l’échange de données à caractère personnel ait été conclu entre Europol et le pays tiers avant l’entrée en vigueur du règlement (UE) 2016/794 (ci-après dénommé "accord de coopération"), ou que des garanties appropriées en ce qui concerne la protection des données soient prévues dans un instrument juridiquement contraignant ou qu’Europol conclue, sur la base d’une évaluation de toutes les circonstances entourant le transfert de données à caractère personnel, que ces garanties existent dans ce pays tiers et à condition que le pays tiers ait obtenu les données dans le cadre d’une enquête pénale conformément aux exigences et garanties procédurales applicables au titre de son droit pénal national. Lorsqu’un pays tiers fournit des données d’enquête à Europol, Europol devrait vérifier que le volume de données à caractère personnel n’est pas manifestement disproportionné par rapport à l’enquête pénale spécifique qu’Europol soutient dans l’État membre concerné et, dans la mesure du possible, qu’aucun élément objectif n’indique que des données d’enquête ont été collectées dans le pays tiers en violation manifeste des droits fondamentaux. Si Europol arrive à la conclusion que ces conditions ne sont pas remplies, elle ne devrait pas traiter les données et devrait les effacer. Lorsqu’un pays tiers fournit des données d’enquête à Europol, le délégué à la protection des données d’Europol devrait pouvoir en informer le CEPD, le cas échéant.(25)Afin de garantir qu’un État membre peut utiliser les rapports d’analyse d’Europol dans le cadre de procédures judiciaires faisant suite à une enquête pénale, Europol devrait avoir la possibilité de conserver, à la demande dudit État membre, du Parquet européen ou d’Eurojust, les données d’enquête correspondantes, aux fins de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel. Europol devrait maintenir une séparation sur le plan fonctionnel entre ces données et les autres données et uniquement tant que la procédure judiciaire relative à ladite enquête pénale est en cours dans l’État membre. Par ailleurs, il est nécessaire de garantir l’accès des autorités judiciaires compétentes ainsi que les droits de la défense, en particulier le droit des personnes soupçonnées ou accusées ou de leurs avocats d’accéder aux pièces du dossier. À cet effet, il convient qu’Europol consigne toutes les preuves ainsi que les méthodes par lesquelles ces preuves ont été produites ou obtenues par Europol afin de permettre un examen effectif des preuves par la défense.(26)Europol devrait pouvoir traiter les données à caractère personnel qu’elle a reçues avant l’entrée en vigueur du présent règlement qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II, conformément au présent règlement, dans deux situations. Dans la première situation, Europol devrait pouvoir traiter ces données à caractère personnel à l’appui d’une enquête pénale ou afin de garantir l’exactitude, la fiabilité et la traçabilité du processus de renseignement criminel, pour autant que les exigences figurant dans les arrangements transitoires concernant le traitement des données à caractère personnel reçues à l’appui d’une enquête pénale soient respectées. Dans la deuxième situation, Europol devrait également pouvoir vérifier si ces données à caractère personnel portent sur l’une des catégories de personnes concernées énumérées à l’annexe II en effectuant une analyse préliminaire de ces données à caractère personnel pendant une période ne dépassant pas dix-huit mois à partir du jour de la première réception des données ou, dans des cas justifiés et avec l’autorisation préalable du CEPD, pendant une plus longue période. La durée maximale du traitement des données à caractère personnel aux fins de cette analyse préliminaire ne devrait pas dépasser trois ans à partir du jour de la première réception des données par Europol.(27)Les formes graves de criminalité et les actes terroristes transfrontières rendent nécessaire une coopération étroite entre les autorités compétentes des États membres concernés. Europol fournit des outils pour soutenir cette coopération dans les enquêtes, notamment grâce à l’échange d’informations. Afin d’améliorer davantage cette coopération dans des enquêtes pénales spécifiques par le biais d’une analyse opérationnelle conjointe, les États membres devraient pouvoir autoriser d’autres États membres à accéder directement aux informations qu’ils ont fournies à Europol, sans préjudice des éventuelles limitations générales ou spécifiques concernant l’accès à ces informations qu’ils ont notifiées. Tout traitement de données à caractère personnel effectué par les États membres dans le cadre d’une analyse opérationnelle conjointe devrait avoir lieu dans le respect du présent règlement et de la directive (UE) 2016/680.