Le Parlement européen a voté pour donner à Europol de larges puissances pour collecter et traiter les données sur les individus, y compris les personnes qui ne soupçonnent aucun crime, dans une décision qui élargit considérablement le pouvoir de l'agence de police européenne.
Les députés votaient le 4 mai pour élargir le mandat d'Europol pour collecter des données personnelles auprès des entreprises technologiques, y compris des télécommunications et des fournisseurs d'Internet et des sociétés de médias sociaux, et pour collecter et analyser les données de pays en dehors de l'Union européenne (UE).
Les propositions donnent également à Europol le feu vert pour développer des algorithmes et des systèmes d'intelligence artificielle (IA) capables de prendre des décisions automatisées et de développer des modèles de police prédictifs.
Le projet de réglementation du Parlement renverse efficacement une ordonnance du superviseur européen de protection des données (EDPS) en janvier 2020 qui exigeait que Europol supprime les bandes de données personnelles qu'elle avait collectées et traitées illégalement.
Les députés votaient par 480 en faveur d'une expansion importante du rôle d'Europol, avec 142 contre et 20 abstentions, dans une décision qui étendra l'utilisation par Europol des mégadonnées et de l'intelligence artificielle dans les enquêtes criminelles.
Le règlement proposé introduit des mesures pour protéger la vie privée des particuliers, y compris la nomination d'un responsable des droits fondamentaux à Europol et une surveillance indépendante par l'EDPS.
Une «expansion massive et incontrôlée» des pouvoirs
Mais cette décision a été critiquée par des groupes de la société civile, et certains députés, qui affirment qu'il équivaut à une «expansion massive et incontrôlée» des pouvoirs d'Europol et pourrait représenter une première étape sur la voie de la création d'une version européenne de GCHQ ou des États-UnisAgence de Sécurité Nationale.
«Europol sera autorisé à collecter et à partager les données à gauche, à droite et au centre, sans beaucoup de restriction ou de contrôle», a déclaré Chloé Berthélém, conseiller en droits politiques d'European Digital Rights (EDRI), un réseau d'organisations civiles et des droits de l'homme en Europe.
Le projet de loi est en partie une réponse aux demandes croissantes d'Europol pour analyser des ensembles de données de plus en plus importants et complexes afin d'identifier les crimes dans plusieurs pays à l'intérieur et à l'extérieur de l'Union européenne.
Un exemple est une opération des Français et de la police néerlandaise en 2020 pour pirater le réseau téléphonique crypté Emprochat, balayant des messages texte à partir de dizaines de milliers de téléphones ainsi que des détails des contacts, notes, vidéos et messages vocaux des utilisateurs, leurs pseudonymeset identificateurs de téléphone uniques.
La nouvelle législation proposée élargira la gamme de données que Europol peut conserver et traiter au-delà de son mandat existant, qui restreint l'agence de police à traiter les données uniquement sur les personnes qui avaient un lien clair et établi avec la criminalité.
Le projet de loi permettra également à Europol de partager des données - qui pourraient inclure des adresses IP, des URL et le contenu des communications - avec des entreprises, y compris les institutions financières et les plateformes en ligne.
Les États membres européens fournissent à Europol des ensembles de données, qui sont compris comme incluant les enregistrements de vol de passagers, les emplacements des téléphones mobiles et les ensembles de données de données open source qui pourraient inclure des publications sur les réseaux sociaux grattés d'Internet.
Europol sera également en mesure de recevoir des données de sociétés de services Internet et de technologie, telles que Google et Facebook, y compris les données d'abonnés, de trafic et de contenu qui peuvent être pertinentes pour les enquêtes criminelles.
Il assumera un rôle supplémentaire pour évaluer les risques stratégiques posés par les investisseurs étrangers dans les technologies émergentes en Europe, en particulier celles utilisées par l'application des lois et les technologies critiques qui pourraient être utilisées pour le terrorisme
Intelligence artificielle construite sur des «données sales»
Le projet de loi donne également à Europol un mandat pour rechercher des technologies innovantes, notamment la technologie d'IA et la prise de décision algorithmique, qui, par exemple, pourrait être utilisée pour prédire quelles individus sont susceptibles d'être impliqués dans l'activité criminelle.
Europol sera également en mesure de former légalement des algorithmes sur des ensembles de données contenant les informations personnelles des personnes qui ne sont soupçonnées d'aucun crime, dans un déménagement décrit par les législateurs comme nécessaire pour supprimer les biais des algorithmes formés uniquement sur les données criminelles.
Les critiques soulignent que l'approbation par les députés des députés de l'utilisation par Europol de la prise de décision automatique est en contradiction avec l'approbation par le Parlement européen de l'interdiction de l'utilisation d'algorithmes pour la police prédictive.
Le Parlement a convenu en octobre 2021 que les techniques d'IA utilisées aujourd'hui auront probablement un impact discriminatoire sur les groupes raciaux et les communautés marginales, les enfants, les personnes âgées et les femmes.
