L’organe de police de l’UE est accusé de détenir illégalement des informations et de vouloir devenir une agence de surveillance de masse de type NSA.

Europol, l’agence de police de l’Union européenne, va être contrainte de supprimer une grande partie d’un vaste stock de données à caractère personnel qu’elle a accumulé illégalement, selon le contrôleur européen de la protection des données. La conclusion sans précédent du Contrôleur européen de la protection des données (CEPD) vise ce que les experts de la vie privée appellent une « arche de données » contenant des milliards de points d’information. Les données sensibles de l’arche ont été tirées de rapports criminels, piratées à partir de services téléphoniques cryptés et échantillonnées à partir de demandeurs d’asile jamais impliqués dans un crime.

Europol, énormément de données

Selon des documents internes consultés par le Guardian, la cache d’Europol contient au moins 4 pétaoctets, soit l’équivalent de 3 millions de CD-Rom ou un cinquième du contenu total de la bibliothèque du Congrès américain. Selon les défenseurs de la protection des données, le volume d’informations détenues par les systèmes d’Europol équivaut à une surveillance de masse et constitue un pas en avant vers la création d’un équivalent européen de l’Agence nationale de sécurité des États-Unis (NSA), l’organisation dont l’espionnage clandestin en ligne a été révélé par le dénonciateur Edward Snowden.

Parmi les quadrillions d’octets détenus figurent des données sensibles sur au moins un quart de million de personnes soupçonnées de terrorisme ou de grande criminalité, actuelles ou anciennes, et sur une multitude d’autres personnes avec lesquelles elles ont été en contact. Ces données ont été accumulées par les autorités policières nationales au cours des six dernières années, dans une série de décharges de données provenant d’un nombre inconnu d’enquêtes criminelles.

L’organisme de surveillance a ordonné à Europol d’effacer les données détenues depuis plus de six mois et lui a donné un an pour déterminer ce qui pouvait être légalement conservé.

Cette confrontation oppose l’organisme européen chargé de la protection des données à une puissante agence de sécurité appelée à devenir le centre de l’apprentissage automatique et de l’IA dans le domaine policier.

Cette décision met également en lumière les profondes divisions politiques qui existent entre les décideurs européens quant aux compromis à trouver entre sécurité et vie privée. L’issue de ce face-à-face aura des répercussions sur l’avenir de la vie privée en Europe et au-delà.

La commissaire européenne chargée des affaires intérieures, Ylva Johansson, a semblé défendre Europol. « Les services répressifs ont besoin des outils, des ressources et du temps nécessaires pour analyser les données qui leur sont légalement transmises », a-t-elle déclaré. « En Europe, Europol est la plateforme qui soutient les autorités de police nationales dans cette tâche herculéenne. »

La protection des données personnelles

La Commission estime que les préoccupations juridiques soulevées par le CEPD posent « un sérieux défi » à la capacité d’Europol à remplir ses fonctions. L’année dernière, elle a proposé des changements radicaux au règlement qui sous-tend les pouvoirs d’Europol. Si elles sont adoptées, les propositions pourraient en effet légaliser rétrospectivement le cache de données et préserver son contenu comme un terrain d’essai pour les nouveaux outils d’IA et d’apprentissage automatique.

Europol nie tout acte répréhensible et affirme que l’organisme de surveillance interprète peut-être les règles actuelles de manière peu pratique : « Le règlement Europol n’a pas été conçu par le législateur comme une exigence impossible à satisfaire par le contrôleur de données [c’est-à-dire Europol] dans la pratique. »

Europol a travaillé avec le CEPD « pour trouver un équilibre entre le maintien de la sécurité de l’UE et de ses citoyens tout en adhérant aux normes les plus élevées de protection des données », a déclaré l’agence.

Fondée en tant qu’organe de coordination des forces de police nationales de l’UE et dont le siège est à La Haye, Europol a été poussée par certains États membres comme une solution aux préoccupations liées au terrorisme dans le sillage des attentats du Bataclan de 2015 et encouragée à récolter des données sur de multiples fronts.
En théorie, Europol est soumis à une réglementation stricte sur les types de données personnelles qu’il peut stocker et pendant combien de temps. Les enregistrements entrants sont censés être strictement catégorisés et ne sont traités ou conservés que s’ils ont un intérêt potentiel pour des activités de grande valeur, comme la lutte contre le terrorisme. Mais le contenu complet de ce qu’il détient est inconnu, en partie à cause de la façon désordonnée dont le CEPD a trouvé qu’Europol traitait les données.

