Europol sommé de supprimer des pétaoctets de données non clairement liées à la criminalité

Europol, l’agence chargée de l’application des lois de l’Union européenne, a reçu l’ordre de supprimer une énorme quantité de données personnelles glanées auprès des services de police des États membres de l’UE au cours des six dernières années. L’ordre de suppression émane du Contrôleur européen de la protection des données (CEPD), un organisme de surveillance qui surveille le respect par les institutions européennes de la législation sur la protection de la vie privée et des données.

Le CEPD a donné un an à Europol pour revoir ses bases de données, puis supprimer toutes les données qui ne peuvent être liées à une enquête pénale.

Le volume total de données stockées dans les systèmes d’Europol s’élève à environ 4 pétaoctets selon rapport dans Le gardien – équivalent à des centaines de milliards de pages de texte imprimé – et comprend des données sur au moins un quart de million de suspects actuels ou anciens de terrorisme et de crimes graves, ainsi que d’autres personnes dans ses réseaux de contact. Les données ont été tirées d’enquêtes pénales menées par les autorités policières nationales dans les pays de l’UE, qui ont ensuite été partagées avec Europol.

Dans le texte de la décision, le CEPD cite une enquête initiale sur le traitement par Europol de données sensibles en 2019, qui a conclu qu’Europol stockait des données à caractère personnel sur des suspects de crime et de terrorisme sans vérifier de manière adéquate si la surveillance des personnes signalées était justifiée. Un an plus tard, le CEPD a envoyé un avis d’avertissement à Europol pour non-respect de la réglementation en matière de données et exposer les résidents de l’UE au risque d’être liés à tort à des activités criminelles.

« Bien que certaines mesures aient été mises en place par Europol depuis lors, Europol n’a pas répondu aux demandes du CEPD de définir une période de conservation des données appropriée pour filtrer et extraire les données personnelles autorisées à des fins d’analyse en vertu du règlement Europol », a écrit le CEPD. dans un communiqué de presse accompagnant la décision.

En l’absence d’une ligne de conduite claire, le CEPD est désormais intervenu avec plus de force, donnant à Europol un an pour trier les données existantes afin de découvrir ce qui peut être légalement conservé, et lui ordonnant de supprimer toutes les données nouvellement collectées qui ne sont pas classées dans six mois.

« On ne sait pas exactement quels types de données Europol souhaite conserver si vivement, mais nous savons qu’il s’agit d’ensembles de données volumineux constitués au moins en partie de données sur des personnes qu’Europol ne pense pas actuellement pouvoir classer parmi les « suspects », « un futur potentiel criminels », « contacts et associés », « victimes », « témoins » et « informateurs » », a déclaré Michael Veale, professeur agrégé en droits numériques et réglementation à la faculté de droit de l’University College London.

Cet éventail de catégories était déjà extrêmement large, a déclaré Veale, donc le stockage de données qui ne relèvent pas de ces catégories a fait craindre qu’Europol menait une surveillance injustifiée sur des groupes stéréotypés comme étant « suspects » ou « dangereux ».

Ce qui semble clair, c’est que la décision du CEPD provoquera un débat acharné sur l’endroit où l’UE devrait tracer la ligne entre la vie privée et la sécurité. Certains hauts responsables européens n’ont pas tardé à réagir : l’une, la commissaire européenne aux affaires intérieures, Ylva Johansson, a exprimé son mécontentement peu après l’annonce de la décision.

« Les autorités chargées de l’application des lois ont besoin d’outils, de ressources et de temps pour analyser les données qui leur sont légalement transmises », a déclaré Johansson. Le gardien. « En Europe, Europol est la plate-forme qui soutient les autorités policières nationales dans cette tâche herculéenne. »

Johansson a clarifié ses préoccupations à PoliticoEU, suggérant que les services de police nationaux plus petits seraient incapables de donner un sens aux mégadonnées sans s’appuyer sur l’expertise d’Europol.

Mais d’autres militants pour la protection de la vie privée ont salué la décision, qui a été célébrée comme un respect des droits numériques des citoyens de l’UE.

« Cette décision (…) montre une fois de plus que dans l’UE, les droits à la vie privée et à la protection des données sont des droits fondamentaux et sont protégés en tant que tels, même lorsque la pression exercée sur ces droits provient de la police », a déclaré Gabriela Zanfir-Fortuna, vice-présidente. pour la confidentialité mondiale au groupe de réflexion Future of Privacy Forum.

« Dans un État de droit, les activités de police doivent respecter le cadre juridique. Une police qui ne respecte pas les droits fondamentaux ne peut finalement pas être efficace », a déclaré Zanfir-Fortuna.