Le gendarme européen des données personnelles somme Europol d'effacer de sa base de données de 4 pétaoctets celles qui ne concernent pas les suspects, témoins et certaines victimes et ce, 6 mois après qu'elles aient été collectées. Europol se défend en plaidant que ses enquêtes, a fortiori internationales, durent bien plus longtemps que 6 mois.
Le Contrôleur européen de la protection des données (CEPD), l’autorité indépendante chargée de la protection des données au niveau de l’Union européenne (UE), vient d'ordonner à Europol d’effectuer, d’ici un an, le tri entre les données exploitées de façon légale (celles qui concernent des suspects, des témoins et certaines victimes) et toutes les autres, qui devront être effacées.
Le CEPD avait déjà réprimandé Europol en septembre 2020 pour le stockage continu d'importants volumes de données sans catégorisation des personnes concernées, au motif que cela « constitue un risque pour les droits fondamentaux des individus ».
Bien que certaines mesures aient été mises en place depuis lors, « Europol n'a pas répondu aux demandes du CEPD de définir une période de conservation des données appropriée pour filtrer et extraire les données à caractère personnel autorisées à des fins d'analyse en vertu du règlement Europol », explique le CEPD :
« Cela signifie qu'Europol conservait ces données plus longtemps que nécessaire, contrairement aux principes de minimisation des données et de limitation du stockage, inscrits dans le règlement Europol. »
Il a donc décidé d'« user de ses pouvoirs de correction et d'imposer une période de conservation de 6 mois (pour filtrer et extraire les données personnelles) » :
« Les ensembles de données de plus de 6 mois qui n'ont pas subi cette catégorisation des personnes concernées doivent être effacés. Cela signifie qu'Europol ne sera plus autorisé à conserver des données sur des personnes qui n'ont pas été liées à un crime ou à une activité criminelle pendant de longues périodes sans délai fixé. »
Le CEPD a donc accordé à Europol un délai de 12 mois pour se conformer à sa décision pour les ensembles de données déjà reçus avant que cette décision ne soit notifiée à Europol. Il se dit « convaincu que l'ordonnance garantira le respect par Europol de ses obligations au titre du règlement Europol tout en maintenant ses capacités opérationnelles ».
Wojciech Wiewiórowski, qui dirige le CEPD depuis 2019, déplore en effet qu'« il n'y a eu aucun progrès significatif pour répondre à la principale préoccupation selon laquelle Europol stocke en permanence des données à caractère personnel sur des personnes lorsqu'il n'a pas établi que le traitement respecte les limites fixées dans le règlement Europol » :
« Cette collecte et ce traitement de données peuvent représenter un volume énorme d'informations, dont le contenu précis est souvent inconnu d'Europol jusqu'au moment où elles sont analysées et extraites – un processus qui dure souvent des années. »
Une base de données d’au moins 4 millions de Go
« C’est un camouflet pour Europol », une « décision sans précédent », estime un pool de journalistes indépendants associés à l'ONG néerlandaise de journalisme d'investigation collaboratif Lighthouse Reports dans un enquête consacrée aux « coulisses de ce bras de fer, sur fond d’inquiétude sur les pratiques d’Europol », publiée par Mediapart et plusieurs médias européens, dont The Guardian.
Leur enquête, basée sur des documents internes à l’Union européenne obtenus grâce à des requêtes fondées sur la réglementation sur l’accès aux documents administratifs, mais publiée le même jour que la décision du CEPD, révèle qu’« Europol a tout fait pour retarder la décision du CEPD au sujet de l’exploitation de ses données ».
Il s'agirait en tout état de cause de « la première fois qu’un organisme de l’Union européenne confirme qu’Europol a violé les règles de protection des données personnelles ». Europol aurait en effet accumulé une base de données d’au moins 4 millions de Go, « soit l’équivalent du cinquième du contenu de la bibliothèque du Congrès américain », incluant les données exploitées « de façon légale (celles qui concernent des suspects, des témoins et certaines victimes) et toutes les autres, qui devront être effacées ».
Ces informations sont issues de procédures judiciaires et policières versées par les États membres, de la surveillance de téléphones chiffrés, mais aussi d’un programme de surveillance des migrants « à la légalité très contestée », précise Lighthouse :
« On trouve, dans cette énorme quantité de données, des informations sensibles sur au moins 250 000 personnes soupçonnées de liens actuels ou passés avec le terrorisme. Mais aussi, et c’est tout le problème, sur des individus non suspectés d’avoir commis le moindre délit. »
Ni droit d'accès, ni d'effacement
Si, en théorie, l’agence est soumise à une réglementation stricte sur la nature des données personnelles qu’elle peut stocker et leur durée de conservation, « le contenu de la base de données est inconnu », précise Lighthouse Reports :
« Une poignée d’Européens seulement sont parvenus à savoir qu’ils figuraient dans la base. Aucun n’est parvenu à avoir accès à ses informations personnelles, ni à les faire effacer. »
Parmi eux figure le militant Franck van der Linde, placé sur une liste d’individus soupçonnés d’extrémisme et de radicalisation aux Pays-Bas, avant d'en être retiré en 2019. Ayant eu accès à son dossier partiellement déclassifié, il a en effet découvert que la police néerlandaise avait partagé les données le concernant à la police allemande lorsqu'il avait déménagé à Berlin.