(28)Europol et le Parquet européen devraient conclure un arrangement de travail définissant les modalités de leur coopération, en tenant dûment compte de leurs compétences respectives. Europol devrait travailler en étroite collaboration avec le Parquet européen et soutenir activement les enquêtes du Parquet européen à la demande de ce dernier, y compris en fournissant une aide à l’analyse et des informations pertinentes. Europol devrait également coopérer avec le Parquet européen, depuis le moment où un soupçon d’infraction est signalé au Parquet européen jusqu’au moment où celui-ci décide s’il y a lieu d’engager des poursuites ou, dans la négative, de procéder au classement sans suite. Europol devrait signaler, sans retard injustifié, au Parquet européen tout comportement délictueux à l’égard duquel le Parquet européen pourrait exercer sa compétence. Afin de renforcer la coopération opérationnelle entre Europol et le Parquet européen, Europol devrait permettre au Parquet européen d’accéder aux données qu’elle détient, sur la base d’un système de concordance/non-concordance ("hit/no hit") qui n’informe Europol qu’en cas de concordance, conformément au présent règlement, y compris toute limitation notifiée par le fournisseur des informations à Europol. Si les informations sont couvertes par une limitation notifiée par un État membre, Europol devrait en référer à cet État membre afin qu’il respecte les obligations qui lui incombent en vertu du règlement (UE) 2017/1939. L’État membre concerné devrait ensuite informer le Parquet européen conformément à sa procédure nationale. Les règles énoncées dans le présent règlement concernant la transmission de données à caractère personnel aux organes de l’Union devraient s’appliquer à la coopération d’Europol avec le Parquet européen. Europol devrait également avoir la possibilité de soutenir les enquêtes menées par le Parquet européen en analysant des ensembles de données vastes et complexes, conformément aux mesures de sauvegarde et aux garanties en matière de protection des données prévues par le présent règlement.(29)Europol devrait collaborer étroitement avec l’Office européen de lutte antifraude (OLAF) afin de détecter les cas de fraude, de corruption et toute autre activité illégale portant atteinte aux intérêts financiers de l’Union. À cet effet, Europol devrait transmettre sans retard injustifié à l’OLAF toute information à l’égard de laquelle celui-ci pourrait exercer sa compétence. Les règles énoncées dans le présent règlement concernant la transmission de données à caractère personnel aux organes de l’Union devraient s’appliquer à la coopération d’Europol avec l’OLAF.(30)Les formes graves de criminalité et le terrorisme présentent souvent des connexions en dehors de l’Union. Europol peut échanger des données à caractère personnel avec des pays tiers tout en garantissant la protection de la vie privée et des libertés et droits fondamentaux des personnes concernées. Lorsque cela s’avère essentiel à l’enquête relative à une forme de criminalité spécifique relevant des objectifs d’Europol, le directeur exécutif devrait pouvoir autoriser, au cas par cas, une catégorie de transferts de données à caractère personnel vers des pays tiers lorsque cette catégorie de transferts porte sur la même situation spécifique, se compose des mêmes catégories de données à caractère personnel et des mêmes catégories de personnes concernées, est nécessaire et proportionnée aux fins de l’enquête relative à une forme de criminalité spécifique et satisfait à toutes les exigences du présent règlement. Les transferts individuels relevant d’une catégorie de transferts ne devraient pouvoir inclure que certaines des catégories de données à caractère personnel et des catégories de personnes concernées dont le transfert est autorisé par le directeur exécutif. Il devrait également être possible d’autoriser une catégorie de transferts de données à caractère personnel dans les situations spécifiques suivantes: lorsque le transfert de données à caractère personnel est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne; lorsque le transfert de données à caractère personnel est essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers; lorsque le transfert de données à caractère personnel a pour finalité la sauvegarde des intérêts légitimes de la personne concernée; ou, dans des cas particuliers, a pour finalités la prévention ou la détection d’infractions pénales, les enquêtes ou les poursuites en la matière, ou l’exécution de sanctions pénales ou la constatation, l’exercice ou la défense d’un droit en justice en rapport avec la prévention ou la détection d’une infraction pénale spécifique, les enquêtes ou les poursuites en la matière, ou avec l’exécution d’une sanction pénale spécifique.(31)Les transferts qui ne sont pas fondés sur une autorisation du directeur exécutif, une décision d’adéquation, un accord international ou un accord de coopération ne devraient être autorisés que lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont prévues dans un instrument juridiquement contraignant ou lorsqu’Europol conclut, sur la base d’une évaluation de toutes les circonstances entourant le transfert de données à caractère personnel, que ces garanties existent. Aux fins de cette évaluation, Europol devrait pouvoir tenir compte d’accords bilatéraux conclus entre des États membres et des pays tiers qui permettent un échange de données à caractère personnel et du fait que le transfert de données à caractère personnel doit ou non être soumis à des obligations de confidentialité et au principe de spécificité, garantissant que les données ne sont pas traitées à des fins autres que le transfert. En outre, il importe qu’Europol prenne en compte le fait que les données à caractère personnel pourraient être utilisées ou non pour demander, prononcer ou mettre à exécution une condamnation à la peine de mort ou toute forme de traitement cruel et inhumain. Europol devrait pouvoir exiger des garanties supplémentaires.