Seule une poignée d’Européens ont pris conscience que leurs propres données étaient stockées et aucun n’a été en mesure de forcer la divulgation. Frank van der Linde, qui a été placé sur une liste de surveillance terroriste dans son pays natal, les Pays-Bas, puis retiré, est l’un des rares fils visibles dans un réseau autrement invisible.

Ce militant politique, dont les seuls démêlés sérieux avec la police se résument à avoir brisé une fenêtre pour entrer dans un immeuble et créer un squat pour les sans-abri, a été retiré de la liste de surveillance néerlandaise par les autorités en 2019. Mais un an avant cette suppression, il avait déménagé à Berlin, ce qui, inconnu de Van der Linde à l’époque, a incité la police néerlandaise à partager ses données avec ses homologues allemands et Europol. Le militant n’a découvert son imbroglio avec Europol que lorsqu’il a vu un dossier partiellement déclassifié à la mairie d’Amsterdam.

Suppression de données d’Europol

Pour obtenir la suppression de ses données personnelles de toute base de données internationale, il s’est adressé à Europol. Il a été surpris lorsqu’en juin 2020, Europol lui a répondu qu’il n’avait rien auquel il était « autorisé à avoir accès ». L’activiste a porté sa plainte devant le CEPD. « Je ne sais pas s’ils ont supprimé les données après que les autorités néerlandaises les ont mises à jour [qu’elles] ne me considèrent pas comme un extrémiste… Europol est une boîte noire ».

« La facilité avec laquelle on peut se retrouver sur une telle liste est horrible », a déclaré Van der Linde. « C’est choquant de voir avec quelle facilité la police partage des informations par-delà les frontières, et c’est terrifiant de voir à quel point il est difficile de parvenir à se supprimer de ces listes. »

Les inquiétudes concernant le traitement des données sensibles par Europol ont incité l’organisme de surveillance à soulever ses propres questions en 2019. Ses premières conclusions, en septembre de la même année, ont montré que les ensembles de données partagés avec Europol étaient stockés sans les contrôles appropriés pour vérifier si les personnes qui y sont écopées devaient être surveillées ou leurs données conservées. L’accès à l’arche est limité au personnel autorisé et une grande partie de son contenu a été examinée, nettoyée et utilisée légalement.

Lorsqu’Europol n’a pas réussi à répondre de manière convaincante aux préoccupations du CEPD, ce dernier a publiquement admonesté l’agence de police en septembre 2020 en expliquant clairement ce qui était en jeu : « Les personnes concernées courent le risque d’être liées à tort à une activité criminelle dans toute l’UE, avec tous les dommages potentiels que cela implique pour leur vie personnelle et familiale, leur liberté de mouvement et leur profession ».

Le bras de fer qui a suivi est illustré par une série de documents internes obtenus en vertu de la législation sur la liberté d’information. Ils montrent qu’Europol cherche à gagner du temps et que l’organisme de surveillance lui dit qu’il n’a pas réussi à résoudre « la violation de la loi ». L’agence de police semble attendre une nouvelle législation européenne pour couvrir rétroactivement ce qu’elle fait sans base légale depuis six ans.

Une protection des données personnelles limitée

La nervosité de la Commission européenne face à un affrontement public a suffi pour que Monique Pariat, directrice générale des affaires intérieures de l’UE, organise une réunion entre les deux agences en décembre 2021. Des sources ont déclaré que le chien de garde avait été encouragé à « atténuer » ses critiques publiques envers Europol.

Mais le chef du CEPD, Wojciech Wiewiórowski, a déclaré au Guardian que la réunion était « le dernier moment pour Europol d’ajouter certaines informations qui n’ont pas été ajoutées dans leurs dernières réponses à notre lettre ».

Comme la réunion n’a rien fait pour répondre aux préoccupations de Wiewiórowski sur la conservation légale des données, « il n’y avait pas d’autre moyen de résoudre le problème, pour nous », a-t-il dit, « que de publier une décision d’effacer les données qui ont plus de six mois ».

