Europol condamné à supprimer 4.000.000 Go de données

Le 11 janvier 2022, Europol a été condamné à supprimer une partie de sa base de données par l’équivalent européen de la CNIL. Une condamnation qu’Europol conteste : les réglementations en vigueur l’empêcheraient de mener à bien ses fonctions.

Qu’est ce qu’Europol ?

Europol est une agence communautaire européenne de renseignement. Elle est souvent confondue avec Interpol, avec qui elle ne partage pourtant que peu de points communs. Interpol est une organisation internationale (et pas seulement européenne) de police criminelle. Si Interpol intervient donc comme une organisation internationale de coopération policière, disposant du droit de mener des enquêtes, de lancer des traques à l’échelle mondiale (via les fameuses « Red notices », les notices rouges) et de procéder à des arrestations, Europol ne dispose d’aucune de ces prérogatives.

L’objectif d’Europol est de permettre et favoriser une coopération entre les agences de renseignements et les polices de l’Union Européenne. Elle coordonne les enquêtes et aideles  pays de l’Union Européenne à lutter contre certains grands fléaux (trafic international de drogue, pédocriminalité, ou encore terrorisme). Dans le cadre de ses missions, Europol a été condamné à supprimer 4.000.000 Go de données le 11 janvier 2022.

Pourquoi Europol a été condamné à supprimer une partie de sa base de donnée ?

Le 3 janvier, l’EDPS (European Data Protection Supervisor, équivalent à l’échelle de l’Union Européenne de la CNIL française) a notifié à Europol l’ordre de détruire un immense ensemble de données stockées dans ses serveurs. L’EDPS reproche à Europol de conserver trop longtemps des données personnelles d’individus suspects sans que la preuve de leur implication dans des affaires criminelles ne soit rapportée.

** **

Cette décision fait suite à près de 2 ans d’enquête qui ont débutés en 2019, à l’initiative de l’EDPS, suite à la montée en puissance et aux nouvelles activités de traitement d’Europol. Ces évolutions ont fait émerger des inquiétudes quant au respect de la législation en la matière, et l’observation notamment des principes de minimisation, de proportionnalité et de sécurité des données dans ces traitements de données personnelles.

L’EPDS a donc décidé de sévir : ce sont près de 4 pétaoctets, soit 4.000.000 Go de données qui sont concernés, et qu’Europol devra détruire dans l’année. En outre, Europol est désormais soumise à une durée de conservation fixée à 6 mois.

Une réglementation qui empêche Interpol de mener à bien ses enquêtes ?

Dans un communiqué daté du 11 janvier 2022 sous forme de réponse à l’accusation de l’EDPS, Europol objecte que cette durée de 6 mois est bien inférieure au temps moyen de résolution d’une enquête criminelle (qui peut durer jusqu’à 2 ans selon ses statistiques). Europol argue que cette restriction de leur capacité à détenir des données sur le long terme va affecter le soutien qu’Europol peut apporter aux états Européens.

** **

Il est à noter que ces arguments sont les mêmes que ceux avancés par la NSA (la National Security Agency, une agence de renseignement américaine) après les révélations d’Edward Snowden concernant PRISM, le programme de renseignement américain secret et global.

C’est le manque de proportionnalité de la mesure qui est pointé par l’EPDS. Cette montagne de données brutes comprend notamment les fruits de l’affaire EncroChat, une messagerie chiffrée utilisée par de nombreux réseaux criminels, infiltrée par la gendarmerie française, puis par ses homologues européens. Des millions de conversations, de documents et de notes ont été interceptés par les différents services de police européens.

Cette saisie monumentale de données comprend donc des données de criminels avérés, mais également de publics exposés comme certains journalistes ou avocats. Se pose alors la question de la légalité, de la proportionnalité et même de la nécessité de cette opération. Des données qui devraient vraisemblablement être détruites dans les 12 mois par Europol.

Reste maintenant au Parlement européen et au Conseil de l’Europe (qui représente les 27 pays de l’UE) de « fournir une solution appropriée et une clarté juridique sur le traitement des big datas par Europol ». Cet encadrement fera sûrement l’objet d’un lobbying intense de la part d’Europol et de ses homologues.