Europol sommé d’effacer les données de ceux qui ne sont pas liés à la criminalité

Europol ordered to erase data on those not linked to crime

Le Contrôleur européen de la protection des données (CEPD), une autorité de contrôle indépendante de la protection de la vie privée et des données de l’UE, a ordonné à Europol d’effacer les données personnelles des personnes qui n’ont pas été liées à des activités criminelles.

Selon le CEPD, le chien de garde considère comme données personnelles tout numéro d’identification, données de localisation ou identifiant en ligne associé à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale d’un individu.

Europol a été informé de cet ordre il y a une semaine, le 3 janvier 2022. La décision fait suite à une enquête d’initiative lancée le 30 avril 2019 concernant l’utilisation par la police de l’UE de Big Data Analytics pour des activités de traitement de données personnelles.

L’organisme de surveillance des données de l’UE a émis cet ordre après avoir réprimandé Europol en septembre 2020 pour avoir stocké de grandes quantités de données sur des individus qui n’ont pas été liés à des activités criminelles, mettant leurs droits fondamentaux en danger.

« La décision du CEPD concerne la protection des personnes dont les données à caractère personnel sont incluses dans les ensembles de données transférés à Europol par les services répressifs des États membres de l’UE », a déclaré le CEPD aujourd’hui [PDF].

« Selon le règlement Europol, Europol est uniquement autorisé à traiter des données concernant des personnes ayant un lien clair et établi avec une activité criminelle (par exemple, suspect, témoin, etc.).

« Limiter le traitement des données par Europol évite d’exposer d’autres personnes qui n’appartiennent pas toutes à ces catégories, minimisant ainsi les risques associés au traitement de leurs données dans les bases de données d’Europol. »

Le CEPD impose une période de conservation des données de six mois

Europol n’a pas respecté les obligations prévues par le règlement Europol de filtrer et d’extraire les informations relatives à la criminalité de ses bases de données.

Ainsi, le CEPD a désormais également imposé une période de conservation de 6 mois sur les informations personnelles collectées par le corps de police, ce qui signifie qu’Europol doit effacer toutes les données non filtrées dans les six mois de ses bases de données pour empêcher leur traitement plus longtemps que nécessaire.

« Une telle collecte et un tel traitement de données peuvent représenter un volume énorme d’informations, dont le contenu précis est souvent inconnu d’Europol jusqu’au moment où il est analysé et extrait – un processus qui dure souvent des années », le contrôleur européen de la protection des données Wojciech Wiewiórowski ajouté dans un communiqué de presse publié aujourd’hui.

« Une période de 6 mois pour la pré-analyse et le filtrage de grands ensembles de données devrait permettre à Europol de répondre aux demandes opérationnelles des États membres de l’UE s’appuyant sur Europol pour le soutien technique et analytique, tout en minimisant les risques pour les droits et libertés des individus. »

De plus amples informations sur la commande du CEPD sont disponibles sur le Site Web de l’organisme de surveillance des données de l’UE et dans le décision publiée le 3 janvier.