Début janvier, le gendarme européen des données personnelles avait sommé Europol d'effacer de ses bases de données, sous six mois, toutes celles ne concernant pas des suspects, témoins ou victimes. Le Conseil de l'Union et le Parlement européen viennent de proposer un nouveau règlement Europol portant cette durée à trois ans, tout en élargissant ses pouvoirs de collecte et de partage de données.
La présidence du Conseil de l'Union européenne et le Parlement européen sont parvenus à un « accord provisoire » concernant le projet de règlement modifiant le règlement Europol qui, explique le communiqué de presse, est désormais soumis à l'approbation des deux institutions avant de faire l'objet de la procédure d'adoption formelle.
Le mandat de refonte donne à l'agence « une base légale pour stocker et traiter de grandes quantités de données personnelles, mettant fin à une controverse » au sujet des pratiques de traitement des données qui étaient au centre d'une enquête du Contrôleur européen de la protection des données (CEPD), précise Euractiv.
Le gendarme européen des données personnelles avait en effet sommé Europol, début janvier, d’effectuer le tri dans sa base de données de 4 pétaoctets entre celles qui sont exploitées de façon légale (parce qu'elles concernent des suspects, témoins et certaines victimes) et toutes les autres, qui devaient être effacées.
Le CEPD avait cela dit accordé à Europol un délai de 12 mois pour se conformer à sa décision et solder le passif des jeux de données préalablement obtenus.
Étaient notamment concernés les 120 millions de messages et des dizaines de millions d’enregistrements d’appels, de photos et de notes de ses utilisateurs, récoltés dans le cadre de l'opération de la gendarmerie nationale ayant réussi à casser le cryptophone Encrochat, avant d'y déployer un logiciel espion (ou « technique spéciale d'enquête » - TSE) de la DGSI.
Si la majeure partie des données semblaient émaner de criminels, étaient en effet également concernées des communications passées avec des avocats, des hommes d'affaires voire des journalistes.
Europol s'était alors défendu en rappelant que, « attachée aux normes les plus élevées en matière de protection des données », c'était elle qui avait « d'abord contacté de manière proactive » le CEPD en 2019.
L'agence de coopération policière européenne recevait en effet « de plus en plus d'ensembles de données » de ses États membres « pour faciliter leur traitement et leur analyse », ce pourquoi elle avait pris attache avec le CEPD « pour obtenir des conseils sur le traitement des ensembles de données volumineux et complexes qui sont collectés dans le cadre d'enquêtes judiciaires légales ».
Europol rappelait en outre que ses enquêtes, a fortiori internationales, s'étendaient « souvent sur une période supérieure à six mois, tout comme les enquêtes policières qu'il soutient », et que ce délai d'effacement de 6 mois ne lui semblait pas réalisable, tant d'un point de vue technique que judiciaire.
Le CEPD réclamait 6 mois, Europol disposera de 3 ans
Lors d'une audition parlementaire ce mardi, le directeur général adjoint du service des affaires intérieures de l'UE, Olivier Onidi, a déclaré que la Commission entendait « apporter de la clarté juridique », précise Euractiv.
À la suite de l'audition, les principaux groupes politiques ont approuvé lors d'une réunion interne les propositions avancées par la présidence française qui, souligne notre confrère, « ont considérablement réduit le rôle du CEPD ».
L'une d'entre elles exigerait en effet qu'Europol n'informe le contrôleur des nouveaux traitements opérationnels de données qu'une fois le soutien à l'enquête terminé, « ce qui pourrait prendre plusieurs années ».
De plus, la Commission avait initialement proposé d'autoriser le CEPD à déterminer si l'ensemble de données était « disproportionné ou collecté en violation des droits fondamentaux ». Mais dans le texte final, l'organisme de surveillance des données de l'UE n'est informé que du transfert de données, qu'Europol évaluera.
Europol disposera en outre de trois ans pour catégoriser les personnes identifiées dans les données, et donc évaluer si elles étaient pénalement pertinentes ou devaient être supprimées, quand le CEPD lui avait ordonné de le faire en six mois.
« Nous parlons de données qui ont été fournies à Europol par les forces de l'ordre de manière légale », a déclaré le directeur exécutif adjoint d'Europol, Jürgen Ebner, soulignant que la taille même des ensembles de données signifie qu'il faut plus de temps pour catégoriser les données.
