1.   Dans la mesure nécessaire pour atteindre ses objectifs tels qu'énoncés à l'article 3, Europol peut traiter des informations, y compris des données à caractère personnel. 2.  

Les données à caractère personnel ne peuvent être traitées que pour les finalités ci-après:

a) 

recoupements visant à établir des liens ou d'autres rapports pertinents entre des informations relatives:

i) 

aux personnes qui sont soupçonnées d'avoir commis une infraction pénale ou d'avoir participé à une infraction pénale relevant de la compétence d'Europol, ou qui ont été condamnées pour une telle infraction;

ii) 

aux personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire qu'elles commettront des infractions pénales relevant de la compétence d'Europol;

b) 

analyses de nature stratégique ou thématique;

c) 

analyses opérationnelles;

d) 

facilitation, y compris en utilisant SIENA, de l’échange d’informations entre les États membres, Europol, d’autres organes de l’Union, les pays tiers, les organisations internationales et des parties privées;

e) 

projets de recherche et d’innovation;

f) 

soutien apporté aux États membres, à leur demande, en ce qui concerne l’information du public sur les individus soupçonnés ou condamnés qui sont recherchés, en vertu d’une décision judiciaire nationale relative à une forme de criminalité relevant des objectifs d’Europol, et facilitation de la fourniture d’informations sur ces individus par le public aux États membres et à Europol.

3.  

Le traitement aux fins des analyses opérationnelles visées au paragraphe 2, point c), est effectué au moyen de projets d'analyse opérationnelle auxquels s'appliquent les garanties spécifiques suivantes:

a) 

pour chaque projet d'analyse opérationnelle, le directeur exécutif définit la finalité spécifique, les catégories de données à caractère personnel et les catégories de personnes concernées, les participants, la durée de conservation et les conditions d'accès, de transfert et d'utilisation des données concernées et en informe le conseil d'administration et le CEPD;

b) 

les données à caractère personnel ne peuvent être collectées et traitées qu'aux fins du projet d'analyse opérationnelle spécifié. Lorsqu'il apparaît que les données à caractère personnel peuvent être utiles pour un autre projet d'analyse opérationnelle, un traitement ultérieur de ces données n'est autorisé que dans la mesure où il est nécessaire et proportionné et où les données à caractère personnel sont compatibles avec les dispositions prévues au point a) qui s'appliquent à l'autre projet d'analyse;

c) 

seul le personnel habilité peut avoir accès aux données du projet concerné et les traiter.

3 bis.   Si cela est nécessaire pour réaliser les objectifs des projets de recherche et d’innovation d’Europol, le traitement de données à caractère personnel à cette fin n’est effectué que dans le cadre de projets de recherche et d’innovation d’Europol pour lesquels les finalités et les objectifs sont clairement définis, et a lieu conformément à l’article 33 bis. 4.   Le traitement visé aux paragraphes 2 et 3 est effectué dans le respect des garanties relatives à la protection des données prévues dans le présent règlement. Europol documente ces opérations de traitement comme il se doit. Cette documentation est, sur demande, mise à la disposition du délégué à la protection des données et du CEPD aux fins du contrôle de la licéité des opérations de traitement. 5.   Sans préjudice de l’article 8, paragraphe 4, de l’article 18, paragraphe 2, point e), de l’article 18 bis, et du traitement des données en vertu de l’article 26, paragraphe 6 quater, lorsque les infrastructures d’Europol sont utilisées pour des échanges bilatéraux de données à caractère personnel et qu’Europol n’a pas accès au contenu des données, les catégories de données à caractère personnel et les catégories de personnes concernées dont les données peuvent être collectées et traitées pour les finalités du paragraphe 2 du présent article sont énumérées à l’annexe II. 5 bis.   Conformément à l’article 73 du règlement (UE) 2018/1725 du Parlement européen et du Conseil ( 14 ), Europol établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel qui portent sur différentes catégories de personnes concernées énumérées à l’annexe II. 6.   Europol peut traiter temporairement des données afin de déterminer si, et, dans l’affirmative, pour quelle finalité parmi celles visées au paragraphe 2, ces données sont pertinentes pour ses tâches. Le délai de traitement de ces données ne dépasse pas six mois à partir de leur réception. 6 bis.   Préalablement au traitement des données en vertu du paragraphe 2 du présent article, lorsque cela est strictement nécessaire à la seule fin de déterminer si les données à caractère personnel respectent le paragraphe 5 du présent article, Europol peut traiter temporairement les données à caractère personnel qui ont été fournies en vertu de l’article 17, paragraphes 1 et 2, y compris en comparant ces données avec l’ensemble des données déjà traitées par Europol conformément au paragraphe 5 du présent article.

Europol traite des données à caractère personnel en vertu du premier alinéa pendant une période ne dépassant pas dix-huit mois à partir du moment où Europol établit que ces données relèvent de ses objectifs, ou, dans des cas justifiés, pendant une plus longue période lorsque cela est nécessaire aux fins du présent article. Europol informe le CEPD de toute prolongation de la période de traitement. La durée maximale du traitement des données en vertu du premier alinéa est de trois ans. Ces données à caractère personnel sont séparées des autres données sur le plan fonctionnel.

Lorsqu’Europol conclut que les données à caractère personnel visées au premier alinéa du présent paragraphe ne respectent pas le paragraphe 5, Europol efface ces données et en informe, s’il y a lieu, le fournisseur de ces données effacées.

6 ter.   Le conseil d’administration, sur proposition du directeur exécutif, après consultation du CEPD et dans le strict respect des principes visés à l’article 71 du règlement (UE) 2018/1725, précise les conditions relatives au traitement des données visées aux paragraphes 6 et 6 bis du présent article, notamment en ce qui concerne la fourniture de ces données, l’accès à celles-ci et leur utilisation, ainsi que les délais de conservation et d’effacement de ces données, qui ne dépassent pas ceux fixés aux paragraphes 6 et 6 bis du présent article. 7.   Le conseil d'administration, après consultation du CEPD, adopte, le cas échéant, des lignes directrices précisant davantage les procédures de traitement des informations aux fins énumérées au paragraphe 2, conformément à l'article 11, paragraphe 1, point q).