• Perspective
Publié le 21 janvier 2022

Tensions autour du respect de la vie privée en Europe

Crédit : Victorgrigas sur Wikimedia Commons (CC BY-SA 3.0)

Crédit : Victorgrigas sur Wikimedia Commons (CC BY-SA 3.0)

Europol, l'agence européenne de police criminelle, avait sans doute d'autres projets pour 2022 que le tri et la suppression de ses jeux de données datant de plus de 6 mois. C'est pourtant l'ordre que lui a donné le CEPD (Contrôleur européen de la protection des données) ce 3 janvier, à l'issue d'une investigation commencée en avril 2019.

Big data

Europol coordonne les activités policières des 27 États membres de l'Union Européenne contre les réseaux criminels et terroristes. Elle joue un rôle central dans l'analyse et le partage des données qu'elle reçoit des différents États membres.

L'adoption massive des outils informatiques génère depuis plusieurs années de plus en plus de données numériques. Lorsque les forces de police collectent ces données dans le cadre d'une enquête, elles ne se limitent plus à des données très ciblées, mais récupèrent des ensembles de données plus larges. Nécessairement, le volume des jeux de données que les États demandent à Europol d'analyser augmente, et dans le même temps les formats des données qu'ils contiennent deviennent plus variés.

Europol est ainsi amenée à utiliser des techniques de traitement propres au big data pour analyser ces nouveaux jeux de données, qui impliquent des opérations couteuses en ressources et, par conséquent, le stockage de nombreux jeux de données intermédiaires.

Europol Regulation

L'agence s'est vite rendu compte que ces traitements soulevaient des problèmes de conformité avec la "réglementation Europol" concernant les données personnelles et s'est tournée vers le CEPD, qui s'assure du respect de cette réglementation.

En effet, Europol doit définir plusieurs exigences avant chaque projet d'analyse, notamment les catégories de données à caractère personnel, les catégories de personnes concernées, la durée de conservation des données et leurs conditions d'accès. Une fois définies, il n'est plus possible pour Europol de traiter des données qui ne respectent pas ces exigences. En outre, les seules catégories de personnes dont l'agence peut analyser les données sont les suspects, les futurs criminels potentiels, les contacts et les associés, les victimes, les témoins et les informateurs.

https://www.europol.europa.eu

Le volume de ces jeux de données est si énorme que leur contenu est souvent inconnu avant l'extraction des données, auquel cas l'agence se retrouve dans l'impossibilité de confirmer que toutes les informations sont conformes aux exigences de la réglementation Europol.

Enfin, pour vérifier la véracité et la fiabilité des renseignements, ces jeux de données peuvent être conservés plusieurs années après l'extraction des éléments nécessaires à une enquête.

Le CEPD a averti Europol en septembre 2020 que la conservation et le traitement de tels jeux de données n'étaient pas conformes avec la réglementation Europol, après avoir rappelé que le respect de cette réglementation réduisait le risque d'associer un individu innocent à des activités criminelles, et d'éviter les conséquences qu'une telle association aurait sur ses droits et libertés fondamentaux.

Data Subject Categorisation

Après l'avertissement du contrôleur, Europol a mis en place une solution architecturale pour isoler les ensembles de données traitant de personnes qui n'avaient pas encore été catégorisées (Data Subject Categorisation, DSC), afin de minimiser le risque d'intégration dans ses travaux d'analyse.

L'agence a également limité les droits d'accès à ces jeux de données aux seules équipes techniques dédiées à l'identification des DSC, et a implémenté un système d'étiquettes pour indiquer si une DSC est terminée ou non. Elle a en outre assuré au CEPD que les données sans DSC ne seront pas analysées ultérieurement, ne seront pas incluses lors d'une recherche générale et ne seront pas partagées avec un État.

Là où le bât blesse, c'est la durée de rétention de ces données à caractère personnel qui, malgré un stockage sécurisé, ne sont toujours pas conformes à la réglementation Europol. L'agence a proposé en effet un examen trimestriel pour décider de la suppression ou non de chaque jeu de données sans DSC, en les conservant "aussi longtemps que nécessaire et proportionné pour le soutien à l'enquête concernée" - mais sans détailler les conditions de nécessité et de proportionnalité. Pour le CEPD en revanche, le stockage de ces données sans limite de temps continue de constituer un risque important pour la vie privée, et a demandé à Europol de fixer une durée maximale de rétention des jeux de données sans DSC.

Vers de la surveillance de masse ?

Europol a répondu au contrôleur que la durée proposée de 6 mois serait insuffisante pour réaliser l'analyse détaillée des jeux de données les plus grands et complexes, nécessaire pour déterminer leur DSC. De plus, elle a insisté sur le fait que certaines investigations évoluaient sur plusieurs années, et que de nouvelles informations pouvaient mettre en lumière des liens au sein des jeux de données sans DSC qui n'auraient pas été identifiés initialement.

L'insistance d'Europol à conserver ces données illégalement soulève des préoccupations quant à ses objectifs et intérêts véritables. Plusieurs experts craignent ainsi que l'agence ambitionne de mener des opérations de surveillance de masse - à commencer par le contrôleur du CEPD, Wojciech Wiewiórowski, qui l'a comparée à la NSA sur ses nouvelles pratiques de rétention de données.

Il apparaît de plus qu'Europol avait initié en 2020 le développement de programmes de machine learning pour analyser leurs ensembles de données de plus en plus volumineux, avant l'avertissement émis par le CEPD. Ces algorithmes traiteraient inévitablement des données personnelles sensibles, et l'agence a demandé au contrôleur si elle pouvait se passer de la supervision du CEPD lors des phases initiales de l'entraînement de son IA, puisqu'elle avait déjà reçu l'avertissement pour la conservation des données qui serviraient à l'apprentissage.

https://edps.europa.eu

Le CEPD n'a pas autorisé Europol à poursuivre ses développements, mais l'agence a décidé de passer outre. Après une intervention du contrôleur, Europol a finalement mis de côté son programme de machine learning en février 2021, sans l'avoir entraîné ni utilisé pour des analyses opérationnelles.

Décision du CEPD

La réglementation Europol n'ayant pas anticipé ces problématiques de big data, elle n'autorise pas de dérogation pour analyser si des données personnelles correspondent à des personnes liées à des activités criminelles, ni ne définit de durée maximale de rétention des données sans DSC.

Le CEPD estime que l'article se rapprochant le plus de ce nouveau besoin est celui définissant l'analyse temporaire d'un jeu de données pour déterminer si ces données sont utiles à Europol. La durée maximale de rétention de telles données étant fixée à 6 mois, le contrôleur a décidé d'imposer la même limite au stockage des ensembles de données sans DSC.

Auteur : Paul Guillier

Références

https://www.theguardian.com/world/2022/jan/10/a-data-black-hole-europol-ordered-to-delete-vast-store-of-personal-data

https://edps.europa.eu/press-publications/press-news/press-releases/2022/edps-orders-europol-erase-data-concerning_en

https://edps.europa.eu/system/files/2022-01/22-01-10-europol-order_faqs_en.pdf

https://www.europol.europa.eu/media-press/newsroom/news/europol%E2%80%99s-statement-decision-of-european-data-protection-supervisor

https://edps.europa.eu/system/files/2022-01/22-01-10-edps-decision-europol_en.pdf

https://edps.europa.eu/sites/default/files/publication/20-09-18_edps_decision_on_the_own_initiative_inquiry_on_europols_big_data_challenge_en.pdf

Article rédigé par
La Minute Cyber