Le contrôleur européen de la protection des données a donné un ultimatum de 12 mois à Europol de mettre en œuvre les mesures de protection des données du CEPD, la suppression de la vaste pile d’informations personnelles détenues illégalement étant la priorité.
Au cours des six dernières années, Europol a accumulé plus de quatre pétaoctets de données concernant au moins 250 000 personnes, dont la plupart n’ont aucun lien établi avec des activités criminelles. Le Contrôleur européen de la protection des données (CEPD) a décidé de mettre un terme à cette pratique abusive.
Un autre scénario de Snowden
Ce n’est pas la première fois que le CEPD adresse un avertissement à Europol. La situation s’est aggravée parce qu’Europol n’a apporté aucune amélioration notable en plus d’un an depuis que le CEPD a découvert pour la première fois qu’Europol stockait illégalement ces données. La partie la plus alarmante, cependant, est qu’Europol n’a procédé à aucune catégorisation des personnes concernées depuis plus de six ans et qu’il a conservé la plupart des données bien plus longtemps que nécessaire – en violation des principes de base de la minimisation du stockage des données inscrits dans les règlements d’Europol. .
Les informations conservées comprennent non seulement des données sur un quart de million de suspects, mais également sur d’autres personnes avec lesquelles les suspects sont entrés en contact. Des quadrillions d’octets de données ont été accumulés à partir d’enquêtes criminelles nationales au cours des six dernières années. Fondamentalement, toute personne vivant en Europe pourrait figurer sur ces listes sans même le savoir.
Les défenseurs de la vie privée du monde entier sont exaspérés par la pratique d’Europol consistant à stocker des quantités de données aussi exorbitantes et sa réticence à les effacer plus d’un an après l’avertissement du CEPD. Certains comparent déjà ce cas d’abus massif de données par Europol au programme de surveillance de masse de la NSA révélé par Edward Snowden en 2013.
Dernier avertissement
Constatant qu’Europol n’a pas satisfait aux demandes initiales fixées en septembre 2020, le CEPD a pris des mesures correctives plus strictes pour s’assurer que l’agence répressive de l’Union européenne procède cette fois aux ajustements obligatoires. Par exemple, chaque fichier de plus de six mois qui ne fait pas l’objet d’une catégorisation des personnes concernées doit être effacé. Europol devra également soumettre des rapports réguliers au CEPD avec des mises à jour détaillées sur l’état d’avancement de la mise en œuvre de ces mesures. Ces rapports doivent être soumis chaque trimestre au cours des 12 prochains mois (dans le délai de grâce accordé à Europol pour achever les corrections).
Cette collecte et ce traitement de données peuvent représenter un énorme volume d’informations, dont le contenu précis est souvent inconnu d’Europol jusqu’au moment où il est analysé et extrait – un processus qui dure souvent des années.
Sélectionner et catégoriser une telle quantité de données en si peu de temps ne sera certainement pas une tâche simple. Pourtant, le CEPD insiste sur le fait qu’il est temps qu’Europol adhère à la législation sur la protection des données. Enfin, le CEPD a réitéré que six mois est un délai suffisant pour qu’Europol puisse extraire les informations cruciales des ensembles de données lorsqu’il aide les autorités répressives de l’UE.
Confidentialité vs sécurité
Les conclusions et les avertissements du CEPD ont relancé le débat sur ce qui devrait être prioritaire dans une société libre – la protection des droits de l’individu à la vie privée ou la protection de la sécurité nationale. Cependant, même les défenseurs les plus catégoriques de la seconde ne peuvent ignorer le fait que, dans ce cas, l’agence qui était censée appliquer la loi a enfreint certaines des législations européennes les plus importantes.
En outre, la taille des bases de données et l’utilisation de la surveillance de masse qu’elles impliquent sont quelque chose que l’on s’attendrait à voir dans les régimes totalitaires et les dictatures, pas dans l’UE. Enfin, l’idée que nous ne pouvons pas faire confiance à nos forces de l’ordre pour gérer correctement la collecte, la catégorisation et la conservation des données pendant les enquêtes est tout à fait décourageante. Europol a une tâche importante à accomplir, et à accomplir rapidement, s’il veut préserver ce qui lui reste de dignité et d’intégrité.
