Le régulateur de l'UE prévient qu'Europol pourrait enfreindre les règles sur les données – POLITICO

Le régulateur de l'UE prévient qu'Europol pourrait enfreindre les règles sur les données – POLITICO

20 octobre 2020 0 Par Village FSE

L'agence chargée de l'application de la loi Europol est susceptible d'avoir mal géré des tonnes de données à caractère personnel en violation des propres règles de l'agence, selon l'agence de protection des données chargée du contrôle des institutions de l'UE.

Dans une lettre datée du 17 septembre – dont une version expurgée a été rendue publique, que POLITICO a vue dans son intégralité – le Contrôleur européen de la protection des données (CEPD) a déclaré qu'il y avait une « forte probabilité qu'Europol traite en permanence des données à caractère personnel concernant des personnes autorisé à le faire. « 

Après avoir mené une enquête l'année dernière, le CEPD a constaté que de grandes quantités de données qu'Europol recevait des pays de l'UE ne permettaient pas de déterminer si Europol respectait ses propres règles de protection des données, connues sous le nom de règlement Europol. (En tant qu'organisme d'application de la loi, Europol est soumis à un ensemble distinct de règles de protection des données.)

« Les risques pour (les citoyens) sont élevés et l'impact sur leurs droits et libertés fondamentaux est grave », lit-on dans la lettre, rédigée par le chef du CEPD Wojciech Wiewiórowski.

La base de données en question stockait plus de 2 millions de gigaoctets en 2019, selon la lettre.

Le CEPD a déclaré qu'il y avait un risque qu'Europol traite des données au-delà de ses attributions, violant l'obligation de ne traiter que les données sur « les suspects, les futurs criminels potentiels, les contacts et associés, les victimes, les témoins et les informateurs ». De plus, l'agence est susceptible d'avoir enfreint la règle qui stipule qu'elle doit minimiser la quantité d'informations personnelles qu'elle traite.

Le chien de garde de la confidentialité des données a donné à Europol jusqu'à la mi-novembre pour soumettre un plan sur la manière dont il corrigera ses pratiques de traitement des données.

Contre les règles

Un porte-parole d'Europol a minimisé la violation probable, déclarant que « le problème ne concerne pas une » utilisation abusive des données « mais concerne les restrictions à l'utilisation de grands ensembles de données sur la base du règlement Europol actuel. Europol est en mesure de concevoir des mesures d'atténuation des mesures qui peuvent à la fois réduire encore les risques pour les personnes concernées et garantir qu'Europol peut répondre à la demande opérationnelle attendue des États membres. « 

Cependant, une violation potentielle pourrait avoir de graves conséquences pour les personnes incluses dans les ensembles de données.

« Sans une mise en œuvre correcte des … garanties spécifiques contenues dans le règlement Europol, les personnes concernées courent le risque d'être indûment liées à une activité criminelle dans l'UE, avec tous les dommages potentiels pour leur vie personnelle et familiale, la liberté de circulation et l'occupation que cela implique « , a déclaré le CEPD, ajoutant que les individus pourraient faire face à » de graves conséquences « .

Un expert des forces de l'ordre qui s'est exprimé sous couvert d'anonymat a déclaré que la violation pourrait signifier qu'Europol «pourrait potentiellement stocker des données sur des personnes innocentes, y compris des mineurs».

Mais le CEPD s'est arrêté avant d'ordonner aux autorités répressives d'arrêter de traiter ou d'effacer les données à caractère personnel, affirmant que le faire à ce stade n'était pas « proportionné ». Au lieu de cela, Europol a jusqu'au 17 novembre pour élaborer un plan pour résoudre les problèmes et quatre mois supplémentaires pour mettre en œuvre le plan.

« Europol a déjà traité de nombreux problèmes de protection des données identifiés au début de mon enquête. Cependant, certains problèmes structurels subsistent », a déclaré Wiewiórowski dans un communiqué envoyé par courrier électronique. « Jusqu'à présent, Europol n'a pas été en mesure de fournir des assurances appropriées que le traitement des données à caractère personnel contenues dans ses grands ensembles de données respectait les limites fixées par le règlement Europol – y compris en termes de catégories de personnes et de données à caractère personnel. »

L'eurodéputé allemand Patrick Breyer, qui est un ardent défenseur des droits numériques, a critiqué Europol.

« Il est clairement illégal de conserver des données sur des non-suspects … nous ne pouvons pas accepter la collecte en masse de données sur des citoyens innocents », a-t-il déclaré.