Contactée, Europol lui a répondu ne disposer d’aucune donnée à laquelle il « [ait] le droit d’avoir accès ». L’activiste a alors saisi le CEPD :
« Je ne sais toujours pas s’ils ont supprimé les données après que les autorités néerlandaises leur ont indiqué qu’elles ne me considèrent pas comme un extrémiste. Europol est une boîte noire. »
La gendarmerie française ayant réussi à casser le chiffrement du cryptophone Encrochat, avant d'y installer un logiciel espion, avec l'aide de la DGSI, Europol a aussi eu accès à 120 millions de messages et à des dizaines de millions d’enregistrements d’appels, de photos et de notes de ses utilisateurs, majoritairement criminels.
Or, la clientèle d’EncroChat comprenait aussi des individus qui ne sont pas liés à la criminalité, comme des avocats, des journalistes et des hommes d’affaires, souligne Lighthouse.
Parmi eux, l’avocat néerlandais Haroon Raza, qui a demandé que ses données soient effacées, a priori sans succès pour le moment : « D’après ce que j’ai pu comprendre, une copie se trouve toujours dans les bases de données d’Europol, où elle pourrait rester à jamais. »
Le CEPD compare Europol à la NSA
« Les personnes concernées courent le risque d’être liées à tort à une activité criminelle dans toute l’UE, avec tous les dommages potentiels pour leur vie personnelle et familiale, leur liberté de mouvement et leur profession que cela implique », soulignait le CEPD dans sa précédente décision de 2020.
Les documents internes relatifs à cette procédure et que Lighthouse a pu consulter montrent qu’Europol a tenté de gagner du temps, alors même que le CEPD signifiait à l’agence qu’elle n’a toujours pas mis un terme à sa « violation de la réglementation ». Europol et ses soutiens dans la hiérarchie de l’Union européenne auraient alors cherché à faire adopter une nouvelle législation européenne, légalisant ses pratiques a posteriori.
La Commission européenne a ainsi proposé de modifier la règlementation Europol de sorte que « si les nouvelles règles sont adoptées, elles légaliseraient dans le futur les pratiques actuelles d'Europol en matière de conservation des données ainsi que l’usage de l’intelligence artificielle pour leur exploitation ».
D'après plusieurs sources, le CEPD aurait aussi été incité à « atténuer » ses critiques publiques. Mais Wojciech Wiewiórowski a indiqué à Lighthouse qu'une réunion, organisée en décembre 2021 par Monique Pariat, directrice générale des affaires intérieures de l’UE, n’avait pas permis de dégager de solutions.
Par conséquent, « il n’y avait pas d’autre moyen de résoudre le problème que d’effacer les données [non triées] conservées depuis plus de six mois », se justifie le CEPD.
En juin 2021, Wiewiórowski expliquait aux eurodéputés qu’Europol utilisait des arguments similaires à ceux de la NSA suite aux révélations Snowden :
« Ce que la NSA a dit aux Européens après le début du scandale Prism, c’est qu’ils ne traitent pas les données [immédiatement], ils ne font que les collecter, puis ils les traiteront uniquement si cela est nécessaire pour leurs enquêtes. Ce n’est pas conforme à l’approche européenne du traitement des données personnelles. »
On relèvera cela dit que, au-delà du parallèle en terme de raisonnement, les conditions, la nature et le volume de données sont difficilement comparables avec ce que fait la NSA : la majeure partie des données dont il est question ont en effet été interceptées ou saisies par les polices judiciaires des pays membres d'Europol, et partagées avec cette dernière dans le cadre d'enquêtes internationales.
Europol rappelle que les enquêtes durent plus de 6 mois
Sollicitée par Lighthouse, Europol dément avoir commis tout acte répréhensible et estime que le CEPD a surinterprété les règles qui régissent le fonctionnement de l’agence de coopération policière : « La règlementation Europol n’a pas été conçue par le législateur comme une exigence impossible à respecter en pratique. »
Dans une déclaration en réponse à la décision du CEPD, Europol explique qu'elle reçoit « de plus en plus d'ensembles de données » de ses États membres « pour faciliter leur traitement et leur analyse ».
Ce pour quoi, « attachée aux normes les plus élevées en matière de protection des données », elle « a d'abord contacté de manière proactive » le CEPD le 1er avril 2019, « pour obtenir des conseils sur le traitement des ensembles de données volumineux et complexes qui sont collectés dans le cadre d'enquêtes judiciaires légales ».
