Europol se la joue NSA et stocke massivement les données personnelles sans rapport avec des enquêtes

11 janvier 2022 à 11h00
10
Surveillance © Burst / Pexels
© Burst / Pexels

Accusée de sévères manquements à la réglementation européenne sur les données personnelles, l'agence Europol a un an pour supprimer une grande partie des informations accumulées et conservées illégalement.

Le Contrôleur européen de la protection des données (CEPD) a annoncé, lundi 10 janvier, avoir adressé à Europol, l'agence européenne spécialisée dans la répression de la criminalité internationale (fraude organisée, contrefaçon, blanchiment d'argent…) et le terrorisme, une ordonnance lui demandant de supprimer des informations personnelles qui concernent des personnes n'ayant aucun lien établi avec une activité criminelle. Le CEPD laisse juridiquement un an à Europol pour se conformer à la décision, qui a force exécutoire. On évoque ici une suppression de milliards de données personnelles , 4,2 millions de Go ou 4,29x109 Mo plus précisément.

Europol a déjà été averti une première fois en 2020, sans cesser ses pratiques illégales

L'enquête avait démarré le 30 avril 2019. Après de longs mois d'investigations préliminaires, le gendarme européen avait épinglé Europol une première fois, le 17 septembre 2020. Il reprochait à l'agence installée à La Haye (Pays-Bas) le stockage continu de volumes de données particulièrement importants. Précisons que ces données ne concernaient pas des individus liés à des affaires criminelles dépendant de ses compétences. Le CEPD avait donc indiqué à Europol le risque que faisaient courir de telles pratiques aux droits fondamentaux des personnes concernées. Il s'agissait d'un premier avertissement en règle pour l'agence, qui revendique apporter son aide sur plus de 40 000 enquêtes internationales chaque année.

Sauf qu'Europol, qui avait mis en place certaines mesures, n'a pas su répondre aux attentes du CEPD. Ce dernier lui avait demandé de définir une période de conservation des données à caractère personnel qui soit conforme aux règlementations en vigueur. Le principe veut qu'Europol ne puisse détenir des données au-delà d'une certaine période. Cette période doit servir à la pré-analyse et au filtrage des données. Le délai, suffisamment long au départ, doit permettre de répondre aux demandes éventuelles de ses 27 États membres, qui peuvent alors lui demander un soutien technique et analytique.

« Europol conservait ces données plus longtemps que nécessaire », indique le contrôleur européen. L'agence s'inscrit donc contre son propre règlement, qui sacre les principes de minimisation des données et de limitation du stockage dans le temps. C'est là que le CEPD a imposé à Europol de respecter un délai de 6 mois pour filtrer et extraire les informations personnelles. Au-delà, les données des personnes n'ayant aucun rapport avec une affaire criminelle de sa compétence doivent être purement et simplement effacées.

Données perso vie privée © Shutterstock
© Shutterstock

Le CEPD a décidé de laisser un délai de 12 mois à Europol, à compter du 3 janvier 2022, pour se mettre en conformité avec la décision. Le contrôleur européen semble « convaincu que l'ordonnance garantira le respect par Europol de ses obligations au titre du règlement Europol, tout en maintenant ses capacités opérationnelles ». En outre, on lit dans la décision qu'Europol devra, tous les trois mois, remettre au CEPD un rapport sur la mise en œuvre de la décision. Ce document devra détailler la catégorisation des données et leur suppression.

Une rétention de données multiples, d'une ampleur rare, assimilable à de la surveillance de masse

À ce jour, les milliards de données encore retenues par Europol sont plurielles. Nos confrères de The Guardian ont eu accès à des documents internes supplémentaires desquels il ressort que le cache d'Europol contiendrait donc 4 pétaoctets, soit des millions de giga-octets, nous le disions tout à l'heure, ou à un cinquième du contenu de la bibliothèque du Congrès américain. Les défenseurs de la protection des données comparent cette affaire à une surveillance de masse et font d'Europol le pendant européen désigné de la NSA, l'agence nationale de sécurité américaine.

Les données accumulées ces six dernières années portent sur plus de 250 000 suspects actuels ou passés de faits criminels ou terroristes ainsi que sur toutes les personnes avec lesquelles ils étaient en contact. Et les dérives sont allées encore plus loin, puisque d'autres documents internes font état du développement par Europol, courant 2020, d'un outil porté par l'IA et le machine learning (apprentissage automatique) utilisant notamment la reconnaissance faciale.

