Données données données
Alors que les missions d’Europol s’étendent, de nouveaux détails sur son architecture informatique poussent des parlementaires européens à demander un meilleur contrôle de la part du contrôleur européen de la protection des données.
L’Agence de l’Union européenne pour la coopération des services répressifs, plus connue sous le nom d’Europol, a construit et recourt à une plateforme secrète d’analyse de données qui contient de nombreux éléments théoriquement protégés par les textes européens, à commencer par le règlement général sur la protection des données (RGPD). Ces dispositifs lui permettent notamment d’alimenter ses ambitions en matière d’intelligence artificielle.
C’est ce que révèlent Correctiv, Solomon et Computer Weekly après avoir collecté des témoignages et documents démontrant l’existence de systèmes informatiques incluant des données sensibles comme des numéros de téléphone, des documents financiers ou d’identité ou encore des informations de géolocalisation relatives à divers individus, y compris à des personnes innocentes.
Cette architecture de « shadow IT » est mise en lumière alors que la Commission européenne doit présenter sous peu une proposition de législation susceptible d’étendre le budget et le mandat d’Europol. Un projet que certains députés européens appellent déjà à ralentir, faute de contrôles suffisants.
Des systèmes construits en période de crise
Plusieurs anciens responsables de l’institution ont fourni à Correctiv, Solomon et Computer Weekly des éléments relatifs à ces environnements numériques non supervisés. L’un de ces outils, dont l’existence aurait été cachée pendant plusieurs années à la CNIL européenne, le Contrôleur européen de la protection des données (CEPD), est connu en interne sous le nom de « Pressure Cooker ». Il serait potentiellement toujours en utilisation.
Un représentant d’Europol indique aux trois médias que l’institution a fait connaître ses systèmes et applications de gestion de données au CEPD « de manière transparente » et conteste l’idée selon laquelle elle aurait « gardé cachée » l’existence de certains outils.
L’architecture technique d’Europol s’est étendue en pleine période de crise : en novembre 2015, alors que 130 personnes étaient tuées à Paris dans une première attaque terroriste, Europol monte un groupe de travail nommé Fraternité. Les autorités des différents États européens lui envoient de larges sommes de données allant de détails téléphoniques jusqu’à des informations de voyage, attendant de l’agence qu’elle les transforme en éléments actionnables. Rapidement, son European Cybercrime Centre (EC3) prend le pouvoir sur une autre entité, le Computer Forensic Network (CFN), créé en 2012 pour traiter et filtrer les éléments numériques collectés par l’agence et les attribuer en fonction des enquêtes.
C’est cette entité qui se serait transformée en « trou noir » des opérations d’analyses de données de l’EC3, l’unité d’Europol spécialiste de la cybercriminalité. En 2019, le CFN stockait au moins 2 000 téraoctets de données, soit 420 fois la taille de la base de données criminelle officielle d’Europol à la même époque. L’année précédente, alors que le RGPD était entré en vigueur, le responsable de la protection des données de l’agence sonnait l’alarme dans une note interne, constatant que 99 % des données d’Europol étaient stockées par le CFN, sans le moindre garde-fou en terme de protection des données.
Absence de contrôles internes, faibles contrôles externes
En 2019, la directrice exécutive d’Europol Catherine De Bolle, qui a quitté son poste ce 1er mai 2026 et doit désormais être remplacée, informait le CEPD des constatations réalisées au sein de l’agence. Pendant un an, les deux institutions se sont fait face jusqu’à ce que le CEPD intime à Europol de supprimer toutes les données qui étaient en sa possession au mépris des textes européens. Le contrôleur a ensuite maintenu ses audits, constatant fin 2023 qu’il restait difficile d’estimer dans quelle mesure Europol accédait, voire modifiait, des données sensibles.
En février 2026, le CEPD a finalement informé un groupe de contrôle composé de parlementaires européens et nationaux qu’après une décennie d’échange avec Europol, il mettrait fin à ses activités de suivi du CFN. Et ce, quand bien même 15 de ses 150 recommandations n’avaient pas été mises en place. Le contrôleur soulignait néanmoins que ces problèmes subsistants concernent des sujets « de grande importance », notamment en termes de sécurité.