(32)Afin d’aider les États membres à coopérer avec les parties privées lorsque celles-ci détiennent des informations pertinentes pour prévenir et combattre les formes graves de criminalité et le terrorisme, Europol devrait avoir la possibilité de recevoir des données à caractère personnel de parties privées et, dans des cas particuliers où cela est nécessaire et proportionné, d’échanger des données à caractère personnel avec des parties privées.(33)Les criminels font de plus en plus souvent usage des services proposés par des parties privées pour communiquer et mener des activités illégales. Les délinquants sexuels exploitent des enfants et partagent des images et des vidéos qui constituent du matériel pédopornographique dans le monde entier sur des plateformes en ligne ou avec des pairs par l’intermédiaire de services de communications interpersonnelles non fondés sur la numérotation. Les terroristes utilisent les services proposés par les fournisseurs de services en ligne afin de recruter des volontaires, de préparer et de coordonner des attentats et de diffuser de la propagande. Les cybercriminels profitent de la numérisation de nos sociétés ainsi que du manque de culture numérique et d’autres compétences numériques du grand public en utilisant l’hameçonnage et l’ingénierie sociale pour commettre d’autres formes de cybercriminalité telles que des escroqueries en ligne, des attaques au moyen de rançongiciels ou des fraudes sur les paiements. En raison de l’utilisation accrue des services en ligne par les criminels, les parties privées détiennent des volumes de plus en plus importants de données à caractère personnel, notamment des données sur les abonnés, le trafic et les contenus, qui sont potentiellement utiles pour les enquêtes pénales.(34)Compte tenu de la nature transfrontière de l’internet, il est possible que le fournisseur de services en ligne et l’infrastructure numérique dans laquelle les données à caractère personnel sont stockées relèvent chacun de différentes autorités nationales, au sein de l’Union ou en dehors de l’Union. Les parties privées peuvent donc détenir des ensembles de données qui sont utiles pour l’action répressive et qui contiennent des données à caractère personnel relevant de la compétence de plusieurs autorités nationales ainsi que des données à caractère personnel qui ne peuvent pas être facilement rattachées à une autorité nationale spécifique. Les autorités compétentes des États membres peuvent rencontrer des difficultés pour analyser efficacement, au moyen de solutions nationales, de tels ensembles de données relevant de plusieurs autorités nationales ou qui ne peuvent être rattachées à aucune autorité nationale. De plus, il n’y a actuellement aucun point de contact unique pour les parties privées qui décident de partager légalement et volontairement des ensembles de données avec les autorités compétentes des États membres. Europol devrait donc disposer de mesures destinées à faciliter la coopération avec les parties privées, y compris en matière d’échange d’informations.(35)Afin de faire en sorte que les parties privées disposent d’un point de contact au niveau de l’Union pour transmettre légalement et volontairement des ensembles de données qui relèvent de plusieurs autorités nationales ou qui ne peuvent pas être facilement rattachés à une ou plusieurs autorités nationales spécifiques, Europol devrait pouvoir recevoir des données à caractère personnel directement de parties privées afin de fournir aux États membres les informations nécessaires pour établir la compétence et enquêter sur des formes de criminalité relevant de leurs compétences respectives, conformément au présent règlement. Ces informations pourraient inclure des signalements relatifs à des contenus modérés dont on peut raisonnablement supposer qu’ils sont liés à des activités criminelles relevant des objectifs d’Europol.(36)Afin de faire en sorte que les États membres reçoivent les informations nécessaires pour ouvrir des enquêtes visant à prévenir et à combattre les formes graves de criminalité et le terrorisme sans retard injustifié, Europol devrait avoir la possibilité de traiter et d’analyser des données à caractère personnel afin de déterminer les unités nationales concernées et de transmettre à ces unités nationales les données à caractère personnel et tout résultat de son analyse et de la vérification de ces données qui est pertinent aux fins d’établir la compétence et d’enquêter sur les formes de criminalité concernées dans le cadre de leurs compétences respectives. Europol devrait également pouvoir transmettre les données à caractère personnel et les résultats de son analyse et de la vérification de ces données qui sont pertinents aux fins d’établir la compétence aux points de contact ou aux autorités des pays tiers concernés qui font l’objet d’une décision d’adéquation, ou avec lesquels un accord international ou un accord de coopération a été conclu, ou lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont prévues dans un instrument juridiquement contraignant ou lorsqu’Europol conclut, sur la base d’une évaluation de toutes les circonstances entourant le transfert de données à caractère personnel, que ces garanties existent dans ces pays tiers. Lorsque le pays tiers concerné ne fait pas l’objet d’une décision d’adéquation ou n’est pas partie à un accord international ou à un accord de coopération ou en l’absence d’un instrument juridiquement contraignant, ou lorsqu’Europol n’a pas conclu que des garanties appropriées existent, Europol devrait pouvoir transférer le résultat de son analyse et de la vérification de ces données au pays tiers concerné conformément au présent règlement.