Ebner a réitéré que les enquêtes pénales complexes durent généralement plus de six mois et que, puisque le champ d'activité d'Europol est de soutenir les autorités nationales, il devrait pouvoir le faire « aussi longtemps que cela est nécessaire pour l'enquête ».
Le nouvel « accord provisoire » ne prévoit au surplus aucune limite pour le transfert de grands ensembles de données à Europol, « y compris à partir de pays où les droits fondamentaux pourraient ne pas être garantis ».
Le communiqué de presse du Conseil de l'UE précise en effet que « le projet de règlement étend les possibilités de coopération d'Europol avec les pays tiers », et qu'il introduit la possibilité d'échanger des données à caractère personnel « avec des pays où des garanties appropriées sont prévues par un instrument juridiquement contraignant ou existent selon l'autoévaluation menée dans le cadre d'Europol ».
Europol devra cela dit « signaler sans délai au Parquet européen tout comportement délictueux relevant de la compétence de ce dernier ».
Europol pourra aussi recevoir des données directement d'acteurs privés
Le communiqué de presse du Conseil de l'UE précise que l'accord apporte d'autres « améliorations », à commencer par un renforcement des capacités technologiques des services répressifs. Le projet de règlement charge en effet Europol d'« aider les États membres à utiliser les technologies émergentes » :
« Europol devra également s'efforcer d'explorer de nouvelles approches et d'élaborer des solutions technologiques communes, y compris celles fondées sur l'intelligence artificielle. »
Les données collectées dans le cadre des enquêtes pénales ayant « gagné en taille et en complexité », les États membres « ne peuvent pas toujours détecter les liens transfrontières » au moyen de leur propre analyse de données.
Le projet de règlement prévoit dès lors qu'Europol soit en mesure de « traiter des ensembles de données vastes et complexes afin de soutenir les États membres dans leur lutte contre les formes graves de criminalité et le terrorisme », sous réserve de « garanties solides en matière de sécurité et de protection des droits fondamentaux » :
« Le projet prévoit en outre des exigences strictes qui visent à garantir que tout traitement de données par Europol soit toujours conforme aux droits fondamentaux, y compris le droit au respect de la vie privée, le règlement étant aligné sur celui de l'UE en matière de protection des données. »
Les criminels ayant de plus en plus recours aux services en ligne, les acteurs privés « détiennent des volumes de plus en plus importants de données à caractère personnel susceptibles d'être utiles pour les enquêtes pénales », précise le communiqué.
Dès lors, et en vertu du projet de règlement, Europol pourra « recevoir des données à caractère personnel directement d’acteurs privés », offrant ainsi un point de contact au niveau de l'UE pour « partager légalement des ensembles de données relevant de plusieurs autorités » :
« Europol sera dès lors en mesure d'analyser ces ensembles de données afin d'identifier les États membres concernés et de transmettre les informations aux autorités nationales. »
Un coup dur pour l'État de droit et la légitimité du CEPD
European Digital Rights (EDRi), qui regroupe les ONG de défense des droits civils et humains de toute l'Europe, avait vivement réagi ce lundi, à la veille de l'annonce de l'« accord provisoire ».
Elle déplore en effet que « dans des négociations à huis clos, le Conseil des États membres et le Parlement européen sont sur le point de torpiller tous les efforts de l'Observatoire européen de la protection des données pour tenir Europol responsable de ses pratiques illégales en matière de données » :
« En termes simples, le nouveau règlement légaliserait des pratiques de données qui étaient jusqu'à présent interdites et confirmerait l'utilisation de la police prédictive dans l'application de la loi européenne. Europol ne serait plus tenu de supprimer les ensembles de données contenant des données de personnes innocentes qu'il reçoit des autorités nationales d'enquête – au contraire, il serait encouragé à les exploiter. »
En pratique, déplore EDRi, « cela signifierait que le traitement illégal des données est légalisé rétroactivement », ce qu'elle qualifie de « coup dur pour l'État de droit et les droits des personnes concernées », qui « porte également gravement atteinte à la légitimité du CEPD » en tant qu'autorité chargée de l'application de la loi sur la protection des données.
