En janvier 2022, le Comité européen de la protection des données (CEPD) a ordonné à Europol d’effacer des données illégalement conservées.
Qu’est-ce que le CEPD et Europol ?
L’Office européen de police (Europol) est une agence européenne de police, créée en 1999, qui a pour objectif de soutenir les Etats membres de l’Union européenne dans la lutte contre la criminalité internationale et le terrorisme. Elle intervient dans différents domaines comme la lutte contre le trafic de stupéfiants, la traite des êtres humains, le blanchiment d’argent ou encore la cybercriminalité.
Le Comité européen de la protection des données est l’organe européen indépendant chargé de garantir la bonne application du Règlement général sur la protection des données (RGPD). Selon le règlement Europol du 11 mai 2016, le CEPD doit contrôler la licéité du traitement des données à caractère personnel effectué par Europol.
Que reproche le CEPD à Europol ?
Début janvier, le CEPD a ordonné à Europol d’effacer des données illégalement conservées dans ses bases de données. L’agence européenne garderait des données concernant des personnes, notamment des demandeurs d’asile, pour lesquelles aucun lien avec une activité criminelle n’a pu être établi.
Cette conservation abusive de données est contraire au principe de minimisation du RGPD. Cela a conduit le CEPD à mettre en demeure Europol de supprimer les données datant de plus de six mois qui ne concernaient pas des suspects, des témoins et des victimes.
En effet, selon la règlementation d’Europol, les données transmises par les Etats à l’agence doivent être supprimées au bout de six mois si aucun lien avec une activité criminelle n’a pu être établi.
Certains ont comparé cette situation aux pratiques de la NSA dévoilées par Edward Snowden en 2013. D’autres ont défendu Europol en expliquant que la majorité des enquêtes duraient plus de six mois et le fait de supprimer les données au bout de ce délai pouvait entraver les activités de l’agence.
La réponse des institutions européennes
Le Conseil de l’Union et le Parlement européen ont proposé début février 2022 un nouveau règlement concernant Europol. Ce dernier prévoit une durée de conservation des données personnelles de trois ans, là où le CEPD préconisait six mois de conservation. Il élargit également les pouvoirs de collecte et de partage des données d’Europol.
Julie HEYRAUD
Sources :
- Collecte des données : les institutions européennes renforcent le mandat d’Europol, Luca Bertuzzi, Euractiv.com, 2 février 2022
- Europol est sommé d’effacer une partie de sa base de données, Valentin Cimino, Siècle digital, 11 janvier 2022
- Europol : accord provisoire entre la présidence du Conseil et le Parlement européen sur le nouveau mandat de l’agence, consilium.europa.eu, 1er février 2022