(37)Conformément au règlement (UE) 2016/794, dans certains cas et sous certaines conditions, il peut être nécessaire et proportionné qu’Europol transfère des données à caractère personnel à des parties privées qui ne sont pas établies dans l’Union ou dans un pays tiers qui fait l’objet d’une décision d’adéquation ou avec lequel un accord international ou un accord de coopération a été conclu, ou lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel ne sont pas fournies dans un instrument juridiquement contraignant ou lorsqu’Europol n’a pas conclu que des garanties appropriées existent. Dans ces cas, le transfert devrait faire l’objet d’une autorisation préalable du directeur exécutif.(38)Afin qu’Europol puisse déterminer toutes les unités nationales compétentes concernées, elle devrait pouvoir informer les parties privées lorsque les informations qu’elles ont fournies sont insuffisantes pour permettre à Europol de déterminer les unités nationales concernées. Cela permettrait à ces parties privées de décider s’il est dans leur intérêt de partager d’autres informations avec Europol et si elles peuvent légalement le faire. À cet effet, Europol devrait pouvoir indiquer aux parties privées quelles sont les informations manquantes, dans la mesure où cela est strictement nécessaire à la seule fin de déterminer les unités nationales concernées. Des garanties spéciales devraient s’appliquer aux transferts d’information d’Europol aux parties privées lorsque la partie privée concernée n’est pas établie dans l’Union ou dans un pays tiers qui fait l’objet d’une décision d’adéquation ou avec lequel un accord international ou un accord de coopération a été conclu, ou lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel ne sont pas prévues dans un instrument juridiquement contraignant ou lorsqu’Europol n’a pas conclu que des garanties appropriées existent.(39)Lorsque les États membres, les pays tiers, les organisations internationales ou les parties privées partagent avec Europol des ensembles de données qui relèvent de plusieurs autorités nationales ou qui ne peuvent pas être rattachés à une ou plusieurs autorités nationales spécifiques, il est possible que ces ensembles de données soient liés à des données à caractère personnel détenues par des parties privées. Dans ces situations, Europol devrait pouvoir envoyer une demande aux États membres, par l’intermédiaire de leurs unités nationales, pour obtenir les données à caractère personnel détenues par des parties privées qui sont établies ou ont un représentant légal sur le territoire de ces États membres. Cette demande ne devrait être faite que lorsque l’obtention d’informations supplémentaires de ces parties privées est nécessaire afin de déterminer les unités nationales concernées. Cette demande devrait être motivée et aussi précise que possible. Les données à caractère personnel pertinentes, qui devraient être les moins sensibles possible et strictement limitées à ce qui est nécessaire et proportionné aux fins de déterminer les unités nationales concernées, devraient être fournies à Europol conformément au droit applicable des États membres concernés. Les autorités compétentes des États membres concernés devraient évaluer la demande d’Europol et décider, conformément à leur droit national, s’ils y donnent suite. Tout traitement de données par des parties privées effectué lors du traitement de ces demandes émanant des autorités compétentes des États membres devrait rester soumis au droit applicable, notamment en ce qui concerne la protection des données. Les parties privées devraient fournir les données demandées aux autorités compétentes des États membres en vue de leur transmission ultérieure à Europol. Dans bon nombre de cas, il est possible que les États membres concernés ne soient pas en mesure d’établir un lien avec leur territoire autre qu’en raison du fait que la partie privée détenant les données en question est établie ou légalement représentée sur leur territoire. Nonobstant la question de savoir s’ils sont compétents en ce qui concerne la forme de criminalité spécifique, les États membres devraient, en tout état de cause, faire en sorte que leurs autorités compétentes puissent obtenir des données à caractère personnel auprès de parties privées afin de fournir à Europol les informations nécessaires à la réalisation de ses objectifs, dans le strict respect des garanties procédurales établies par leur droit national.(40)Afin de faire en sorte qu’Europol ne conserve pas les données à caractère personnel reçues directement de parties privées plus longtemps que ce qui est nécessaire aux fins de déterminer les unités nationales concernées, les délais prévus pour la conservation de données à caractère personnel par Europol devraient s’appliquer. Une fois qu’Europol a épuisé tous les moyens à sa disposition pour déterminer les unités nationales concernées et qu’elle ne peut pas raisonnablement s’attendre à déterminer d’autres unités nationales concernées, la conservation de ces données à caractère personnel n’est plus nécessaire et proportionnée aux fins de déterminer les unités nationales concernées. Europol devrait effacer les données à caractère personnel dans les quatre mois après que leur dernière transmission, leur dernier transfert à une unité nationale ou leur dernier transfert à un point de contact d’un pays tiers ou à une autorité d’un pays tiers a eu lieu, à moins que dans ce délai, conformément au droit de l’Union et au droit national, une unité nationale, un point de contact ou une autorité concernée ne transmette à nouveau à Europol les données à caractère personnel comme étant leurs propres données. Si les données à caractère personnel à nouveau transmises faisaient partie d’un ensemble plus vaste de données à caractère personnel, Europol ne devrait conserver que les données à caractère personnel qui ont été transmises à nouveau par une unité nationale, un point de contact ou une autorité concernée.