Le Contrôleur européen de la protection des données (CEPD) ordonne à Europol d’effacer toutes les données personnelles liées à des individus sans lien avec une activité criminelle.
Cette décision conclut une enquête menée depuis avril 2019.
L’article 43 de la régulation 2016/794 limite les données personnelles qu’Europol peut collecter et traiter légalement à celles de personnes qui ont un lien clair et établi avec des activités criminelles.
Comme les forces de l’ordre des membres de l’UE inondent Europol de données personnelles, cette institution ne peut évaluer immédiatement quelles sont les personnes qui rentrent dans cette catégorie.
Elle a pris l’habitude de conserver ces données, parfois pendant des années, jusqu’à terminer son évaluation.
Pour donner suite à l’enquête, le CEPD a communiqué à Europol une remontrance officielle en septembre 2020, rappelant que le stockage sur la durée d’informations personnelles posait un risque considérable pour les droits fondamentaux des individus qui ne sont pas liés au crime.
Europol pris alors des mesures techniques afin de stocker ces ensembles de données dans un environnement séparé et sûr, afin de minimiser les risques que ces données soient exploitées à des fins d’analyse, ou partagées avec des forces de l’ordre.
Le 3 janvier 2022, afin de s’assurer que le traitement de ces données soit proportionné et qu’elles ne soient pas conservées plus longtemps que nécessaire, le CEPD ordonne à Europol d’effacer toute donnée non catégorisée de plus de six mois, estimant qu’il s’agit d’un délai raisonnable pour séparer les individus sans lien avec une activité criminelle des autres.
Europol est aussi tenue de fournir des rapports sur l’avancement de l’implémentation de cette mesure tous les trois mois pendant un an.
La limite de six mois est effective dès maintenant pour toute donnée collectée à partir du 4 janvier. Pour les données plus anciennes, Europol bénéficie de 12 mois, la CEPD tenant compte de la vaste quantité accumulée de données personnelles.