Accusée de sévères manquements à la réglementation européenne sur les données personnelles, l'agence Europol a un an pour supprimer une grande partie des informations accumulées et conservées illégalement.
Le Contrôleur européen de la protection des données (CEPD) a annoncé, lundi 10 janvier, avoir adressé à Europol, l'agence européenne spécialisée dans la répression de la criminalité internationale (fraude organisée, contrefaçon, blanchiment d'argent…) et le terrorisme, une ordonnance lui demandant de supprimer des informations personnelles qui concernent des personnes n'ayant aucun lien établi avec une activité criminelle. Le CEPD laisse juridiquement un an à Europol pour se conformer à la décision, qui a force exécutoire. On évoque ici une suppression de milliards de données personnelles, 4,2 millions de Go ou 4,29x109 Mo plus précisément.
Europol a déjà été averti une première fois en 2020, sans cesser ses pratiques illégales
L'enquête avait démarré le 30 avril 2019. Après de longs mois d'investigations préliminaires, le gendarme européen avait épinglé Europol une première fois, le 17 septembre 2020. Il reprochait à l'agence installée à La Haye (Pays-Bas) le stockage continu de volumes de données particulièrement importants. Précisons que ces données ne concernaient pas des individus liés à des affaires criminelles dépendant de ses compétences. Le CEPD avait donc indiqué à Europol le risque que faisaient courir de telles pratiques aux droits fondamentaux des personnes concernées. Il s'agissait d'un premier avertissement en règle pour l'agence, qui revendique apporter son aide sur plus de 40 000 enquêtes internationales chaque année.
Sauf qu'Europol, qui avait mis en place certaines mesures, n'a pas su répondre aux attentes du CEPD. Ce dernier lui avait demandé de définir une période de conservation des données à caractère personnel qui soit conforme aux règlementations en vigueur. Le principe veut qu'Europol ne puisse détenir des données au-delà d'une certaine période. Cette période doit servir à la pré-analyse et au filtrage des données. Le délai, suffisamment long au départ, doit permettre de répondre aux demandes éventuelles de ses 27 États membres, qui peuvent alors lui demander un soutien technique et analytique.
« Europol conservait ces données plus longtemps que nécessaire », indique le contrôleur européen. L'agence s'inscrit donc contre son propre règlement, qui sacre les principes de minimisation des données et de limitation du stockage dans le temps. C'est là que le CEPD a imposé à Europol de respecter un délai de 6 mois pour filtrer et extraire les informations personnelles. Au-delà, les données des personnes n'ayant aucun rapport avec une affaire criminelle de sa compétence doivent être purement et simplement effacées.
Le CEPD a décidé de laisser un délai de 12 mois à Europol, à compter du 3 janvier 2022, pour se mettre en conformité avec la décision. Le contrôleur européen semble « convaincu que l'ordonnance garantira le respect par Europol de ses obligations au titre du règlement Europol, tout en maintenant ses capacités opérationnelles ». En outre, on lit dans la décision qu'Europol devra, tous les trois mois, remettre au CEPD un rapport sur la mise en œuvre de la décision. Ce document devra détailler la catégorisation des données et leur suppression.
Une rétention de données multiples, d'une ampleur rare, assimilable à de la surveillance de masse
À ce jour, les milliards de données encore retenues par Europol sont plurielles. Nos confrères de The Guardian ont eu accès à des documents internes supplémentaires desquels il ressort que le cache d'Europol contiendrait donc 4 pétaoctets, soit des millions de giga-octets, nous le disions tout à l'heure, ou à un cinquième du contenu de la bibliothèque du Congrès américain. Les défenseurs de la protection des données comparent cette affaire à une surveillance de masse et font d'Europol le pendant européen désigné de la NSA, l'agence nationale de sécurité américaine.
Les données accumulées ces six dernières années portent sur plus de 250 000 suspects actuels ou passés de faits criminels ou terroristes ainsi que sur toutes les personnes avec lesquelles ils étaient en contact. Et les dérives sont allées encore plus loin, puisque d'autres documents internes font état du développement par Europol, courant 2020, d'un outil porté par l'IA et le machine learning (apprentissage automatique) utilisant notamment la reconnaissance faciale.
Les algorithmes ne seraient pas utilisés pour récupérer des données sensibles (santé, origine ethnique, orientation politique ou sexuelle, etc.), mais Europol a bien avoué que ces données seraient traitées par ses outils et que leur traitement serait conforme à son règlement, et donc à ses missions.
Il se joue aussi, en coulisses, un jeu du chat et de la souris entre le contrôleur et l'agence. À ce jour, Europol aurait ralenti le mouvement sur ce programme d'apprentissage automatique. Mais une récente campagne de recrutements d'experts en développement de l'intelligence artificielle et de l'exploration de données inquiète quant à la capacité d'Europol à aspirer, puis à utiliser les informations collectées sur le long terme.
Europol peut malgré tout ne pas appliquer la décision du CEPD. L'agence dispose en effet d'un délai de deux mois pour porter cette ordonnance devant la Cour de justice de l'Union européenne, qui statuera alors définitivement. Il est, à ce stade, peu probable que l'on en arrive là, compte tenu du sérieux des griefs.
Sources : CEPD (Décision), The Guardian
!