(41)Toute coopération d’Europol avec des parties privées ne devrait ni faire double emploi ni interférer avec les activités des cellules de renseignement financier (CRF) instituées en vertu de la directive (UE) 2015/849 du Parlement européen et du ConseilDirective (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) no 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73). et ne devrait concerner que des informations qui ne doivent pas déjà être fournies aux CRF conformément à ladite directive. Europol devrait poursuivre sa coopération avec les CRF, notamment par l’intermédiaire des unités nationales.(42)Europol devrait être en mesure de fournir aux autorités compétentes des États membres le soutien nécessaire pour interagir avec les parties privées, notamment en fournissant les infrastructures nécessaires à de telles interactions, par exemple, lorsque les autorités compétentes des États membres signalent des contenus à caractère terroriste en ligne, envoient des injonctions de retrait concernant ces contenus aux fournisseurs de services en ligne en vertu du règlement (UE) 2021/784 du Parlement européen et du ConseilRèglement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (JO L 172 du 17.5.2021, p. 79). ou échangent des informations avec des parties privées dans le contexte de cyberattaques. Lorsque les États membres utilisent les infrastructures d’Europol pour échanger des données à caractère personnel relatives à des formes de criminalité ne relevant pas des objectifs d’Europol, cette dernière ne devrait pas avoir accès à ces données. Europol devrait veiller, par des moyens techniques, à ce que ses infrastructures se limitent strictement à fournir un canal pour de telles interactions entre les autorités compétentes des États membres et une partie privée, et à ce qu’Europol prévoie toutes les garanties nécessaires contre l’accès d’une partie privée à toute autre information, dans les systèmes d’Europol, qui n’est pas liée à l’échange avec ladite partie privée.(43)Les attentats terroristes entraînent la diffusion à grande échelle, via les plateformes en ligne, de contenus à caractère terroriste représentant des atteintes à la vie ou à l’intégrité physique ou appelant à des atteintes imminentes à la vie ou à l’intégrité physique, et permettent ainsi de glorifier le terrorisme, de former au terrorisme et, finalement, de radicaliser et de recruter d’autres personnes. En outre, le développement de l’utilisation d’internet pour enregistrer ou partager du matériel pédopornographique perpétue le préjudice subi par les victimes, car ces contenus peuvent facilement être multipliés et diffusés. Afin de prévenir et de combattre les formes de criminalité relevant des objectifs d’Europol, Europol devrait avoir la possibilité de soutenir les actions des États membres visant à lutter efficacement contre la diffusion de contenus à caractère terroriste dans le contexte de situations de crise en ligne découlant d’événements réels en cours ou récents, ainsi que la diffusion en ligne de matériel pédopornographique en ligne, et de soutenir les actions déployées par les fournisseurs de services en ligne qui répondent à leurs obligations au titre du droit de l’Union ainsi que les mesures qu’ils mettent volontairement en œuvre. À cet effet, Europol devrait pouvoir échanger des données à caractère personnel pertinentes, y compris des signatures numériques uniques et non reconvertibles ("hachages"), des adresses IP ou des adresses URL en rapport avec de tels contenus, avec des parties privées établies au sein de l’Union ou dans un pays tiers qui fait l’objet d’une décision d’adéquation ou, en l’absence d’une telle décision, avec lequel un accord international ou un accord de coopération a été conclu, ou lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont prévues dans un instrument juridiquement contraignant ou lorsqu’Europol conclut, sur la base d’une évaluation de toutes les circonstances entourant le transfert de données à caractère personnel, que ces garanties existent dans ce pays tiers. Ces échanges de données à caractère personnel ne devraient avoir lieu qu’aux fins de retirer les contenus à caractère terroriste et le matériel pédopornographique en ligne, notamment lorsqu’on s’attend à voir ces contenus et ce matériel se multiplier de manière exponentielle et acquérir un caractère viral sur les plateformes de plusieurs fournisseurs de services en ligne. Aucune disposition du présent règlement ne devrait être interprétée comme empêchant un État membre d’utiliser les injonctions de retrait prévues par le règlement (UE) 2021/784 comme un instrument de lutte contre les contenus à caractère terroriste en ligne.(44)Afin d’éviter la duplication des efforts et les interférences possibles avec les enquêtes, et de réduire le plus possible la charge pour les fournisseurs de services d’hébergement concernés, Europol devrait aider les autorités compétentes des États membres, et échanger des informations et coopérer avec celles-ci en ce qui concerne les transmissions et les transferts de données à caractère personnel à des parties privées pour faire face aux situations de crise en ligne et lutter contre la diffusion en ligne de matériel pédopornographique en ligne.