Europol doit effacer une énorme quantité de données à caractère personnel 🗑
Europol est l’agence européenne spécialisée dans la répression de la criminalité. Depuis son siège situé à La Haye (Pays-Bas), Europol soutient les 27 États membres de l’Union européenne dans leur lutte contre la grande criminalité internationale et le terrorisme.
Europol sera contraint de supprimer une grande partie d’un vaste stock de données personnelles qu’il a accumulé illégalement. La découverte sans précédent du Contrôleur Européen de la Protection des Données (CEPD) cible ce que les experts en protection de la vie privée appellent une « arche des mégadonnées » contenant des milliards de points d’information. Des données sensibles dans l’arche ont été extraites de rapports sur les crimes, piratées à partir de services téléphoniques cryptés et échantillonnées auprès de demandeurs d’asile n’ayant jamais été impliqués dans aucun crime.
4 000 000 gigabytes de données 💽
Selon le quotidien britannique The Guardian, le cache d’Europol contient au moins 4 pétaoctets, soit l’équivalent de 3 millions de CD-Rom ou un cinquième de l’intégralité du contenu de la Bibliothèque du Congrès des États-Unis. Les défenseurs de la protection des données affirment que le volume d’informations détenues sur les systèmes d’Europol équivaut à une surveillance de masse et constitue une étape sur la voie de devenir un homologue européen de la National Security Agency (NSA) américaine.
La décision du Contrôleur Européen de la Protection des Données fait suite à une enquête ouverte en avril 2019. En septembre 2020, Europol avait reçu un avertissement pour la subsistance de problèmes structurels, avec notamment une entorse au respect du principe de minimisation.
La Commission Nationale de l’Informatique et des Libertés définit le principe de minimisation par le fait que » les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. «
Une suppression des données au bout de 6 mois 🚮
Les données proviennent d’enquêtes criminelles menées par les autorités de police nationale des pays de l’Union Européenne qui ont été partagées avec Europol. Les données relatives à des personnes sans lien prouvé avec des activités criminelles doivent être effacées après 6 mois.
« Une période de 6 mois pour la pré-analyse et le filtrage de grands ensembles de données devrait permettre à Europol de répondre aux demandes opérationnelles des États membres de l’UE s’appuyant sur Europol pour un soutien technique et analytique, tout en réduisant au minimum les risques pour les droits et les libertés des personnes », déclare Wojciech Wiewiorowski de l’EDPS.
Pour Europol, la décision de l’EDPS aura un impact sur sa « capacité à analyser des ensembles de données complexes et volumineux à la demande des forces de l’ordre de l’UE. » Europol évoque des enquêtes en rapport avec le terrorisme, la cybercriminalité, le trafic international de drogue et les abus sur mineur. « Le soutien d’Europol implique souvent une période supérieure à 6 mois. »
Sources: The Guardian, Numerama