Niovi Vavoula, expert juridique à l’université Queen Mary de Londres, a déclaré : « La nouvelle législation est en fait un effort pour jouer le système. Europol et la Commission tentent depuis des années de rectifier a posteriori des données conservées illégalement. Mais la mise en place de nouvelles règles ne résout pas légalement un comportement précédemment illégal. Ce n’est pas ainsi que fonctionne l’État de droit ».

Les préoccupations des experts ne se limitent pas au fait qu’Europol bafoue les règles relatives à la conservation des données. Ils voient également une agence de répression qui aspire à mener des opérations de surveillance de masse.

Lors d’une audition en juin 2021, les membres de la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen ont comparé l’agence à la NSA. M. Wiewiórowski a surpris les participants en approuvant la comparaison par rapport à la pratique d’Europol en matière de conservation des données. Il a souligné qu’Europol utilisait des arguments similaires à ceux utilisés par la NSA pour défendre les opérations de collecte de données en masse et la surveillance de masse telles que révélées par Snowden.

« Ce que la NSA a dit aux Européens après le début du scandale Prism, c’est qu’ils ne traitent pas les données, ils ne font que les collecter et ils ne les traiteront que si cela est nécessaire pour l’enquête qu’ils mènent », a déclaré Wiewiórowski aux députés. « C’est quelque chose qui n’est pas conforme à l’approche européenne du traitement des données personnelles ».

Source des données d’Europol

Eric Topfer, expert en surveillance à l’Institut allemand des droits de l’homme, a étudié la proposition de nouveau règlement d’Europol et a déclaré qu’il prévoit que l’agence tire des données directement des banques, des compagnies aériennes, des entreprises privées et des e-mails. « Si Europol n’aura qu’à demander certains types d’informations pour les voir servies sur un plateau d’argent, alors nous nous rapprochons d’une agence semblable à la NSA. »

La lutte avec le CEPD sur le stockage des données est la dernière preuve qu’Europol favorise les solutions techniques aux problèmes de sécurité au détriment du droit à la vie privée. Le patron d’Europol, qui était auparavant le premier flic de Belgique, a co-écrit un article d’opinion en juillet 2021 qui soutient que les besoins des forces de l’ordre d’extraire des preuves des smartphones devraient l’emporter sur les considérations de vie privée. L’article plaide pour un droit légal aux clés de tous les services de cryptage.
Aucune mention n’est faite des révélations du logiciel espion Pegasus qui a montré que de nombreux gouvernements, dont certains en Europe, tentaient activement d’intercepter les communications des défenseurs des droits de l’homme, des journalistes et des avocats pour lesquels le cryptage offre leur seule protection.

En 2020, Europol a claironné son implication avec les polices française et néerlandaise dans le piratage du service de téléphonie cryptée EncroChat, libérant un torrent de données personnelles dans l’arche. Lorsque l’opération secrète a été révélée par Europol et son homologue judiciaire, Eurojust, elle a été saluée comme l’un des plus grands succès de la lutte contre le crime organisé dans l’histoire de l’Europe. Rien qu’au Royaume-Uni, près de 2 600 personnes ont été placées en garde à vue en août 2021 et Nikki Holland, directrice des enquêtes à l’Agence nationale britannique de lutte contre la criminalité, a comparé le piratage à « la présence d’une personne infiltrée dans chaque groupe criminel organisé de premier plan dans le pays ».

Une collecte de masse des données : Europol

Europol a copié les données extraites de 120 millions de messages EncroChat et de dizaines de millions d’enregistrements d’appels, de photos et de notes, puis les a distribuées aux forces de police nationales. Le flot de preuves de trafic de drogue et d’autres infractions a fait oublier les doutes quant aux implications de l’opération. L’opération de piratage qui a transformé les téléphones EncroChat en espions mobiles agissant contre leurs utilisateurs présente d’importantes similitudes avec les logiciels malveillants de surveillance tels que Pegasus.

Des avocats d’Allemagne, de France, de Suède, d’Irlande, du Royaume-Uni, de Norvège et des Pays-Bas, représentant tous des clients pris dans la tourmente, se sont réunis à Utrecht en novembre 2021. Ils ont constaté que des dossiers étaient constitués dans toute l’Europe sur la base de preuves dont les autorités ne voulaient pas révéler la provenance. « Les enquêteurs et les procureurs cachaient ou déformaient les faits », a déclaré l’avocat allemand Christian Lödden. « Nous sommes tous d’accord pour dire que ce ne sont pas les meilleures personnes du monde, mais que sommes-nous prêts à sacrifier pour condamner une personne de plus ? ».