(45)Le règlement (UE) 2018/1725 établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Si le règlement (UE) 2018/1725 s’applique au traitement par Europol de données administratives à caractère personnel sans lien avec des enquêtes pénales, telles que les données relatives aux membres du personnel, l’article 3, point 2), et le chapitre IX dudit règlement, qui régissent le traitement des données à caractère personnel, ne s’appliquent pas à l’heure actuelle à Europol. Afin d’assurer une protection uniforme et cohérente des personnes physiques à l’égard du traitement de leurs données à caractère personnel, le chapitre IX du règlement (UE) 2018/1725 devrait s’appliquer à Europol conformément à l’article 2, paragraphe 2, dudit règlement et devrait être complété par des dispositions particulières relatives aux opérations de traitement spécifiques qu’Europol devrait effectuer pour accomplir ses missions. Par conséquent, les pouvoirs de contrôle du CEPD sur les opérations de traitement d’Europol devraient être renforcés, conformément aux pouvoirs pertinents applicables au traitement des données administratives à caractère personnel qui s’appliquent à toutes les institutions, tous les organes et organismes de l’Union au titre du chapitre VI du règlement (UE) 2018/1725. À cette fin, lorsqu’Europol traite des données à caractère personnel à des fins opérationnelles, le CEPD devrait pouvoir ordonner à Europol de mettre ses opérations de traitement en conformité avec le présent règlement, et ordonner la suspension des flux de données vers un destinataire situé dans un État membre, un pays tiers ou une organisation internationale, et devrait pouvoir imposer une amende administrative en cas de non-respect par Europol.(46)Le traitement de données aux fins du présent règlement pourrait impliquer le traitement de catégories particulières de données à caractère personnel énoncées dans le règlement (UE) 2016/679 du Parlement européen et du ConseilRèglement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que les photographies ne relèvent de la définition de données biométriques prévue à l’article 3, point 18), du règlement (UE) 2018/1725 que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique.(47)Le mécanisme de consultation préalable impliquant le CEPD prévu par le règlement (UE) 2018/1725 constitue une garantie importante pour les nouveaux types d’opérations de traitement. Cependant, ce mécanisme ne devrait pas s’appliquer à des activités opérationnelles individuelles spécifiques telles que les projets d’analyse opérationnelle, mais à l’utilisation de nouveaux systèmes des technologies de l’information pour le traitement des données à caractère personnel et à toute modification importante de ces systèmes qui présenterait des risques élevés pour les droits et libertés des personnes concernées. Le délai dans lequel le CEPD devrait être tenu de fournir un avis écrit sur de telles consultations ne devrait pas pouvoir être suspendu. Dans le cas d’activités de traitement revêtant une importance essentielle pour l’exécution des missions d’Europol, qui sont particulièrement urgentes, Europol devrait pouvoir exceptionnellement déjà commencer le traitement après que la consultation préalable a été lancée, même si le délai prévu pour la fourniture d’un avis écrit par le CEPD n’a pas encore expiré. Une telle urgence peut survenir dans des situations revêtant une importance essentielle pour l’exécution des missions d’Europol, lorsque le traitement est nécessaire pour prévenir et combattre une menace immédiate d’une forme de criminalité qui relève des objectifs d’Europol et pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne. Le délégué à la protection des données d’Europol devrait être associé à l’évaluation de l’urgence et de la nécessité d’un tel traitement avant l’expiration du délai imparti au CEPD pour répondre à la consultation préalable. Le délégué à la protection des données d’Europol devrait superviser ce traitement. Le CEPD devrait avoir la possibilité d’exercer ses compétences à l’égard de ce traitement.(48)Compte tenu des problèmes que posent pour la sécurité de l’Union la rapidité des évolutions technologiques et l’exploitation des nouvelles technologies par les terroristes et autres criminels, les autorités compétentes des États membres doivent renforcer leurs capacités technologiques permettant de recenser, d’obtenir et d’analyser les données nécessaires aux enquêtes relatives aux infractions pénales. Europol devrait avoir la possibilité d’aider les États membres à utiliser les technologies émergentes, à explorer de nouvelles approches et à élaborer des solutions technologiques communes leur permettant de prévenir et de combattre plus efficacement les formes de criminalité qui relèvent des objectifs d’Europol. Dans le même temps, Europol devrait veiller à ce que le développement, l’utilisation et le déploiement de nouvelles technologies reposent sur les principes de transparence, d’explicabilité, d’équité et de responsabilité, à ce qu’ils ne compromettent pas les libertés et droits fondamentaux et à ce qu’ils respectent le droit de l’Union. À cet effet, Europol devrait pouvoir mener des projets de recherche et d’innovation concernant les questions régies par le présent