Pages

jeudi 15 juin 2023

Protection des données: la "CNIL européenne" délivre un carton jaune à Frontex et même un carton rouge à Europol

 


 

Intelligence artificielle, données biométriques, interopérabilité des systèmes d’information à grande échelle, le Contrôleur européen à la protection des donées (CEPD) a rendu son rapport annuel qui fait état de son grand intérêt pour le thème de la sécurité intérieure. Il fournit un ensemble de recommandations et de suggestions pour s’assurer du bon fonctionnement de ces systèmes dans la pleine conformité du droit de la protection des données. Il noue à cet égard des relations constructives avec les agences européennes, en particulier l’agence EU-LISA, Eurojust et le Parquet européen.
Concernant Frontex, les relations apparaissent également comme bonnes à la lecture du rapport, même si certains efforts doivent être menés pour s’assurer du respect au droit de la protection des données.
En revanche, la situation est bien plus tendue vis-à-vis d’Europol (et le mot est faible). Il ressort de la lecture du rapport que le CEPD indique avoir engagé une action en justice et il n’a pas de mots plus incisifs envers l’attitude d’Europol et du législateur européen dans l’affaire dite « big data ».


L’intelligence artificielle : une préoccupation de premier plan

Comme souligné dans notre stratégie 2020-2024 du CEPD, l'intelligence artificielle (IA) est de plus en plus déployée dans les services publics et la justice pénale.
Le rôle du Contrôleur est de veiller à ce que cette nouvelle technologie soit utilisée conformément à la législation européenne sur la protection des données et respecte la vie privée des individus.

Il a souligné à ce titre la nécessité d'inclure des garanties de protection des données appropriées, solides et claires pour protéger les personnes susceptibles d'être affectées par l'utilisation des systèmes d'IA.
Il a aussi un avis sur la recommandation de décision du Conseil autorisant l'ouverture de négociations, au nom de l'Union européenne, en vue d'une convention du Conseil de l'Europe sur l'intelligence artificielle (Convention IA).
Ce texte est, aux yeux du CEPD, une étape importante pour élaborer le premier instrument international juridiquement contraignant sur l'IA conformément aux normes et valeurs européennes.


Des relations fructueuses entre le CEPD d’une part, et Eurojust ainsi que le Parquet européen d’autre part


Concernant Eurojust, le CEPD qualifie les relations de travail avec l’agence particulièrement intenses.
Ces contacts étroits font suite au nouveau rôle de l'Agence en tant que plaque tournante européenne pour la préservation, le stockage et l'analyse des preuves dans les affaires concernant des crimes internationaux fondamentaux, tels que le génocide, les crimes contre l'humanité et crimes de guerre.
Plus exactement, Eurojust a consulté à deux reprises le CEPD pour la mise en place de leur nouvelle installation automatisée de gestion et de stockage des données, CICED - Core International Crimes Evidence Database.

Concernant le Parquet européen (EPPO), le CEPD a été consulté en juillet 2022, concernant son nouvel environnement informatique prévu pour l'analyse opérationnelle. Ce nouvel environnement a été jugé nécessaire car le système de gestion des dossiers (CMS) du Parquet européen n'est pas équipé d'outils pour analyser des dossiers volumineux, tels que des documents financiers volumineux.


Le CEPD soucieux de la bonne application du droit à la vie privée en matière pénale

Le CEPD a émis plusieurs avis sur diverses propositions dans le domaine du droit pénal.
Un d’eux porte sur une proposition de règlement visant à prévenir et combattre les abus sexuels sur les enfants (CSAM). Il a exprimé son inquiétude quant au fait qu'elle pourrait présenter plus de risques pour les individus et, par extension, pour la société dans son ensemble, que pour les criminels poursuivis pour CSAM.

Un avis a aussi été émis sur deux autres propositions : l'une visant à autoriser les États membres de l'UE à signer le deuxième protocole additionnel à la convention de Budapest sur la cybercriminalité, et l'autre à autoriser les États membres de l'UE à ratifier ce même protocole.
Pour le contrôleur, ces textes doivent devraient être pleinement compatibles avec le droit de l'UE, y compris les droits fondamentaux à la vie privée et à la protection des données.
A ce titre, le CEPD a commenté un certain nombre de systèmes informatiques d'Europol. Concernant spécifiquement :

  • l'utilisation par Europol du système d'information Schengen (SIS II) pour traiter les empreintes digitales des personnes ;
  • la participation d'Europol au projet pilote de système européen d'enregistrement des casiers judiciaires (EPRIS) visant à automatiser la recherche dans les index des casiers judiciaires de ses États membres de l'UE participants ;
  • QUEST+ - une interface utilisée pour échanger des données personnelles entre les systèmes des États membres de l'UE et le système d'information d'Europol ;
  • le développement de PERCI, la plateforme européenne de suppression des contenus illégaux en ligne.