La clientèle d’EncroChat comprenait des non-criminels, des personnes telles que des avocats, des journalistes et des hommes d’affaires. L’avocat néerlandais Haroon Raza était l’un d’entre eux et a déclaré avoir acheté un combiné EncroChat dans un magasin de téléphonie à Rotterdam. Il a exigé que ses données soient effacées. « D’après ce que j’ai pu comprendre, une copie se trouve toujours dans les bases de données d’Europol où elle pourrait rester pour toujours ».

L’avocat français Robin Binsard est convaincu que toute l’opération relève de la surveillance de masse. Il a déclaré : « Démanteler tout un système de communication, c’est comme si la police fouillait tous les appartements d’un immeuble pour trouver la preuve d’un crime : cela viole la vie privée et c’est tout simplement illégal. »

Un contrôle de masse par Europol

Depuis 2016, Europol mène également un programme de dépistage de masse dans les camps de réfugiés en Italie et en Grèce, balayant les données de dizaines de milliers de demandeurs d’asile à la recherche de combattants étrangers et de terroristes présumés. Selon un rapport d’inspection du CEPD partiellement déclassifié, obtenu en vertu des lois sur la liberté d’information, les « contrôles de routine » par Europol des migrants traversant les frontières de l’UE « ne sont pas autorisés » car il n’existe « aucune base juridique » pour un tel programme. Le contrôle peut avoir entraîné le stockage des données personnelles des migrants dans une base de données criminelle, indépendamment de tout lien trouvé avec la criminalité ou le terrorisme. Europol a refusé de révéler tout détail opérationnel.

Des documents internes montrent clairement qu’au printemps 2020, Europol développait son propre programme d’apprentissage automatique et d’intelligence artificielle, alors même que le chien de garde de l’UE lui talonnait. Disposant d’une quantité croissante de données, l’agence s’est tournée vers les algorithmes pour leur donner un sens. Un mois après que le contrôleur des données ait publiquement admonesté Europol, l’agence est revenue avec une question : si elle voulait former des algorithmes sur les données qu’elle avait déjà été admonestée pour avoir conservé, pourrait-elle commencer le processus d’évaluation d’impact sur la protection des données pour cela sans la supervision du CEPD ?

La demande indique clairement que les algorithmes, qui comprennent des outils de reconnaissance faciale, ne seraient pas conçus ni utilisés pour récupérer des données sensibles telles que l’état de santé, l’origine ethnique, l’orientation sexuelle ou politique, même si, comme Europol l’a admis, de telles données seraient inévitablement traitées par les outils : « Nous reconnaissons que les résultats produits contiendront des données sensibles et leur traitement sera conforme au règlement d’Europol. »

Europol, violation volontaire des droits

Lorsque le chien de garde n’a pas donné son feu vert, Europol a décidé d’écarter le CEPD et d’aller de l’avant malgré tout, confirmant ainsi dans une lettre de janvier 2021.

L’organisme de surveillance a répondu en disant qu’il allait ouvrir une procédure de contrôle formelle. À la fin du mois de février 2021, Europol a tiré le frein de son programme d’apprentissage automatique. Europol a déclaré au Guardian que, jusqu’à présent, il « n’a pas fait usage de ses propres modèles d’apprentissage automatique pour l’analyse opérationnelle et n’a pas non plus effectué de « formation » de l’apprentissage automatique. »

Mais il y a des signes clairs que le frein sera bientôt levé. Europol a déjà lancé un cycle de recrutement d’experts pour aider au développement de l’IA et de l’exploration des données.

La forme émergente d’Europol alarme certains députés européens, comme la Belge Saskia Bricmont. « Au nom de la lutte contre la criminalité et le terrorisme, nous avons une évolution d’une agence, qui remplit des missions très importantes, mais elles ne sont pas exécutées de la bonne manière. Cela va entraîner des problèmes », a-t-elle déclaré.

Chloé Berthélémy, experte au sein du réseau d’ONG European Digital Rights, a déclaré que si Europol est à la traîne des États-Unis en termes de capacité technologique, il est sur la même voie que la NSA.

« La capacité d’Europol à aspirer d’énormes quantités de données et à les accumuler, dans ce que l’on pourrait appeler une arche de big data, après quoi il est presque impossible de savoir à quoi elles servent, en fait un trou noir. »