Le Contrôleur européen de la protection des données (EDPS), l’autorité de contrôle des institutions européennes sur la protection des données, a intenté le 16 septembre un recours en annulation contre le nouveau règlement d’Interpol devant la Cour de justice de l’Union européenne. Elle estime que deux dispositions – les articles 74 bis et 74 ter – soulèvent des problématiques en matière de protection des données personnelles.
Une conservation excessive
Plus précisément, ces articles légalisent rétroactivement les pratiques contestées de conservation des données par l’agence européenne spécialisée dans la répression de la criminalité internationale et du terrorisme. Ils lui permettent de conserver les données personnelles de personnes n’ayant aucun lien établi avec une activité criminelle. Ce qui constitue une violation du Règlement général sur la protection des données (RGPD), estime l’EDPS dans sa plainte.
Le contrôleur Wojciech Wiewiórowski demande donc l’annulation de ces articles pour “protéger la sécurité juridique des individus dans le domaine très sensible de l’application de la loi où le traitement de données personnelles implique des risques graves pour les personnes concernées” et “pour s’assurer que l’européen ne peut pas indûment ‘déplacer les poteaux de but’ dans le domaine de la vie privée et de la protection des données (…)“.
Un système précédemment banni
En pratique, les articles 74 bis et 74 ter s’associent à un système précédemment critiqué par le CEPD. En effet, dans une injonction publiée en janvier 2022, il sommait Europol d’effectuer un tri puis de supprimer les données personnelles retenues dans l’une de ses bases qui concernaient les informations de 250 000 personnes”soupçonnées de liens actuels ou passés avec le terrorisme“.
Ou, la constitution d’une telle base ne respecte pas certains principes fondateurs de la réglementation sur les données personnelles et la protection de la vie privée. “Cette collecte et ce traitement de données peuvent constituer un volume énorme d’informations, dont le contenu est souvent inconnu d’Europol jusqu’au moment où elles sont analysées et extraites – un processus qui dure des années“, expliquait Wojciech Wiewiórowski.
Le CEPD demandait donc à Europol de vérifier dans les six mois si la personne dont les données étaient conservées avec un lien avec une activité criminelle. A défaut, ces données doivent être effacées au plus tard le 4 janvier 2023. Or, le nouveau règlement permet donc à Europol de continuer à les traiter.
