Les forces de l’ordre et les protecteurs des données personnelles se livrent un nouveau duel dans les couloirs feutrés de Bruxelles. Le coup est venu cette fois de l’EDPS (European Data Protection Supervisor), une agence chargée de contrôler tous les organismes et les institutions de l’Union européenne (UE) dans le domaine de la gestion des données personnelles.
Lundi dernier, elle a annoncé avoir ordonné à l’agence de police Europol de supprimer de ses fichiers un grand nombre d’informations ne respectant pas les garde-fous érigés, notamment sur la durée de stockage d’éléments sensibles.
Cela concerne des données transmises par les pays membres de l’UE sur des individus soupçonnés d’activités criminelles, a déclaré dans un communiqué l’EDPS.
Selon The Guardian, on y retrouve notamment les 120 millions de messages de la messagerie chiffrée EncroChat, que la gendarmerie française avait réussi à hacker.
A découvrir aussi en vidéo :
Mais ce n’est qu’une petite partie de l’énorme réservoir de données d’Europol, qui se serait accumulé depuis six ans et dont le volume dépasserait désormais les quatre pétaoctets, soit 4 000 téraoctets.
Face à cette gigantesque base de données, on comprend mieux pourquoi l’agence européenne de police s’intéresse de plus en plus aux techniques du Big Data et de l’apprentissage automatique. Pour certaines associations de défenses des droits citoyens, Europol commence ainsi à dangereusement ressembler à la NSA américaine.
Le problème, c’est que l’effacement de ces données personnelles n’était visiblement pas prévu, que ce soit de manière automatique au bout d’un temps déterminé, ou parce que les données n’étaient pas d’ordre criminel. Des personnes totalement innocentes peuvent donc s’y retrouver de façon durable, et totalement à leur insu.
C’est pourquoi l’EDPS a tapé du poing sur la table. Si dans un délai de six mois après la réception de ces données le lien avec une activité criminelle n’a pu été prouvé, il est interdit de les conserver.
« Un délai de six mois pour la pré-analyse et le filtrage de grands ensembles de données devrait permettre à Europol de répondre aux requêtes opérationnelles des États membres de l’UE qui lui demandent un soutien technique et analytique, tout en réduisant au minimum les risques pour les droits et les libertés des personnes », a expliqué le chef de l’EDPS, Wojciech Wiewiorowski.
Deux ans d’enquête
Ce coup de gueule est le résultat d’une enquête ouverte en 2019. Dès le mois de septembre de cette année, le Contrôleur européen de la protection des données constate l’existence de ces données stockées sans raison. Il accuse Europol d’avoir enfreint sa propre réglementation en les conservant « plus longtemps que nécessaire ».
S’ensuit alors un certain nombre d’allers-retours, injonctions et avertissements d’un côté, réponses floues et fins de non-recevoir de l’autre. Ce ping-pong s’est terminé le 21 décembre 2021, lorsque les directeurs des deux agences se rencontrent une dernière fois, sous la houlette de la Commission européenne. Mais aucune solution n’a pu être trouvée à cette opposition, qui s’est donc transformée en guerre ouverte lundi dernier.
Pour Europol, la décision de l’EDPS est susceptible d’entraver ses activités :
« Cela aura un impact sur notre capacité à analyser de vastes et complexes ensembles de données à la demande des forces de l’ordre », a réagi l’agence lundi dans un communiqué.
Vers une phase de lobbying
La décision concerne notamment des données détenues par les États et fournies à Europol pour des enquêtes touchant « au terrorisme, à la cybercriminalité, au trafic de drogues international, à la pédocriminalité, entre autres », dans lesquelles l’intervention d’Europol « couvre fréquemment des périodes supérieures à six mois », a-t-elle fait valoir.
Établie à La Haye, l’agence européenne assiste et soutient les 27 pays de l’UE dans la lutte contre la criminalité organisée (drogue, armes, etc.) et les réseaux terroristes. Elle revendique, sur son site Web, une aide à plus de 40 000 enquêtes internationales par an, ce qui n’est pas rien.
EDPS a donc concédé une dérogation spéciale. Europol disposera d’un délai de douze mois pour effacer les données problématiques qui n’auraient pas encore été éradiquées à la date du 3 janvier 2022. La Commission européenne a salué ce geste, estimant que cela donnera « suffisamment de temps » à Europol pour se conformer à la décision.
Mais la partie est loin d’être terminée. La Commission européenne a invité le Parlement européen et le Conseil (qui représente les 27 pays de l’UE) à « fournir une solution appropriée et une clarté juridique sur le traitement des big data par Europol », pour que le travail d’enquête des policiers puisse continuer.
La machine des pourparlers et des lobbys va donc sûrement se mettre en branle de chaque côté. Difficile de savoir à l’avance qui va gagner cette nouvelle bataille des données personnelles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.