L'autorité européenne de protection des données porte le mandat renforcé d'Europol devant la justice

Le Contrôleur européen de la protection des données (CEPD) a intenté la semaine dernière une action en justice, rendue publique jeudi (22 septembre), contre les co-législateurs de l’UE qui ont récemment adopté un renforcement du mandat de l’agence de maintien de l’ordre Europol.

Le CEPD, l’autorité de contrôle de la vie privée en charge des organes de l’UE, estime que les dispositions adoptées par les institutions constituent une remise en cause de l’État de droit au niveau de l’UE et menacent l’indépendance même de l’autorité de contrôle.

Les mesures portées par le contrôleur devant la Cour de justice de l’UE sont liées au fait que le nouveau mandat légalise rétroactivement les pratiques de conservation des données d’Europol. Par conséquent, le mandat a annulé la décision de l’autorité européenne de protection des données qui avait ordonné à Europol de conserver des ensembles de données (datasets) pour lesquels elle n’était pas compétente à l’époque.

Pour le contrôleur européen de la protection des données, Wojciech Wiewiórowski, les raisons de cette action en justice sont doubles.

« Premièrement, protéger la sécurité juridique des personnes dans le domaine très sensible de l’application de la loi, où le traitement des données personnelles implique des risques graves pour les personnes concernées », a déclaré M. Wiewiórowski.

« Deuxièmement, s’assurer que le législateur européen ne puisse pas indûment “déplacer les poteaux de but” dans le domaine de la vie privée et de la protection des données, où le caractère indépendant de l’exercice des pouvoirs d’exécution d’une autorité de contrôle exige la sécurité juridique des règles appliquées. »

La saga Europol remonte à 2019, lorsque la directrice exécutive de l’agence de répression, Catherine De Bolle, a demandé conseil au CEPD sur la conformité de ses pratiques de traitement des données, car Europol recevait des quantités croissantes de données en vrac des États membres.

En effet, Europol s’est spécialisé dans le soutien aux enquêtes transfrontalières en exploitant le « Big Data », qui ne se rapportait plus aux personnes ayant un lien avéré avec des activités criminelles.

En septembre 2020, le CEPD a conclu dans un avertissement qu’Europol outrepassait son mandat. En particulier, les nouvelles activités de l’agence allaient à l’encontre du principe de minimisation des données, dans son traitement des données en masse, et des limites de stockage, puisqu’elle ne se fixait aucune limite pour la conservation des données.

En décembre 2020, la Commission a présenté une proposition visant à revoir et à étendre le mandat d’Europol dans le cadre d’un paquet antiterroriste plus large. Aux yeux de l’exécutif européen, la nouvelle expertise de l’agence en matière de traitement des données est un outil indispensable pour lutter contre la criminalité dans un monde numérisé.

En revanche, certains critiques soulignent que la Commission légitimait des activités illégales de traitement des données, créant ainsi un dangereux précédent qui permettrait aux services répressifs de tester en permanence jusqu’où ils peuvent aller dans leurs activités de contrôle.

Le nouveau mandat a été approuvé en février, accordant une plus grande marge de manœuvre à Europol. Le mandat ne fixe par exemple aucune limite au transfert de grands ensembles de données à l’agence, y compris en provenance de pays dont le bilan en matière de pouvoirs fondamentaux n’est pas irréprochable.

Parallèlement, le rôle du CEPD a été revu à la baisse. En particulier, l’autorité de protection des données ne serait informée des nouveaux traitements opérationnels de données qu’à la fin des enquêtes, qui peuvent prendre des années avant d’être conclues.

Dans la proposition initiale de la Commission, le contrôleur devait décider si les nouveaux ensembles de données étaient conformes au principe de proportionnalité et aux droits fondamentaux. Le texte adopté laisse la décision à Europol, tandis que le CEPD est simplement informé du transfert de données.

Toutefois, l’élément qui dépasse les limites est le fait que le mandat annule de facto la décision que l’autorité a prise lors de la conclusion de son enquête, estime M. Wiewiórowski. En janvier 2022, le CEPD a ordonné à Europol de supprimer, dans un délai d’un an, toutes les données non pertinentes sur le plan pénal.

Le mandat permet par conséquent à Europol de continuer à traiter les données déjà en sa possession. En outre, le délai pour évaluer si les données nouvellement reçues sont liées à des activités criminelles a été prolongé pour passer de six mois après l’ordre du CEPD à trois ans.

Ces dispositions constituent un précédent inquiétant aux yeux du contrôleur, dans la mesure où les co-législateurs, le Conseil et le Parlement de l’UE, ont écarté une autorité de contrôle sur la base de leur volonté politique. Il existe donc un risque qu’à l’avenir, les autorités chargées de la protection des données soient soumises à des pressions politiques injustifiées, compromettant ainsi leur indépendance.

Le recours en annulation sera maintenant soumis à la Cour de justice de l’UE. La Commission européenne n’a pas répondu à la demande de commentaire d’EURACTIV au moment de la publication.