Actualités juridiques et digitales

Extension des prérogatives d’Europol en matière de données personnelles

Rédigé par Gérard HAAS | Feb 28, 2022 4:45:43 PM

Par Gérard Haas, Anne Charlotte Andrieux et Magali Lorsin-Cadoret

Suite à une enquête réalisée en 2019, le Contrôleur européen de la protection des données (CEPD) reprochait à Europol, l’agence européenne spécialisée dans la répression de la criminalité, d’enfreindre les principes de minimisation des données et de durée de conservation de ces dernières.

De ce fait, il avait envoyé un avertissement en septembre 2020 à l’agence afin que cette dernière se mette en conformité par rapport au Règlement général sur la protection des données (RGPD).

En l’absence de réaction, le 3 janvier dernier, le CEPD a ordonné à Europol de supprimer, dans un délai de 12 mois, “des données transmises par les pays membres de l’Union européenne (UE) sur des individus soupçonnés d’activités criminelles” qui n’auraient pas été filtrées par les services d’Europol depuis plus de 6 mois.

Cependant, le 1er février dernier, la présidence du Conseil et le Parlement européen sont parvenus à un accord provisoire sur un projet de règlement modifiant le règlement 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs. Cet accord devra par la suite faire l’objet de la procédure d’adoption formelle.

Les nouvelles prérogatives d’Europol

Une extension de la coopération d’Europol

En vertu de l’article 1er du règlement du 11 mai 2016, l’agence est instituée “en vue de soutenir la coopération entre les autorités répressives au sein de l’Union”.

L’article 4 du même règlement prévoit notamment qu’Europol :

  • Coordonne, organise et réalise des enquêtes et des actions opérationnelles pour soutenir et renforcer les actions des autorités compétentes des Etats membres ;
  • Soutient les activités d’échange d’informations.

Dans le cadre de son nouveau mandat, la coopération d’Europol va être étendue :

  • Europol pourra recevoir des données à caractère personnel d’entités ou de personnes privées, dans le respect d’exigences strictes en matière de protection de ces données ;
  • Europol pourra échanger des données personnelles avec des pays tiers, si ces derniers répondent bien aux exigences de garanties appropriées ;
  • Europol sera tenu de collaborer et de soutenir les enquêtes du Parquet européen en lui donnant un accès indirect à ses données, dans le respect des garanties applicables.

Une analyse des mégadonnées

En vertu de l’article 4 du règlement du 11 mai 2016, Europol :

  • Collecte, stocke, traite, analyse et échange des informations, y compris des éléments de renseignement criminel ;
  • Fournit aux Etats membres des informations et une aide à l'analyse lors d’événements internationaux majeurs.

Le nouvel accord provisoire vient éclairer le rôle d’Europol : alors que le CEPD imposait un délai de conservation de 6 mois, avec cet accord l’agence disposera de 3 ans pour analyser de façon préalable les données et catégoriser les personnes identifiées dans ces données, le tout dans le respect d’exigences strictes.

De plus, pour les données qu’Europol aurait déjà en sa possession, une mesure transitoire prévoit que les Etats membres, le Parquet européen ou Eurojust auront simplement à informer Europol qu’ils souhaitent que le nouveau mandat soit appliqué à ces données.

Le nouvel accord provisoire prévoit également une assistance technique offerte par Europol aux Etats membres qui ne disposeraient pas des capacités pour le traitement de grands jeux de données pour leurs enquêtes.

Une participation au système SIS

Dans le cadre de son nouveau mandat, Europol aura la possibilité de proposer aux États membres l’introduction de signalements reçus de pays hors UE ou d’organisations internationales dans le Système d’information Schengen (SIS), un fichier européen dans lequel sont signalées les personnes recherchées en vue d’une arrestation ou d’une extradition ou dans le cadre d’une procédure pénale, les personnes disparues, certaines personnes interdites de séjour ainsi que les objets recherchés en vue d’une saisie ou dans le cadre d’une procédure pénale.

Ces informations se présenteraient sous la forme d’alertes et seraient uniquement accessibles aux policiers situés dans la zone Schengen et aux frontières extérieures de l’UE.

