Europol doit supprimer les données concernant les personnes non liées à la criminalité

PROTECTION DONNEES Le Contrôleur européen accuse Europol de non-respect de la politique de protection des données

Anaëlle Lucina pour 20 Minutes
— 
Europol forcée d?effacer les données sur les personnes non liées à la criminalité
Europol forcée d?effacer les données sur les personnes non liées à la criminalité — Geeko

Le 3 janvier 2022, Europol, l’agence de maintien de l’ordre de l’Union européenne (UE), a reçu l’ordre de supprimer un certain nombre de données personnelles récupérées auprès des agences de police des États membres.

La décision provient du Contrôleur européen de la protection des données (CEPD). Il s’agit d’une autorité de contrôle indépendante de l’UE chargée de la protection de la vie privée et des données. Par «données personnelles » il faut comprendre données de localisation ou toutes données portant sur un numéro d’identification ou un identifiant en ligne associé à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale d’un individu.

« La décision du CEPD vise à protéger les personnes dont les données personnelles sont incluses dans les ensembles de données transférés à Europol par les autorités répressives des États membres de l’UE », a déclaré le CEPD.

Quel est le volume de données concernées ?

À chaque enquête criminelle, les autorités de police nationales des pays de l’UE partagent des données avec Europol. L’organe de police européen peut ainsi les aider plus efficacement dans leurs recherches et leurs enquêtes.

Selon un rapport du Guardian, le volume total de données stockées dans les systèmes d’Europol s’élève à environ 4 pétaoctets, soit 1.000.000 gigaoctets. Les fichiers concerneraient au moins un quart de million de personnes.

Un ordre de rappel

L’ordre fait suite à une enquête d’initiative ouverte le 30 avril 2019. Le CEPD suspectait Europol de mener des activités de traitement des données allant au-delà de son mandat. Concrètement, le contrôleur accuse Europol d’avoir stocké de grandes quantités de données sur des individus n’étant liés à aucune activité criminelle, mettant ainsi leurs droits fondamentaux en danger.

Le CEPD avait déjà réprimandé l’agence de lutte contre la criminalité il y a deux ans « pour le stockage continu de volumes importants » de données sans catégorisation des personnes concernées. « Ce qui présente un risque pour les droits fondamentaux des personnes », avait conclu l’organisme. Suspects, victimes, informateurs, individus à surveiller… Le contrôleur avait demandé à Europol de classifier clairement les personnes concernées par les données récupérées. Et donc, de supprimer les informations portant sur des personnes « non-criminelles ».

Un délai de six mois

« Bien que certaines mesures aient été mises en place par Europol depuis lors, Europol ne s’est pas conformée aux demandes du CEPD de définir une période de conservation des données appropriée pour filtrer et extraire les données personnelles autorisées pour l’analyse en vertu du règlement Europol », explique le CEPD. Autrement dit, Europol conservait ces données plus longtemps que nécessaire. L’organisme ne respectait donc pas les principes de limitation du stockage énumérés par le règlement Europol.

Le CEPD a donc imposé une nouvelle période de conservation. Autrement dit, Europol possède de six mois pour effacer toutes les données qui n’ont pas été filtrées par ses services. L’objectif est d’empêcher leur traitement sur le long terme. Dans douze mois, l’agence devra prouver que les données conservées sont pertinentes sur le plan pénal.

Voici comment l’organisme justifie ce délai : « Une période de six mois pour la pré-analyse et le filtrage de grands ensembles de données devrait permettre à Europol de répondre aux demandes opérationnelles des États membres de l’UE qui comptent sur Europol pour un soutien technique et analytique, tout en minimisant les risques pour les droits et libertés des personnes ». Ce à quoi un porte-parole d’Europol à EURACTIV a répondu que « la décision du CEPD aura un impact sur la capacité d’Europol à analyser des ensembles de données complexes et volumineux à la demande des services répressifs de l’UE ». Jusqu’à présent, Europol a refusé d’établir un calendrier fixe, le considérant comme incompatible avec ses opérations.