Les algorithmes ne seraient pas utilisés pour récupérer des données sensibles (santé, origine ethnique, orientation politique ou sexuelle, etc.), mais Europol a bien avoué que ces données seraient traitées par ses outils et que leur traitement serait conforme à son règlement, et donc à ses missions.

Il se joue aussi, en coulisses, un jeu du chat et de la souris entre le contrôleur et l'agence. À ce jour, Europol aurait ralenti le mouvement sur ce programme d'apprentissage automatique. Mais une récente campagne de recrutements d'experts en développement de l'intelligence artificielle et de l'exploration de données inquiète quant à la capacité d'Europol à aspirer, puis à utiliser les informations collectées sur le long terme.

Europol peut malgré tout ne pas appliquer la décision du CEPD. L'agence dispose en effet d'un délai de deux mois pour porter cette ordonnance devant la Cour de justice de l'Union européenne, qui statuera alors définitivement. Il est, à ce stade, peu probable que l'on en arrive là, compte tenu du sérieux des griefs.

Sources : CEPD (Décision), The Guardian

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
11
SlashDot2k19
Allons plus loin : On va apprendre qu’ils font des sauvegardes sur des serveurs stockés aux USA, Russie et Chine
ramses_deux
«&nbsp;4,2 millions de Go ou 4,29x109 Mo plus précisément.&nbsp;»<br /> Ou pour donner une vision plus claire du chiffre : 4290 To<br /> Ce qui représente 429x disques durs de 12 To formates en NTFS.
Zimt
Quid du bilan carbone de tout ça encore ?
g-m1n1
Critiquez autant que vous voulez l’UE, reste que les pouvoir sont clairement séparés et tous peuvent se faire rappeler à l’ordre. Europol compris.<br /> Espérons que ce n’est pas hébergé chez les ricains
Baxter_X
Ça alors… Comme c’est étonnant. Personne ne s’en serait douté.
Axn40
Il est écrit dans l’article que c’est hébergé à La Haye, donc au Pays-Bas.
Bombing_Basta
On ne dirait pas comme ça mais c’est très compliqué de sélectionner un dossier puis d’appuyer en même temps sur les touches maj et sup…
iodir
Et bien sûr, aucun responsable n’est sanctionné pour une atteinte aussi scandaleuse au droit. La moitié du staff de direction devrait être en prison à l’heure actuelle.
bmustang
europol c’est devenu l’œil de moscou, le pcc, la nsa… c’est contraire au droit et liberté que doit défendre et protéger la cour européenne
Oldtimer
Il y a aussi les douanes qui devraient être visées !<br /> J’avais consulté le site des douanes françaises pour savoir combien d’euros pouvais je emporter à l’étranger dont est originaire mon épouse (dans l’UE) — rien de méchant illégal . Puis dans les logs de lockdown je voyais des traces de connexions régulières vers le site des douanes !!!<br /> J’avais dû nettoyer le cache du navigateur, supprimer tout les cookies pour qu’il n’y ait plus de transmissions vers le site des douanes lol !<br /> Bon je comprends bien la mission des douanes et je les soutiens mais franchement ! Ça se fait pas !<br /> Eux aussi doivent avoir collecter des millions des petas de bits de données personnelles sur tout le monde lol<br /> Z : Ben voyons !
Voir tous les messages sur le forum

Lectures liées

Quelles sont les marques les plus usurpées pour le phishing ?
Bitdefender offre ses antivirus à -60% ! Pourquoi on craque pour ses abonnements ?
SysJoker : le malware indétectable depuis plusieurs mois sur Windows, macOS et Linux
Cyberattaque en Ukraine : Microsoft prévient qu'elle pourrait rendre inopérante la structure informatique gouvernementale
Windows 10 et 11 : le premier patch Tuesday de 2022 apporte un bug sur les VPN
CyberGhost VPN commence fort 2022 avec une offre incroyable à -84% !
Bitdefender fait chuter le prix de -60% sur ses excellents antivirus
Une cyberattaque de grande ampleur touche le gouvernement ukrainien, en pleine crise avec la Russie
Vente Flash NordVPN ! On craque pour l'abonnement à -70% ?
Un groupe de hackers vole les crypto-monnaies de start-up et petites entreprises
Haut de page