Berthélémy, conseiller en politique chez EDRI, a déclaré que les États membres ne prêchaient pas suffisamment d'attention à la qualité des données qu'ils envoyaient à Europol qui seront utilisées pour former des algorithmes.
«Europol développera et utilisera des algorithmes basés sur les données reçues des forces de police nationales, mais la nature et l'origine de ces ensembles de données n'ont pas été suffisamment remises en question», a-t-elle déclaré.
«Ils peuvent être déformés par les biais raciaux ou provenir de pratiques corrompues et illégales.Ces «données sales» entraîneront des technologies d'Europol qui ciblent trop certains groupes socioéconomiques, raciaux ou ethniques, renforçant finalement les inégalités structurelles », a-t-elle ajouté.
Garanties et supervision pas assez
Le projet de règlement comprend «des garanties améliorées, des mécanismes de surveillance démocratique et de responsabilité», selon un rapport sur le règlement proposé.
Ceux-ci sont destinés à garantir que les activités et les tâches d'Europol sont effectuées en pleine conformité à la Charte européenne sur les droits fondamentaux, a déclaré le rapport du Comité des libertés civiles, de la justice et des affaires intérieures.
Cela comprend les droits à l'égalité avant la loi, à la non-discrimination et à un recours efficace devant la Cour nationale compétente.
Le traitement des données personnelles «se limite à ce qui est strictement nécessaire et proportionné et soumis à des conditions claires, aux exigences strictes et à une supervision efficace» par le superviseur européen de protection des données.
Cependant, les groupes de la société civile affirment que les garanties proposées sur la protection des données ne vont pas assez loin.
Le conseiller de l'EDRI, Berthélémy, a déclaré que les plans d'Europol nomment en interne un responsable des droits fondamentaux (FRO) pour protéger les droits de confidentialité des sujets de données, couplés aux pouvoirs limités des EDP, sont loin du règlement indépendant que l'agence de police exige.
Le modèle FRO a été tiré de l'agence européenne des frontières et de la Garde côtière, Frontex, où elle s'est déjà révélée inefficace, a-t-elle déclaré.
"Ils reproduisent simplement un mécanisme qui ne s'est pas vraiment révélé efficace d'une autre agence impliquée dans les violations des droits de l'homme aux frontières de l'UE", a déclaré Berthélémy.
Laure Baudrihaye-Gérard, directrice juridique en Europe pour le groupe de campagne Fair Trials, a déclaré que l'augmentation des pouvoirs d'Europol devrait être une augmentation de la surveillance.
"Les MEP auraient dû prendre l'occasion pour défendre les droits des gens au lieu de ouvrir la voie à un modèle de police inexplicable qui envoie un signal inquiétant à toutes les forces de police d'Europe", a-t-elle déclaré.
On craint également qu'il y ait un manque de garanties adéquates et de transparence sur la qualité et la précision des données partagées par les États membres avec Europol.
Les données peu fiables peuvent être «blanchies» via Europol, partagées avec les États membres et utilisées comme preuves dans les procédures pénales, a déclaré Berthhélémy.
Cela rendrait impossible d'identifier les erreurs ou de déterminer si les preuves ont été collectées légalement par l'État membre qui l'a fourni.
"Europol conclut de plus en plus d'accords avec les pays tiers, dont beaucoup ont un mauvais dossier sur les droits de l'homme", a-t-elle déclaré.«Nous avons appelé Europol une machine à blanchiment de données, car nous ne savons pas à quel point les données sont dignes de confiance, que ce soit de bonne qualité et si elle a été validée par un juge ou une autorité judiciaire indépendante."
Berthélémy a déclaré que Europol encourageait également les organisations privées à partager volontairement des données, ce qu'elle transmet aux États membres, dans une décision qui pourrait abriter les traités de l'Union européenne.
Baudrihaye-Gérard a déclaré que les tribunaux ne peuvent pas exercer une surveillance judiciaire significative si les données collectées et analysées par Europol sont correctes.
Les avocats de la défense n'ont pas accès aux informations dont ils ont besoin pour préparer une défense. “We are really facing a complete emptying of the right to a fair trial when Europol is concerned," she said.
Le passage d'Europol dans les mégadonnées soulève des problèmes de conformité
Europol a commencé à offrir aux États des États des États européens pour analyser les données médico-légales en 2002. Demand for these services has grown drastically over the years as police agencies across Europe sought to exploit the power of “big data".
D'ici 2019, le superviseur européen de la protection des données a indiqué qu'Europol traitait des quantités croissantes de données non ciblées à des fins d'intelligence et d'enquête - y compris des ensembles de données contenant des informations sur des personnes innocentes.
En avril de la même année, la directrice exécutive d'Europol, Catherine De Bolle, a signalé des problèmes de conformité majeurs aux EDP, provoquant une enquête officielle.
En avril suivant, Europol a commencé à recevoir d'énormes quantités de données d'une nouvelle opération de piratage menée par la police française dans un réseau téléphonique crypté Emprochat.
