Le Conseil européen étend les prérogatives d’Europol sur les données personnelles
![Image [Piratage d’Intersport :] Hunters International en héritier de Hive](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-attack-danger-2024-885x690.jpg)
![Image La ville de Saint-Nazaire victime d’une [cyberattaque]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Une vulnérabilité identifiée dans la [billetterie du PSG]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-breach-faille-2024-885x690.jpg)
Moins d’un mois après que le CEPD ait exigé qu’Europol efface les données personnelles conservées au-delà de la durée légale de 6 mois, le Conseil européen propose de porter cette durée à 3 ans.
Début janvier, le Contrôleur européen de la protection des données (CEPD) avait laissé 12 mois à Europol pour effacer toutes les données personnelles que l’agence de police conservait depuis plus de 6 mois et qui ne concernaient ni des suspects, ni des témoins, ni certaines victimes – comme le stipulent les lois de l’Union européenne. Europol s’était défendu en rappelant que la grande majorité de ses enquêtes duraient plus de 6 mois, et qu’il était souvent impossible de catégoriser aussi rapidement les données collectées.
Ce 1er février 2022, le Conseil européen et le Parlement européen ont publié un « accord provisoire » sur un nouveau mandat d’Europol donnant à l’agence « une base légale pour stocker et traiter de grandes quantités de données personnelles, mettant fin à une controverse ».
Ce texte accorde notamment 3 ans à Europol pour catégoriser les personnes identifiées dans les données, et donc évaluer si elles sont pénalement pertinentes ou doivent être supprimées – contre les 6 mois défendus par le CEPD.
L’accord étend par ailleurs les pouvoirs d’Europol en matière de collecte et de partage de données. Le communiqué du Conseil européen précise que « le projet de règlement étend les possibilités de coopération d’Europol avec les pays tiers » et qu’il introduit la possibilité d’échanger des données à caractère personnel « avec des pays où des garanties appropriées sont prévues par un instrument juridiquement contraignant ou existent selon l’autoévaluation menée dans le cadre d’Europol ».
Le règlement prévoit aussi qu’Europol puisse apporter une assistance technique aux États membres de l’Union ne disposant pas des capacités pour traiter de grands jeux de données dans le cadre de leurs enquêtes.
Par ailleurs, Europol pourra « recevoir des données à caractère personnel directement d’acteurs privés ». L’agence deviendra ainsi un point de contact permettant de partager légalement des ensembles de données relevant de plusieurs autorités. « Europol sera dès lors en mesure d’analyser ces ensembles de données afin d’identifier les États membres concernés et de transmettre les informations aux autorités nationales », précise le communiqué.
European Digital Rights (EDRi), qui fédère les ONG de défense des droits civils en Europe, s’est montré très critique avec cet accord : « En termes simples, le nouveau règlement légaliserait des pratiques de données qui étaient jusqu’à présent interdites et confirmerait l’utilisation de la police prédictive dans l’application de la loi européenne. Europol ne serait plus tenu de supprimer les ensembles de données contenant des données de personnes innocentes qu’il reçoit des autorités nationales d’enquête – au contraire, il serait encouragé à les exploiter ».