Le Contrôleur européen de la protection des données (CEPD) a demandé, lundi 10 janvier, à l’agence de coopération policière Europol d’effacer les données concernant des personnes sans lien établi avec une activité criminelle et de se mettre en ordre avec une demande préalablement faite en septembre 2020, a dit le CEPD dans un communiqué.
« Dans le cadre de son enquête, le CEPD a admonesté Europol en septembre 2020 pour le stockage continu de grands volumes de données sans catégorisation des personnes concernées (par exemple par catégories d'infractions, NDLR), ce qui représente un risque pour les droits fondamentaux des personnes. Bien que certaines mesures aient été mises en place par Europol depuis lors, Europol ne s'est pas conformé aux demandes du CEPD de définir une période de conservation des données appropriée pour filtrer et extraire les données personnelles autorisées pour l'analyse en vertu du règlement Europol », indique le CEPD.
« Cela signifie qu'Europol conservait ces données plus longtemps que nécessaire, contrairement aux principes de minimisation des données et de limitation du stockage consacrés par le règlement Europol ». Le CEPD a imposé une période de conservation de 6 mois et les ensembles de données de plus de 6 mois « qui n'ont pas été soumis à cette catégorisation des personnes concernées doivent être effacés. Cela signifie qu'Europol ne sera plus autorisée à conserver des données sur des personnes qui n'ont pas été liées à un crime ou à une activité criminelle pour de longues périodes sans date limite ».
Europol aura 12 mois pour se conformer à cette décision.
La Commission a pris note de la décision, « qui reconnaît la nécessité pour Europol de traiter les mégadonnées pour aider les États membres à lutter contre les formes graves de criminalité et le terrorisme et qu’Europol a donc besoin de temps pour traiter ces mégadonnées », a réagi l'institution.
La décision rendue par le CEPD reconnaît la nécessité d'analyser préalablement les ensembles de mégadonnées déjà reçus.
« La Commission se félicite que la décision du CEPD accorde à Europol, à titre de dérogation, un délai de 12 mois pour pré-analyser les mégadonnées que l’Agence a précédemment reçues des États membres et d’autres partenaires avant la notification de la décision. Cela laissera suffisamment de temps à Europol pour faire face à l’arriéré en ce qui concerne les mégadonnées existantes et au Parlement européen et au Conseil pour apporter une solution appropriée et une clarté juridique en ce qui concerne le traitement des mégadonnées par Europol ».
La Commission rappelle que le nouveau mandat d'Europol, en cours de discussion, aborde justement cette question du délai maximal pour le traitement des données à caractère personnel sans catégorisation des personnes concernées.
Lien vers la décision : https://bit.ly/3r0kL16 (Solenn Paulic)