L'agence a reçu des données de 120 millions de messages ECROCHAT, a analysé les données pour identifier le pays d'origine et l'a livré aux forces de police en Allemagne, en France, en Suède, au Royaume-Uni et dans d'autres pays qui ont procédé à des milliers d'arrestations de gangs criminels organisés.
En septembre 2020, l'EDPS a exhorté Europol - sans nommer des enquêtes spécifiques - pour mettre en danger les droits de confidentialité des sujets de données en continuant à stocker de grands volumes de données personnelles, dans certains cas pendant des années, sans évaluer si les individus avaient un lien avec la criminalité.
“The processing of data about individuals in an EU law enforcement database can have severe consequences on those involved," the supervisor, Wojciech Wiewiórowski, wrote at the time.
“Without putting in place the safeguards provided in the Europol regulation, individuals run the risk of being wrongly linked to criminal activity across the EU, with all the potential damage to their private and professional lives that that entails," he added.
Normaliser la collecte de données généralisées
The EDPS and Europol failed to reach an agreement during subsequent negotiations and, in January this year, the EDPS ordered Europol to delete all data it held on individuals with “no established link to criminality".
L'ordonnance obligeait Europol à effacer les ensembles de données de plus de six mois, dans les cas où Europol n'avait pas réussi à classer les sujets de données et ne pouvait pas être certain qu'ils ne contenaient pas d'informations sur les personnes sans liens établis avec le crime.
Il était possible, l'EDPS a constaté que les données sur des individus innocents peuvent également avoir été extraits et partagés avec des tiers.
Le régulateur a ordonné à Europol de notifier des tiers pour supprimer toutes les données remises à tort.
Edri’s Berthélémy a déclaré à Computer Weekly qu’un objectif majeur de la dernière réforme était de légaliser le traitement des ensembles de données par Europol qui contiennent des données personnelles sur des personnes qui ne sont soupçonnées d’aucun crime.
En vertu du mandat d'Europol 2016, l'agence de police est limitée au traitement des données, définies dans une liste connue sous le nom d'annexe 2, qui concerne les personnes ayant des liens avec le terrorisme, le trafic de drogue et d'autres crimes organisés transfrontaliers.
Les dernières propositions permettent à Europol de déroger des restrictions à l'annexe 2, sans aucune obligation d'informer le superviseur européen de la protection des données avant qu'une enquête criminelle ait été terminée - ce qui pourrait prendre des années.
Un effet du changement, a déclaré Berthélémy, serait de s'assurer que la collecte de données de masse d'Europol pendant l'opération contre Escrochat, qui a recueilli des messages, des photos, des vidéos et d'autres données, qui n'ont pas été liés à l'activité criminelle, estlégalisé.
“It is really about normalising this massive data collection," she said.
Patrick Breyer, MEP for the Pirate Party and a member of the Joint Parliamentary Scrutiny Group, which monitors Europol, said that despite concerns from civil society groups and a rebuke from the European Data Protection Supervisor, Europol was to be allowed to collect and analyse “massive amounts" of data on individuals who are not suspected of crime.
“In consequence, innocent citizens run the risk of being wrongfully suspected of a crime just because they were in the wrong place at the wrong time," he said.
According to Breyer, Europol’s plans to train “error-prone" algorithms with data from real citizens in the future threatened “false positives" and discrimination.
Il a déclaré que Europol devrait être réglementé plus efficacement pour s'assurer qu'il ne violait pas la loi. “The supervisory mechanisms, which have been superficial so far, have not been given the necessary teeth to detect and stop illegal practices by the authority," he said.
Schengen Reforms
Une proposition distincte modifiant le règlement du Schengen Information System (SIS) pour permettre à Europol de rendre les informations sur les pays tiers à la disposition des officiers de première ligne, mais sous une forme modifiée.
Europol ne pourra pas soumettre ses propres alertes SIS, comme initialement prévu, mais, dans un accord de compromis pour répondre aux sensibilités des États membres, il sera autorisé à demander aux États membres d'ajouter des alertes en son nom.
Dans un communiqué après le vote parlementaire européen, le rapporteur Javier Zarzalejos a déclaré: «Ce règlement et le nouveau mandat pour Europol, marquent un saut substantiel dans les capacités de l'agence, dans sa capacité à soutenir les États membres, dans son cadre de gouvernance et dans son cadre et dans son cadre de gouvernance et dans son cadre de gouvernance et, Enfin et surtout, dans le système amélioré de garanties que nous avons mis en place."
Le texte juridique se rendra désormais au Conseil de l'Europe pour une adoption formelle avant son entrée en vigueur.
La proposition de Schengen devrait être discutée dans la plénière du Parlement européen entre le 6 et le 9 juin.
What you need to know about Europol’s proposed expanded mandate
Mesures clés
Big Data
Recherche d'IA et de technologie
Conformité
Partager des données avec les entreprises technologiques
Partage de données à l'étranger
Terrorisme et maltraitance des enfants
Protection et réglementation des données