Le Big Data d’Europol : pour le CEPD, une violation grave du droit à la protection des données

Une enquête a été finalisée en 2022 sur « le défi du big data d'Europol » (“Europol’s big data challenge”). Lancée initialement en 2019, cette enquête a conduit le CEPD à ordonner à Europol d'effacer les données concernant des personnes sans lien établi avec une activité criminelle - connue sous le nom de catégorisation des personnes concernées.

Cette ordonnance du CEPD du 10 janvier 2022 fait suite à son admonestation. Elle a été émise en septembre 2020 parce qu'Europol continuait de stocker de gros volumes de données sans catégorisation des personnes concernées, ce qui présente un risque pour les droits fondamentaux des personnes.
Bien que certaines mesures aient été mises en place par Europol depuis lors, l'agence n'a pas accédé à aux demandes formulées de définir une période de conservation des données appropriée pour filtrer et extraire les données à caractère personnel autorisées à être analysées en vertu du règlement Europol.
Cela signifie qu'Europol conservait ces données plus longtemps que nécessaire, contrairement aux principes de minimisation des données et de limitation du stockage, inscrits dans le règlement Europol.


Affaire "Big Data ": le CEPD saisit le juge européen contre Europol

Les nouvelles dispositions du règlement Europol du 8 juin 2022 ont pour effet de légaliser rétroactivement la pratique d'Europol consistant à traiter de gros volumes de données à caractère personnel d'individus sans lien établi avec une activité criminelle. Entrées en vigueur le 28 juin 2022, elles ont un impact sur les opérations de données à caractère personnel menées par le passé par Europol. Ce faisant, les dispositions portent, selon le CEPD, gravement atteinte à la sécurité juridique des données personnelles des individus et menacent son indépendance.
Plus exactement, le CEPD a noté que :

  • les nouvelles dispositions du Règlement Europol permettent à Europol de poursuivre le traitement des données qui n'ont pas encore été effacées, malgré son Ordonnance.
  • les colégislateurs ont décidé de légaliser rétroactivement ce type de traitement de données, annulant ainsi l'ordonnance du CEPD.
  • ce choix des colégislateurs d'introduire de tels amendements porte atteinte à l'exercice indépendant des pouvoirs des autorités de contrôle.

En conséquence, le 16 septembre 2022, le CEPD a demandé à la Cour de justice de l'Union européenne (CJUE) d'annuler ces deux dispositions du règlement Europol récemment modifié.


Une violation
inacceptable du droit et un comportement inacceptable d'Europol selon le CEPD

Les modifications du règlement Europol, le règlement (UE) 2022/991, qui sont entrées en vigueur en juin 2022, ont modifié l'équilibre entre la protection des données et les besoins opérationnels d'Europol. En effet, elles élargissent considérablement le mandat de l'Agence concernant les échanges de données à caractère personnel avec des parties privées, l'utilisation de l'intelligence artificielle et le traitement de grands ensembles de données.
Le CEPD estime que ces changements augmentent les risques pour les données personnelles des individus.

En particulier, le règlement Europol modifié prévoit une nouvelle base juridique permettant à Europol de traiter de grands ensembles de données qui n'ont pas été soumis au processus de catégorisation. Or, ce sont ces mêmes ensembles de données ont fait l'objet de l'ordonnance du CEPD.
L'une de ces dispositions permet à Europol de conserver des données à caractère personnel pendant une durée maximale de trois ans. Tandis qu-unee disposition permet à Europol de conserver des données à caractère personnel pendant toute la durée d'une enquête, aussi longue soit-elle.

Considérant les risques graves que ces nouvelles activités de traitement font courir aux particuliers, le CEPD a décidé d'utiliser, pour la première fois, son pouvoir de correction pour saisir la Commission, le Conseil et le Parlement européen. Outre le fond des dispositions problématiques, il estime que Europol a enfreint les pouvoirs du CEPD en ne le consultant pas formellement sur des questions aussi importantes.