« L'élargissement des pouvoirs d'Europol ne va pas de pair avec un contrôle renforcé des actions de l'agence », a déploré le Contrôleur européen de la protection des données Wojciech Wiewiórowski, qui lors de son audition a qualifié les dispositions incluses dans la proposition de « menace directe » pour le rôle de l'autorité de contrôle, souligne Euractiv.
Le verbatim de son discours à la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen précise qu'il « regrette que, bien que les dernières propositions concernent directement le champ d'application des pouvoirs du CEPD concernant Europol, nous n'ayons pas été consultés par le Parlement, le Conseil et la Commission qui participent aux trilogues en cours » :
« L'effet rétroactif des dispositions juridiques proposées n'est pas seulement discutable à la lumière du principe fondamental de sécurité juridique découlant du droit de l'Union européenne. Il semble également viser directement à annuler et à priver de ses effets l'ordre de suppression du CEPD notifié à Europol, sapant ainsi de manière effective le rôle statutaire du CEPD. »
Dans une lettre adressée au Conseil et aux représentants du Parlement européen, EDRi et 22 autres organisations de la société civile exhortent ainsi les décideurs politiques de l'UE à modifier radicalement les plans concernant la réforme du règlement Europol, et recommandent de :
- Renoncer à donner à Europol plus de pouvoirs opérationnels par le biais de la réception et de l'analyse de données que ses règles actuelles interdisent de traiter ;
- Renforcer les garanties de protection des données, notamment en associant davantage le CEPD avant toute nouvelle opération de traitement de données ;
- Abandonner toute tentative d'annuler les effets de la décision du CEPD ;
- Garantir une véritable indépendance des organes de contrôle d'Europol chargés de contrôler le respect des droits fondamentaux par l'agence.
Commentaires (8)
#1
pop-corn ?
#2
Je pose une question sans doute stupide : pourquoi ce genre de tractations et pas envoyer le dossier à un tribunal pour que ce soit tranché ? La CJUE, typiquement
Et mon opinion perso : ils auraient pu prévoir le coup, ça fait vraiment « né de la dernière pluie » de prévoir juste 6 mois pour des enquêtes de police et devoir bricoler un truc qui flirte avec la légalité en urgence derrière
#2.1
ils auraient pu prévoir le coup effectivement. mais pour ça il faut se sentir concerné.
Or on voit très régulièrement que les services de renseignement et les forces de l’ordre ne se sentent pas concernés par le respect des textes. en général c’est pour les autres, et tout ce qui peut les gêner dans leur travail est de toute manière l’oeuvre de juges rouges droit-de-l’hommistes qui sont les idiots utiles des délinquants.
cf loi renseignement de 2015 qui légalisait des pratiques jusque là illégales (ou a-légales pour reprendre le terme de la présidente de la CNIL à l’époque).
ici on assiste à une redite: Europol a des pratiques illégales, se fait pincer, va voir papa et maman, et hop, c’est légal, avec effet rétroactif.
#3
Il y avait une IA auto-apprenante dans le cave-linge non ?
Car avant de l’acheter j’ai lu C.E.P.D sur l’étiquette, je me doutais donc bien avant de constater ce bricolage nécessaire que la pub du plus noir que noir me laissait un arrière goût de white washing.
Il y a d’autres modèles, cela étant essoré.
#4
Bravo au Conseil de l’UE qui renvoie la CEPD dans les cordes (6 mois !! Faut-il être naïf pour laisser ce délai pour traiter des affaires criminelles …)
#5
mmm, non : les pratiques étaient “a-légales” parce qu’il n’y avait de loi afférente, mais elles n’en avaient pas moins été validées par la CNCIS;
et c’est précisément parce que les services de renseignement ont besoin & étaient demandeurs d’un cadre légal qu’elles ont donc été “légalisées”;
nonobstant le fait qu’ils doivent aussi s’adapter à l’évolution des technologies, et que l’encadrement législatif a donc forcément un temps de retard.
#6
L’encadrement législatif dont il est question intéresse la procédure spécifique et l’exercice des fonctions. Soit 21% d’exception par mois.
Il ne remet nullement en cause la totale nullité légale de la démarche qui, en dehors du temps de travail des fonctionnaires, est déjà définie comme illégale pour quiconque. Soit 79% par mois.
Pourquoi pas 100% de légalité sans tenir compte des heures supplémentaires… ?
#7
Bienvenue en Chine