règlement dans le cadre général pour les projets de recherche et d’innovation fixé par le conseil d’administration dans un document contraignant. Ce document devrait être actualisé en tant que de besoin et mis à la disposition du CEPD. Ces projets ne devraient pouvoir inclure le traitement de données à caractère personnel que lorsque certaines conditions sont remplies, à savoir que le traitement des données à caractère personnel est strictement nécessaire, que l’objectif du projet concerné ne peut pas être atteint par l’utilisation de données à caractère non personnel, telles que des données synthétiques ou anonymes, et que le strict respect des droits fondamentaux, et notamment du principe de non-discrimination, est garanti.Le traitement de catégories particulières de données à caractère personnel à des fins de recherche et d’innovation ne devrait être autorisé que s’il est strictement nécessaire. Compte tenu de la sensibilité de ce type de traitement, des garanties supplémentaires appropriées, telles que la pseudonymisation, devraient s’appliquer. Afin d’éviter les biais dans la prise de décision algorithmique, il convient d’autoriser Europol à traiter des données à caractère personnel qui ne portent pas sur les catégories de personnes concernées énumérées à l’annexe II. Europol devrait conserver les journaux de tous les traitements de données à caractère personnel effectués dans le cadre de ses projets de recherche et d’innovation uniquement aux fins de vérifier l’exactitude du résultat du traitement des données et uniquement pour la durée nécessaire à cette vérification. Les dispositions relatives à l’élaboration de nouveaux outils par Europol ne devraient pas constituer une base juridique pour leur déploiement au niveau de l’Union ou au niveau national. Afin de stimuler l’innovation et de renforcer les synergies en matière de projets de recherche et d’innovation, il importe qu’Europol intensifie sa coopération avec les réseaux pertinents de praticiens des États membres et d’autres agences de l’Union, dans le cadre de leurs compétences respectives dans ce domaine, et soutienne d’autres formes de coopération connexes telles que le soutien concernant le secrétariat du pôle d’innovation de l’Union européenne pour la sécurité intérieure en tant que réseau collaboratif de laboratoires d’innovation.(49)Europol devrait jouer un rôle clé en aidant les États membres à développer de nouvelles solutions technologiques fondées sur l’intelligence artificielle qui sont pertinentes pour atteindre les objectifs d’Europol et qui bénéficient aux autorités compétentes des États membres dans toute l’Union. Cette aide devrait être fournie dans le strict respect des libertés et droits fondamentaux, y compris le principe de non-discrimination. Europol devrait jouer un rôle clé dans la promotion du développement et du déploiement d’une intelligence artificielle éthique, fiable et axée sur le facteur humain, soumise à de solides garanties sur le plan de la sécurité, de la sûreté, de la transparence, de l’explicabilité et des droits fondamentaux.(50)Europol devrait informer le CEPD avant de lancer ses projets de recherche et d’innovation impliquant le traitement de données à caractère personnel. Europol devrait soit informer soit consulter son conseil d’administration, conformément à certains critères qui devraient être énoncés dans des lignes directrices pertinentes. Europol ne devrait pas traiter des données aux fins de projets de recherche et d’innovation sans le consentement de l’État membre, de l’organe de l’Union, du pays tiers ou de l’organisation internationale qui a transmis les données à Europol, à moins que cet État membre, cet organe de l’Union, ce pays tiers ou cette organisation internationale n’ait donné son accord préalable à ce traitement à cette fin. Pour chaque projet, Europol devrait procéder, avant le traitement, à une analyse d’impact relative à la protection des données afin de garantir le plein respect du droit à la protection des données et de l’ensemble des autres libertés et droits fondamentaux des personnes concernées. L’analyse d’impact relative à la protection des données devrait inclure une évaluation de la pertinence, de la nécessité et de la proportionnalité des données à caractère personnel qui doivent être traitées aux fins spécifiques du projet, y compris l’exigence de minimisation des données et une évaluation de tout biais potentiel dans les résultats et dans les données à caractère personnel à traiter aux fins spécifiques du projet, ainsi que des mesures envisagées pour faire face à ces risques. L’élaboration de nouveaux outils par Europol devrait se faire sans préjudice de la base juridique, y compris les motifs du traitement des données à caractère personnel concernées, qui serait ultérieurement requise pour le déploiement desdits outils au niveau de l’Union ou au niveau national.