Malgré ces alertes, non seulement certains des systèmes critiqués par le CEPD continueraient d’être utilisés, mais au moins un autre le serait au-delà de son contrôle. C’est du moins ce que suggère un e-mail d’un membre d’Europol, qui alertait en octobre 2022 du risque que la CNIL européenne soit bientôt alertée de la « situation irrégulière du Pressure Cooker ». Plusieurs ex-membres de l’agence le décrivent comme un outil utilisé par certains pour stocker et traiter rapidement des données sans se préoccuper des limites réglementaires européennes. D’après le message, le service informatique d’Europol aurait demandé à plusieurs reprises de supprimer l’outil ou de le transformer en un dispositif conforme, sans succès.
Pour les représentants de l’agence, Pressure Cooker n’est que le surnom de son Internet Facing Operational Environment (IFOE), dont le développement a été fait sous le contrôle du CEPD. Mais des documents internes suggèrent au contraire qu’il existe bien un système parallèle non régulé.
En 2025, Europol a d’ailleurs consulté le CEPD sur le déploiement d’un système nommé « IFOE-Quick Response Area », relève Correctiv. Celui-ci était présenté comme un outil à venir. Si déployé tel que décrit, le contrôleur de la protection des données concluait qu’il risquait de se muer en « environnement complet parallèle à l’environnement opérationnel régulier d’Europol », et que les équipes de l’agence seraient d’autant plus enclines à collecter tout type de données, y compris en enfreignant les droits fondamentaux.
Outre la taille de l’océan de données déjà constitué par Europol, se pose aussi la question de l’utilité de ces informations. En l’occurrence, dans un document stratégique proposé pour la période 2024 - 2026, l’agence s’est fixé pour premier objectif le projet de devenir le premier « hub d’information criminelle » d’Europe. En récupérant des données relatives aussi bien aux citoyens européens qu’à celles et ceux qui migrent au sein du Vieux Continent, l’agence compte entraîner des systèmes automatisés susceptibles d’influer directement sur la manière dont l’ordre est maintenu au sein des États membres.
Computer Weekly constate notamment que lors des opérations de démantèlement des systèmes de communication chiffrés EncroChat, SkyECC et Anom en 2020 et 2021, outre avoir servi de lieu de transit entre les services de police des différents États impliqués, Europol avait copié les plus de 60 millions de messages échangés sur Encrochat et les plus de 27 millions d’autres présents sur Anom. Des sommes de données impossibles à traiter à la main.
En 2021, une première enquête du CEPD sur les premières expérimentations en matière d’IA avait ralenti les travaux de l’agence. Mais depuis l’expansion de ses activités, en 2022, la logique a changé. Dans le cadre des débats sur la lutte contre les contenus d’agressions sexuelles sur mineurs (CSAM), notamment, Europol a affirmé auprès de la Commission européenne qu’elle considérait que « toutes les données sont utiles et devraient être transmises aux forces de police ».
Menace pour la confiance des européens
Depuis la publication de cette enquête, plusieurs députés européens ont appelé à étendre le contrôle des activités d’Europol. De fait, la Commission européenne devrait proposer une nouvelle réglementation susceptible de doubler le budget et les effectifs de l’agence, pour en faire une « agence de police réellement opérationnelle ».
L’Allemande Brigit Sippel a déclaré que le stockage de données d’innocents, sans contrôle réel, pourrait affaiblir la confiance dans les lois européennes et le fonctionnement d’Europol. Son collègue Özlem Alev Demirel (la Gauche) a publié un communiqué dans lequel il appelle à mettre en pause tout projet d’expansion des prérogatives de l’institution policière. Au Royaume-Uni, le député conservateur David Davis a demandé au ministère de l’Intérieur de préciser dans quelle mesure des données personnelles de citoyens britanniques restaient stockées dans des systèmes d’Europol.
Lors d’une réunion de la commission parlementaire sur les libertés civiques, la justice et les affaires intérieures, le contrôleur européen de la protection des données Wojciech Wiewiórowski a rappelé que le CEPD avait soumis Europol à plusieurs obligations de suppressions de données. L’application de ces obligations n’est pas certifiée pour autant.
Connexion
