L’European Data Protection Supervisor (EDPS), à savoir le gendarme européen de la protection des données, a sommé Europol de supprimer une quantité impressionnante de données personnelles qui ne devraient pas être en sa possession.
Europol doit supprimer une quantité massive d’informations personnelles
L’agence de police européenne Europol doit supprimer de ses fichiers un grand nombre d’informations ne respectant pas les garde-fous érigés, notamment sur la durée de stockage d’éléments sensibles. Cela concerne des données transmises par les pays membres de l’Union européenne sur des individus soupçonnés d’activités criminelles. Si le lien avec une activité criminelle n’a pu être prouvé dans un délai de six mois après la réception de ces données, alors il est interdit de les conserver.
« Un délai de six mois pour la pré-analyse et le filtrage de grands ensembles de données devrait permettre à Europol de répondre aux requêtes opérationnelles des États membres de l’UE qui lui demandent un soutien technique et analytique, tout en réduisant au minimum les risques pour les droits et les libertés des personnes », a expliqué le chef de l’EDPS, Wojciech Wiewiorowski.
À l’issue d’une enquête ouverte en 2019, le Contrôleur européen de la protection des données accuse Europol d’avoir enfreint sa propre réglementation en conservant plus longtemps que nécessaire certaines données. Il précise avoir notifié le 3 janvier à Europol l’« ordre de supprimer des données concernant des individus sans lien établi avec une activité criminelle ». Il s’agit d’une nouvelle étape après l’avertissement envoyé en septembre 2020 sur la nécessité de mettre fin à ce stockage de données jugé illégal.
4,2 pétaoctets de données à supprimer
Il est question de beaucoup de données : 4,2 millions de Go, soit 4,2 Po (pétaoctets). Tout cela va devoir être supprimé des serveurs. La décision concerne notamment des données détenues par les États et fournies à Europol pour des enquêtes touchant au terrorisme, à la cybercriminalité, au trafic de drogues international, à la pédocriminalité, entre autres, dans lesquelles l’intervention d’Europol couvre fréquemment des périodes supérieures à six mois.
Pour Europol, la décision de l’EDPS est susceptible d’entraver ses activités. « Cela aura un impact sur notre capacité à analyser de vastes et complexes ensembles de données à la demande des forces de l’ordre », a réagi l’agence.
Désormais, Europol dispose d’un délai de 12 mois pour effacer les données problématiques qui n’auraient pas encore été éradiquées à la date du 3 janvier 2022. De son côté, la Commission européenne a salué ce délai offert « à titre de dérogation » par l’EDPS, estimant que cela donnera « suffisamment de temps » à Europol pour se conformer à la décision.
On marche sur la tête…