(51)La fourniture d’outils et de capacités supplémentaires à Europol nécessite de renforcer le contrôle démocratique et la responsabilité d’Europol. Le contrôle parlementaire conjoint représente un élément important du contrôle politique des activités d’Europol. Afin de permettre un contrôle politique efficace de la manière dont Europol utilise les outils et capacités supplémentaires qui lui sont fournis en vertu du présent règlement, Europol devrait fournir au groupe de contrôle parlementaire conjoint et aux États membres des informations annuelles détaillées sur le développement, l’utilisation et l’efficacité de ces outils et capacités ainsi que sur les résultats de leur utilisation, notamment en ce qui concerne les projets de recherche et d’innovation ainsi que les nouvelles activités ou la mise en place d’éventuels nouveaux centres spécialisés au sein d’Europol. En outre, deux représentants du groupe de contrôle parlementaire conjoint, l’un pour le Parlement européen et l’autre pour les parlements nationaux, afin de refléter la nature duale de la composition du groupe de contrôle parlementaire conjoint, devraient être invités à au moins deux réunions ordinaires du conseil d’administration par an pour y prendre la parole au nom du groupe de contrôle parlementaire conjoint et débattre du rapport d’activité annuel consolidé, du document de programmation unique et du budget annuel, des questions et réponses écrites du groupe de contrôle parlementaire conjoint, ainsi que des relations extérieures et des partenariats, tout en respectant les différents rôles et responsabilités du conseil d’administration et du groupe de contrôle parlementaire conjoint conformément au présent règlement. Le conseil d’administration, avec les représentants du groupe de contrôle parlementaire conjoint, devraient pouvoir déterminer d’autres questions d’intérêt politique à débattre. Compte tenu de la mission de contrôle du groupe de contrôle parlementaire conjoint, les deux représentants de ce groupe ne devraient pas disposer d’un droit de vote au conseil d’administration. Les activités de recherche et d’innovation planifiées devraient figurer dans le document de programmation unique contenant la programmation pluriannuelle et le programme de travail annuel d’Europol et être transmises au groupe de contrôle parlementaire conjoint.(52)Sur proposition du directeur exécutif, le conseil d’administration devrait désigner un officier aux droits fondamentaux chargé d’aider Europol à garantir le respect des droits fondamentaux dans toutes ses activités et missions, notamment les projets de recherche et d’innovation d’Europol et les échanges de données à caractère personnel avec des parties privées. Un membre du personnel existant d’Europol qui a reçu une formation spéciale concernant le droit et la pratique en matière de droits fondamentaux devrait pouvoir être désigné en tant qu’officier aux droits fondamentaux. L’officier aux droits fondamentaux devrait coopérer étroitement avec le délégué à la protection des données dans le cadre de leurs compétences respectives. Les questions concernant la protection des données devraient relever entièrement de la responsabilité du délégué à la protection des données.(53)Étant donné que l’objectif du présent règlement, à savoir soutenir et renforcer l’action des autorités compétentes des États membres et leur collaboration mutuelle dans la prévention des formes graves de criminalité affectant deux ou plusieurs États membres, du terrorisme et des formes de criminalité portant atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union, ainsi que dans la lutte contre ces phénomènes, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison du caractère transfrontière des formes graves de criminalité et du terrorisme et de la nécessité d’une réaction coordonnée aux menaces pour la sécurité qui s’y rapportent, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.(54)Conformément à l’article 3 du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, l’Irlande a notifié son souhait de participer à l’adoption et à l’application du présent règlement.(55)Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark ne participe pas à l’adoption du présent règlement et n’est pas lié par celui-ci ni soumis à son application.(56)Le CEPD a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 8 mars 2021JO C 143 du 23.4.2021, p. 6..(57)Le présent règlement respecte pleinement les garanties et droits fondamentaux et observe les principes reconnus en particulier par la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée "Charte"), notamment le droit au respect de la vie privée et familiale et le droit à la protection des données à caractère personnel prévus par les articles 7 et 8 de la Charte, ainsi que par l’article 16 du traité sur le fonctionnement de l’Union européenne. Compte tenu de l’importance du traitement de données à caractère personnel pour l’action des services répressifs en général, et pour le soutien fourni par Europol en particulier, le présent règlement devrait comprendre des garanties renforcées et des mécanismes en matière de contrôle démocratique et de responsabilité, pour garantir que les activités et missions d’Europol sont menées dans le strict respect des droits fondamentaux tels qu’ils sont consacrés par la Charte, notamment le droit à l’égalité devant la loi, le droit à la non-discrimination et le droit à un recours effectif devant la juridiction nationale compétente contre toute mesure prise en application du présent règlement. Tout traitement de données à caractère personnel au titre du présent règlement devrait être limité à ce qui est strictement nécessaire et proportionné et être soumis à des conditions claires, à des exigences strictes et au contrôle effectif du CEPD.(58)Il convient donc de modifier le règlement (UE) 2016/794 en conséquence.(59)Afin de permettre l’application rapide des mesures prévues dans le présent règlement, il convient que celui-ci entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne,ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

Loading ...