Le gendarme du numérique européen a ordonné à l’agence de police européenne Europol de supprimer sous un an une quantité impressionnante de données issues d’enquêtes comme celle sur EncroChat. Elles étaient stockées illégalement.

C’est un séisme pour les polices de l’Union européenne. Comme le révélait le quotidien britannique The Guardian, l’équivalent européen de la Cnil, le European Data Protection Supervisor (EDPS), a annoncé ce lundi 10 janvier 2022 avoir ordonné à Europol de supprimer un large éventail de données que l’agence de police européenne a amassé en dehors de tout cadre légal. Un constat qui interroge également sur le cadre des collectes de données réalisées par les polices du vieux continent.

4 000 000 gigabytes de données

On parle ici de 4 pétaoctets, soit 4 000 000 de gigaoctets ou encore 3 millions de CD-Roms. C’est l’ampleur des données qu’Europol possède selon un document interne obtenu par le Guardian. Un volume astronomique qui pousse les défenseurs des libertés individuelles et de la protection de nos données à parler d’Europol comme d’une National Security Agency (NSA) en devenir. La NSA est l’agence américaine responsable, entre autres, de l’espionnage de masse révélé par Edward Snowden. Il est toutefois difficile de jauger la sensibilité des informations cachées derrière ce chiffre car la taille d’un fichier n’est pas proportionnelle à sa dangerosité ou sa valeur.

Ce contentieux entre Europol et le gendarme du numérique européen dure depuis 2019, mais l’EDPS durcit le ton. Dans son communiqué, le chef de l’EDPS, Wojciech Wiewiórowski, justifie cette action : « il n’y a eu aucun progrès majeur à l’égard de la principale préoccupation, à savoir qu’Europol continue de stocker les données personnelles d’individus alors qu’elle n’a pas établi que le processus est conforme avec les limites établies dans la régulation européenne. » Pour le dire autrement, Europol continue de stocker des données illégalement.

Sans affaire criminelle, une suppression des données au bout de 6 mois

Dorénavant, si au bout de 6 mois Europol n’établit pas de lien entre des données et une enquête criminelle en cours, elles ne pourront plus être conservées. L’agence a un an pour se soumettre à ces nouvelles obligations. Une nouvelle contrainte qui, toujours d’après le numéro 1 de l’EPDS, « devrait permettre à Europol de répondre aux requêtes opérationnelles des États membres de l’UE qui lui demandent un soutien technique et analytique, tout en réduisant au minimum les risques pour les droits et les libertés des personnes ».

Europol n’est pas de cet avis. Dans un communiqué diffusé ce 11 janvier 2022, l’agence regrette que cette décision « va affecter la capacité d’Europol à analyser des bases de données larges et complexes à la demande des forces de l’ordre de l’Union européenne ». Et ce dans des enquêtes qui touchent entre autres « au terrorisme, au cybercrime, au trafic de drogues international et à la pédocriminalité ». Des arguments qui sont, peu ou prou, les mêmes que ceux de la NSA au moment des révélations de Snowden.

Dans cette base de donnée, une enquête française : EncroChat

Le cœur du problème est plus large qu’une simple concentration de fichiers par l’agence européenne. Ces données que stockent Europol proviennent des services de police des différents pays de l’Union. D’après les informations du Guardian, elles sont tirées d’un nombre inconnu de bases de données extraites dans différentes enquêtes criminelles. Parmi celles, une affaire d’ampleur dans laquelle la gendarmerie française s’est illustrée : le casse d’EncroChat.

Une enquête qui fait la fierté de l’Intérieur et de Cybergend, le commandement de la gendarmerie dans le cyberespace. Lors du Forum international de cybersécurité (FIC) de 2021, c’est l’une des deux affaires que cite le ministre de l’Intérieur Gérald Darmanin dans son discours pour illustrer les réussites en la matière.

Et pour cause. Le piratage de cette messagerie chiffrée à l’aide d’un malware par la gendarmerie nationale a permis à une coalition internationale d’accéder à tous les échanges réalisé sur Encrochat, et de faire tomber des pans entier de réseaux cybercriminels. Au FIC, en septembre 2021, le directeur exécutif adjoint d’Europol et général de la gendarmerie française Jean-Philippe Lecouffe vantait le bilan de cette procédure : 91 tonnes de cocaïne saisies, environ 200 projets d’assassinats avortés, 7 chambres de tortures découvertes et 6 700 arrestations. Un chiffre qui a depuis probablement augmenté.

La proportionnalité des moyens déployés en question

Mais les données extraites de l’affaire Encrochat, ces 120 millions de messages, ces dizaines de millions d’enregistrements d’appels, d’images et de notes, font donc partie de la base stockée par Europol. Base de données dont le manque de proportionnalité est pointée du doigt par le gendarme européen du numérique. Et ce n’est pas la seule remise en cause des moyens déployés par ces enquêtes cyber.

Ce 3 janvier 2022, la Cour européenne des droits de l’homme a accepté d’examiner une requête contre la France et l’infiltration du réseau EncroChat par les gendarmes. Les avocats de deux hommes, poursuivis au Royaume-Uni pour trafic de drogue et pour association de malfaiteurs en vue de commettre trois meurtres, contestent la « légalité, la nécessité et la proportionnalité de ces ingérences« , c’est à dire du piratage d’EncroChat.

Au delà de ces deux suspects, la question se pose car EncroChat n’était pas seulement utilisée par des criminels, mais aussi par des journalistes ou des avocats. Le Guardian a notamment interrogé l’avocat néerlandais Haroon Raza, qui possédait un appareil EncroChat. Mais malgré ses demandes de suppression de ses données auprès d’Europol, ce dernier explique qu’« une copie reste [visiblement] dans la base de données d’Europol ». Avec les nouvelles contraintes imposées par l’EDPS, ces dernières devraient en principe être supprimées d’ici un an.