Depuis lors, Europol a « suivi les orientations données par le CEPD », et tenu son conseil d'administration informé des progrès accomplis :
« Hier, le CEPD a publié sa décision sur la conservation des ensembles de données sans catégorisation des personnes concernées (DSC) par Europol. Le DSC est l'acte d'identifier dans ces ensembles de données les suspects, les futurs criminels potentiels, les contacts et associés, les victimes, les témoins et les informateurs liés à des activités criminelles. »
Le règlement actuel ne contenant pas de disposition explicite concernant la durée maximale de conservation des DSC, le CEPD a dès lors fixé ce délai à 6 mois, à l'expiration duquel il demande à Europol d'effacer les données :
« La décision du CEPD aura une incidence sur la capacité d'Europol à analyser des ensembles de données complexes et volumineux à la demande des services répressifs de l'UE. Cela concerne les données détenues par les États membres de l'UE et les partenaires opérationnels et fournies à Europol dans le cadre d'enquêtes soutenues dans le cadre de son mandat. Cela inclut le terrorisme, la cybercriminalité, le trafic international de drogue et la maltraitance des enfants, entre autres. »
Et ce, alors que le travail d'Europol « s'étend souvent sur une période supérieure à six mois, tout comme les enquêtes policières qu'il soutient ».
Commentaires (8)
#1
En 3 bafouilles invérifiables, le DPO de Europol t’envoie bouler le CEPD :
Ayé, j’ai clic et vidé la corbeille : 72% de données non traitées ou pas en cours de traitement ont été supprimées. On est conforme. Ravi d’avoir pu vous satisfaire. La sortie est par là…
#2
Et encore et toujours on sort l’argument du terrorisme, le on a pas le temps ou des argument fallafel pour justifié ce stockage illégal…
On vise les donnée non étiquetée a des criminels (ou les autre catégorie cité dans l’article) et ils répondent que les enquête dure plus de 6 mois … hors s’il sont une une enquête c’est que les données ont été traitée (il me semble) et ne doivent donc pas être supprimé après 6 mois, nice try mais on est pas débile donc ca passe pas.
#3
Un Poirot vaut mieux que 6 tu l’auras toutes les saisons !
Mais on veut relancer le club des 5…
#4
Les bons vieux arguments à la pèpère : “On garde les données des clients ad vitam eternam parce qu’un jour on va bien en avoir besoin”
Dans le même temps, je comprends leur position. Si l’enquête qui va prendre des années montre qu’à un moment donné untel innocent a finalement pris part à des actes criminels alors garder ces données est capital surtout si on ne peut plus garantir l’obtention de ces données ensuite.
Kayser Sauzé ne s’en serait pas échappé !
#5
C’est un peu la partie qui me dérange.
Autant pour la NSA, la collecte était illégale et la suppression était logique.
Ici, la collecte est issue des sources policières européennes et rien ne dit qu’une personne, innocente sur toutes les coutures, soit au final complice d’un évènement une fois par an …
Ça reste un équilibre à trouver mais c’est vrai que 6 mois, c’est plutôt léger.
#5.1
A priori, si les données sont utiles a l’enquête, elles sont bien conservées, que ce soit par Europol ou la police locale. De plus, si ces données sont tant liées a une enquête en cours, elles ont déjà du faire l’objet d’un traitement. Donc l’idée serait plutôt de viser les données amassées en masse, comme par exemple sur l’affaire du cryptophone. Que ces données soient utiles a des enquêtes oui, mais de la a stocker “a vie” les données de tout le monde, non.
#6
Mais non, il ne s’agit pas des données des suspects, témoins et victimes … Comme dit dans l’article, il s’agit de données collectées “au hasard” des procédures judiciaires, mais aussi par des programmes de surveillance (dont certains controversés) qui concernent donc des personnes hors enquête.
Les données sont collectées “au cas où”, mais pas analysées tout de suite.
Doit-on vraiment conserver des données personnelles de personnes qui ne sont pas impliquées dans des procédures judiciaires (c’est à dire ni suspect, ni témoin, ni victime), “au cas où” ?
Au cas où une IA permettent d’exploiter ces données dans 10 ans ? 20 ans ?
Alors, il y a certainement un sujet sur la rapidité / l’efficacité des enquêtes de police et des moyens affectés à la Police et la Justice, mais de mon point de vue, ce ne peut pas être en conservant indéfiniment et sans motif des données collectées “au cas où”, qui représentent un risque pour la liberté des citoyens.
Il s’agit encore et toujours de la balance sécurité / liberté.
En Europe, on a une législation qui protège les citoyens de l’exploitation de leurs données, les services de police doivent s’y conformer comme les autres, ça me semble très sain.
Et merci au CEPD de faire son job sans complaisance pour les administrations !
#7
Je suis partagé sur le sujet… et ça me rappelle l’affaire des des malades guéris du covid dont on n’a put générer un pass sanitaire parce que les données de santé ont dut être effacées à 6 mois…
De plus, le problème est en partie que les données en questions ne sont pas du tout rattachées a une personne, objet d’enquête ou pas.
Le volume de donnée énoncé indique qu’au bout de 6 mois, elles n’ont pas été évaluées du tout.
Je ne connais pas la durée moyenne d’une enquête europol, mais en police nationale ça dépasse souvent les 2 ans, et parfois plus de 5.
Je proposerai plutôt de trancher en deux, et d’avoir des responsable RGPD à europol qui seront chargés d’épurer les données touchants aux sources protégées (avocats, journalistes, …) en moins de 6 mois, et de données manifestement hors affaires en moins de 2 ans.