Le Contrôleur européen de la protection des données (CEPD), le chien de garde de l’UE en matière de protection des données, a constaté que l’agence avait accumulé une grande partie des données de manière illégale. L’agence a reçu l’ordre de supprimer les données personnelles des individus qui n’ont pas de lien établi avec une activité criminelle, concluant ainsi une enquête commencée en avril 2019.
Il a été constaté que l’UE avait enfreint la législation sur la protection des données en incluant des données personnelles de personnes n’ayant aucun lien avéré avec une activité criminelle et en les conservant plus longtemps que ce qui est strictement nécessaire.
Wojciech Wiewiórowski du CEPD a déclaré : “Il n’y a pas eu de progrès significatif pour répondre à la préoccupation centrale selon laquelle Europol stocke continuellement des données personnelles sur des individus alors qu’il n’a pas établi que le traitement est conforme aux limites fixées par le règlement Europol.”
Les défenseurs de la protection des données, comme l’avocat français Robin Binsard, ont affirmé que le volume de données stockées par l’agence de police équivaut à une surveillance de masse.
Selon des documents internes consultés par le Guardian, Europol stockait au moins quatre pétaoctets de données, soit l’équivalent de trois millions de CD ou un cinquième du contenu total de la bibliothèque du Congrès américain.
M. Binsard a déclaré au journal : “Démanteler tout un système de communication, c’est comme si la police fouillait tous les appartements d’un immeuble pour trouver la preuve d’un crime : cela viole la vie privée et c’est tout simplement illégal.”
L’agence détient des données sensibles sur au moins un quart de million de personnes, actuelles ou anciennes, soupçonnées de terrorisme ou de grande criminalité, ainsi que sur leurs contacts, qui ont été accumulées par les autorités policières nationales au cours des six dernières années.
Le stockage massif de données par Europol fait partie d’une tentative de développer de nouveaux outils de police et de former des algorithmes.
L’organisme de surveillance, qui a ordonné à Europol d’effacer les données détenues depuis plus de six mois, a donné à l’agence un an pour déterminer ce qui pouvait être légalement conservé.
Europol, qui nie tout acte répréhensible, a déclaré que le chien de garde interprète peut-être les règles actuelles d’une manière peu pratique.
Il a déclaré : “[The] Le règlement d’Europol n’a pas été conçu par le législateur comme une exigence à laquelle il est impossible de satisfaire pour le responsable du traitement des données”. [ie Europol] en pratique. “
Elle a ajouté que l’agence avait travaillé avec le chien de garde “pour trouver un équilibre entre le maintien de la sécurité de l’UE et de ses citoyens tout en adhérant aux normes les plus élevées en matière de protection des données.”
La Commission européenne a déclaré que le CEPD pose “un sérieux défi” à la capacité d’Europol à faire son travail.