Une initiative des enquêtes

En vertu de l’article 4 du règlement du 11 mai 2016, Europol peut participer à des équipes d’enquête commune ainsi que proposer leur constitution.

Dans le cadre de son nouveau mandat, Europol aura la possibilité de proposer l’ouverture d’une enquête nationale sur des crimes non transfrontières qui porteraient une atteinte à un intérêt commun faisant l’objet d’une politique de l’UE.

La recherche et l’innovation

Dans le cadre de son nouveau mandat, Europol va venir se placer en soutien des Etats membres dans leur utilisation des nouvelles technologies en s’efforçant de développer des solutions technologiques communes pour ces Etats et en explorant de nouvelles approches possibles.

Un renforcement du contrôle d’Europol

Un renforcement de la supervision d’Europol

En vertu de l’article 43 du règlement du 11 mai 2016, “le CEPD est chargé de surveiller et de garantir l’application des dispositions du présent règlement concernant la protection des libertés et des droits fondamentaux des personnes physiques à l’égard des traitements de données à caractère personnel effectués par Europol, ainsi que de conseiller Europol et les personnes concernées sur toutes les questions concernant le traitement des données à caractère personnel”.

A ce titre, le CEPD exerce déjà les fonctions suivantes[1] :

  • Recevoir et examiner les réclamations ;
  • Mener des enquêtes de sa propre initiative ou sur la base d’une réclamation ;
  • Contrôler et garantir l’application par Europol du règlement Europol et de tout autre acte de l’Union relatif à la protection des données à caractère personnel ;
  • Conseiller Europol sur les questions relatives au traitement des données à caractère personnel ; et
  • Tenir un registre des nouveaux types d’opérations qui lui ont été notifiés.

Le nouvel accord provisoire prévoit une extension des prérogatives du CEPD mais également la désignation d’un nouvel officier aux droits fondamentaux rattaché à Europol.

En effet, le rôle du CEPD ne sera plus seulement de surveiller et de garantir l’applicabilité des dispositions du règlement du 11 mai 2016 mais également des dispositions du règlement (UE) 2018/1725. De plus, le CEPD sera également chargé d’établir un rapport annuel sur ses activités de contrôle portant sur Europol. Enfin, le CEPD devra recourir à l’expertise et à l’expérience des autorités de contrôle nationales dans le cadre du contrôle coordonné qu’il exercera avec ces dernières.

Un renforcement du contrôle parlementaire et de la responsabilité d’Europol

En vertu de l’article 51 du règlement Europol, “le contrôle des activités d’Europol est effectué par le Parlement européen, avec les parlements nationaux” qui a pour mission d’assurer “le contrôle politique des activités d’Europol dans l’accomplissement de sa mission, y compris en ce qui concerne leur incidence sur les libertés et les droits fondamentaux des personnes physiques”.

Le nouvel accord provisoire prévoit un renforcement des prérogatives de ce groupe parlementaire de contrôle puisque Europol sera tenu de fournir des informations supplémentaires à ce groupe parlementaire afin que ce dernier effectue son contrôle politique des activités de l’agence. De plus, sera créé un forum consultatif dont le rôle sera de conseiller Europol.

Un accord critiqué

Cet accord provisoire est critiqué par l’European Digital Rights (EDRi) qui considère qu’en “termes simples, le nouveau règlement légaliserait des pratiques de données qui étaient jusqu’à présent interdites et confirmerait l’utilisation de la police prédictive dans l’application de la loi européenne. Europol ne serait plus tenu de supprimer les ensembles de données contenant des données de personnes innocentes qu’il reçoit des autorités nationales d’enquête - au contraire, il serait encouragé à les exploiter”.

De plus, il est souligné par l’eurodéputée belge Saskia Bricmont que la mise en place d’un officier des droits fondamentaux et d’un forum consultatif n’offre “toutefois pas les garanties démocratiques et contre-pouvoirs suffisants pour assurer un contrôle indépendant de l’Agence et la garantie du respect des droits fondamentaux”.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des nouvelles technologies. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.

 

[1] Article 43, 2. du règlement Europol