Europol contraint de supprimer un grand nombre de données personnelles

Qu’est ce qu’EUROPOL ?

À ce jour, la collecte de données personnelles par les entreprises est un réel problème auquel chaque individu fait face à l’ère du numérique.

Combien de temps peuvent-elles être conservées ? Où sont-elles sauvegardées ? Par qui le sont-elles ? 

Nombreuses sont les interrogations à cet inquiétant sujet.

C’est ici avec Europol (European Police Office), alias l’office européen de police spécialisé dans la répression de la criminalité sous toutes ses formes, que le problème des données personnelles se pose. 

Créée en 1995 par tous les états membres de l’Union Européenne, Europol joue le rôle d’une plaque tournante entre les polices nationales dans les domaines du terrorisme, du trafic de stupéfiants, de criminalité internationale et de pédophilie. Le but de sa création est d’assurer une certaine forme de sécurité au sein de l’Europe.

Cette lutte contre la criminalité insinue de disposer d’un grand nombre de renseignements tirés d’informations de personnes soupçonnées d’activités criminelles. Pour ainsi dire, cette lutte nécessite la collecte d’une grande quantité de données personnelles qui concernent la localisation ou toutes informations portant sur un numéro d’identification ou identifiant en ligne associés à une personne physique. 

Le 30 avril 2019, l’EDPS (European Data Protection Supervisor), appelé CEPD (Contrôleur Européen de la Protection des Données) et équivalent européen de la CNIL française, avait accusé l’office européen de police de porter atteinte à ses propres règles en matière de collecte et de conservation des données personnelles. Une enquête avait alors été ouverte. 

Europol avait par la suite reçu l’ordre d’en supprimer une partie. Décision que l’office de police avait contesté.

Une fois encore, en septembre 2020, Europol avait été réprimandé par le CEPD quant au volume de stockage de données personnelles allant à l’encontre des droits fondamentaux des personnes au vu de leur innocence.

En effet, il semblerait qu’Europol conserve une quantité de données s’apparentant à un cinquième de l’intégralité du contenu de la bibliothèque du Congrès Américain, il s’agit donc de milliards de données, d’une réserve colossale.

La collecte douteuse d’une trop grande quantité de données 

Outre le premier avertissement en 2020, Europol fait encore parler de lui et de sa collecte douteuse de données personnelles. 

Suite à l’enquête de 2019, les mêmes accusations sont portées à l’encontre d’Europol, à savoir le non respect des règlementations en rapport avec la durée de stockage d’éléments sensibles ainsi que la quantité de données stockées.

Lorsque l’intérêt est porté sur la collecte de cette quantité astronomique de données personnelles, celle-ci s’avère être une collecte illégale : il s’agit d’informations récoltées par le biais de piratages de services cryptés. Il aurait fallu environ 6 ans pour parvenir à une telle collecte de données personnelles.

De ce fait, Europol est même comparé à la National Security Agency (NSA), l’agence de surveillance américaine. 

Pour sa défense, Europol estimait que dans ce genre d’enquêtes, il peut s’avérer fréquent et utile de conserver les données personnelles plus longtemps que ce que prévoit la réglementation initiale. 

Ainsi, le CEPD aurait établi une mauvaise interprétation de ce stockage massif de données personnelles. 

Une solution doit donc nécessairement être appliquée en l’espèce afin de garantir que la collecte et le stockage d’une telle quantité de données personnelles obtenus par des piratages étaient bel et bien nécessaires au maintien de la sécurité en Europe. 

La nécessaire mise en conformité contre la montre 

Le 3 janvier 2022, la sanction est prononcée par le CEPD, il s’agissait de la suivante : Europol dispose d’un délai de 6 mois pour supprimer une partie des données personnelles si aucune activité criminelle n’est repérée par l’interprétation de ses données. Le Commissaire national de l’informatique et des libertés avait justifié cette sanction par le fait que

« Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. »

Étant donné qu’Europol a contesté cette décision, car celle-ci menaçait d’impacter la capacité à analyser ces données complexes, le délai s’est vu rallongé de 6 mois en attendant de trouver une solution plus appropriée ainsi qu’une clarté juridique sur le traitement des Big Data.

Enfin, Europol dispose désormais d’un délai d’un an afin de faire un tri dans les données qui concernent 250 000 personnes dont plus de la majorité ont été déclarées innocentes par manque de preuve d’un lien avec une quelconque activité criminelle. 

Il s’agit donc d’un court délai pour agir tout en sachant qu’il s’agit, en l’espèce, d’une très grande quantité de données.

Les avis quant à cette décision sont mitigés. D’une part les défenseurs de la vie privée soutiennent le CEPD et s’opposent aux défenseurs d’Europol d’autre part. Il convient de souligner l’importance de l’activité d’Europol dans les enquêtes internationales.

En effet, le commissaire européen chargé des affaires intérieures, Ylva Jackson, a déclaré que les données sont nécessaires au bon fonctionnement ainsi que le temps de conservation élevé.

« Ces conflits entre les deux organisations met en lumière les profondes divisions politiques entre décideurs européens quant aux compromis à trouver entre nécessite et vie privée » 

Par ailleurs, Europol prétend vouloir conserver les données personnelles dans le but de créer des systèmes d’intelligence artificielle pour lutter contre le terrorisme et les crimes.

Reste à savoir si ce nouveau projet justifiera la conservation et la collecte de ses innombrables données personnelles…

*****

SOURCES :

LE MONDE, AFP, « Europol sommé de supprimer un grand nombre de données personnelles », 11 janvier 2022, accessible via https://www.lemonde.fr/pixels

MEYER VACHERAND  E., « Europol doit supprimer des milliards de données ne respectant pas la réglementation européenne », 10 janvier 2022, accessible via https://www.letemps.ch/economie

ROBET L., « Europol sommé de supprimer une grande partie de ses données », 14 janvier 2022, accessible via https://www.channelnews.fr

CORET S., « Le Contrôleur européen de la protection des données (CEPD) a ordonné à Europol de supprimer 4 pétaoctets de données personnelles sur des criminels et des citoyens innocents », 13 janvier 2022, accessible via https://droit.developpez.com

SERRIES G., « Pourquoi Europol doit se débarrasser de 4 Po de données personnelles, ou pas », 13 janvier 2022, accessible via https://www.zdnet.fr/actualites

JEROME G., « L’Office européen de police a reçu l’ordre de supprimer des pétaoctects de données pour lesquelles un lien avec la criminalité n’a pas été établi », 11 janvier 2022, accessible via https://www.generation-nt.com

TOUTE L’EUROPE, « Qu’est-ce qu’EUROPOL, l’office européen de police ? », 11 novembre 2020, accessible via https://www.touteleurope.eu

EUROPEAN DATA PROTECTION SUPERVISOR, « EDPS orders Europol to erase data concerning individuals with no established link to a criminal activity », 10 janvier 2022, accessible via https://edps.europa.eu