Europol sommé de purger son énorme trésor de données de citoyens privés

Europol, l'organisme gouvernemental chargé de réprimer le crime organisé et les activités terroristes dans toute l'Union européenne, est depuis longtemps dans le collimateur des défenseurs de la vie privée pour son utilisation judicieuse de la surveillance citoyenne. Maintenant, il semble que certaines autorités européennes commencent à ressentir la même chose ; Le contrôleur européen de la protection des données (CEPD) a annoncé lundi avoir ordonné à Europol de supprimer une grande partie des données qu'il avait compilées sur les citoyens de l'UE. La gratuité des données pour tous a incité de nombreux critiques à accuser Europol de construire l'équivalent européen des bases de données invasives de la NSA. 

Le CEPD a donné à Europol un an pour filtrer sa base de données et supprimer toute information sur les citoyens de l'UE qui n'est pas liée à des enquêtes pénales en cours. Alors qu'Europol pourra continuer à traiter les données personnelles des personnes dans le cadre des enquêtes à venir, les données qui ne sont pas liées aux auteurs de crimes doivent désormais être supprimées après six mois, au lieu d'être détenues indéfiniment. Selon un nouveau rapport du Guardian publié le même jour que l'annonce du CEPD, Europol a amassé plus de quatre pétaoctets de données provenant de personnes vivant dans l'ensemble de l'Union européenne au cours des dernières années.

"Europol n'a pas accédé aux demandes du CEPD de définir une période de conservation des données appropriée pour filtrer et extraire les données à caractère personnel autorisées à être analysées en vertu du règlement Europol", a déclaré le CEPD dans son annonce de lundi. "Cela signifie qu'Europol conservait ces données plus longtemps que nécessaire, contrairement aux principes de minimisation des données et de limitation du stockage, inscrits dans le règlement Europol."

Les bases de données d'Europol sont compilées à partir d'un grand nombre de sources dans les forces de l'ordre de l'Union européenne et (étonnamment !) du Parlement européen , qui a récemment donné son feu vert à la création d'une base de données biométrique massive composée d'empreintes digitales, de scans faciaux et de documents de voyage. traitées aux points de contrôle frontaliers. Et bien sûr, il existe un réseau de partenaires industriels privés qui alimentent régulièrement leurs données dans les systèmes d'Europol pour faciliter les enquêtes.

Le CEPD, qui fonctionne comme un groupe de surveillance pour contrôler les pratiques des autorités européennes en matière de données, est sur le cas d'Europol depuis un certain temps. Depuis trois ans , le groupe enquête sur le traitement des données sensibles par Europol. En 2019, l'agence a découvert pour la première fois que les énormes ensembles de données régulièrement partagés avec Europol n'étaient pas vérifiés pour s'assurer qu'ils contenaient réellement des données sur des criminels, par opposition à des civils innocents. Un an plus tard, le CEPD a publiquement  dénoncé Europol pour avoir continué à traiter les données de ces personnes innocentes, malgré le fait que cela pourrait lier à tort ces personnes à des activités criminelles.

Les documents publiés aujourd'hui détaillant l'enquête en cours du CEPD montrent certains des détails de la manière dont Europol a repoussé les demandes du CEPD. "Malgré les demandes du CEPD, Europol continue de refuser de définir une durée maximale de conservation des données pour le traitement des ensembles de données", écrit le CEPD, expliquant qu'il a plutôt insisté pour conserver ces énormes trésors de données... eh bien, quelle que soit la durée aimé. Ainsi, au lieu de continuer à attendre, le CEPD a décidé d'utiliser ses «pouvoirs correctifs» pour imposer la politique de conservation de 6 mois susmentionnée.