Une collaboration avec Frontex qui semble, en comparaison, plus apaisée

Concernant Frontex, le CEPD s’est concentré sur la question de savoir si la collecte et l'utilisation ultérieure de données à caractère personnel à des fins d'analyse des risques et à des fins d'identification des suspects de criminalité transfrontalière.  Il a considéré que ce traitement était conforme au droit de la protection des données, en particulier dans le contexte des entretiens de Frontex avec des migrants en situation irrégulière.

En juin 2022, le CEPD a rendu deux avis prudentiels sur deux décisions adoptées par le conseil d'administration de Frontex concernant leurs règles de traitement des données à caractère personnel.

  • Le premier avis de surveillance concernait les règles internes de Frontex applicables à toutes ses activités de traitement de données à caractère personnel,
  • Le deuxième avis de surveillance concernait les activités de traitement de données à caractère personnel de Frontex liées à l'identification de suspects impliqués dans des crimes transfrontaliers.


Dans ces avis, il a exprimé deux préoccupations principales.

  • Premièrement, l'absence d'une définition claire des éléments clés de la protection des données dans les règles internes de l'Agence, par exemple un manque d'explications sur les finalités spécifiques pour lesquelles les données à caractère personnel concernant les migrants et les demandeurs d'asile sont collectées, et sur les catégories de données collectées à ces fins.
  • Deuxièmement, plusieurs règles internes semblaient élargir le rôle et les tâches de Frontex en tant qu'autorité répressive. Or, ces tâches relèvent de la responsabilité d'une autre agence de l'UE. À ce titre, nous avons souligné que le rôle de Frontex dans ce domaine devrait se limiter strictement au soutien de cette agence de l'UE et des autorités des États membres de l'UE chargées des tâches répressives.


Pour autant, Frontex a des afforts a faire en matière de protection des données selon le CEPD


Frontex a soumis une demande d'autorisation de transferts de données vers le Niger, dans le cadre d'un accord de travail établissant une coopération opérationnelle entre Frontex et le Niger, car ils prévoient d'échanger des données à caractère personnel pour lutter contre la migration irrégulière et la criminalité organisée transfrontalière.
Après avoir évalué si ces données bénéficieraient d'un niveau de protection équivalent en dehors de l'UE/EEE, le CEPD a constaté que l'accord de travail ne respectait pas les conditions strictes imposées par le règlement Frontex sur les transferts de données à caractère personnel vers des pays hors UE. Il existe en effet un risque que les standards de protection des données ne soit pas appliquée ou respectée dans la pratique.

Enfin, concernant le système européen de surveillance des frontières EUROSUR, le CEPD s’est montré particulièrement préoccupé par le manque de clarté du règlement Frontex concernant les catégories de données à caractère personnel pouvant être traitées et le champ d'application des dispositions relatives à la protection des données à EUROSUR. Selon le CEPD, la formulation vague ou trop complexe du règlement de l'Agence crée des incertitudes quant à l'étendue exacte de leurs missions, ouvrant la porte à différentes interprétations, notamment dans le cadre de la collecte de données à caractère personnel à des fins d'identification de suspects de la criminalité transfrontalière.


L'interopérabilité des grands systèmes sécurité-migration : le CEPD souligne des enjeux importants

Les changements d'interopérabilité des systèmes informatiques à grande échelle proposés par le cadre de l'UE verraient la liaison de plusieurs systèmes informatiques à grande échelle avec les bases de données d'Europol et d'Interpol.
Selon le CEPD, ce changement constituera un écosystème de flux de données qui amplifie les risques pour les personnes concernées générés par le fonctionnement des différents systèmes impliqués.

La complexité de l'architecture globale et la fragmentation des règles de protection des données appellent une supervision recalibrée qui se concentre sur les flux de données, plutôt que sur le contrôle séparé du traitement des données dans différents systèmes.
De même, l'introduction d'activités de traitement de données supplémentaires qui n'étaient pas initialement prévues dans l'instrument juridique régissant la mise en place de chacun des systèmes informatiques à grande échelle nécessite un examen approfondi du principe de limitation des finalités.
En outre, l'absence d'un canal unique permettant d'exercer simultanément les droits des personnes concernées dans tous les systèmes peut conduire à une fragmentation de ces droits.


Le système de voyage ETIAS : le CEPD veut plus de garanties sur le profilage algorithmique

2022 a vu les préparatifs en cours pour l'entrée en vigueur d'un nouveau système informatique à grande échelle de l'UE : le système européen d'information sur les voyages (ETIAS), créé pour identifier la sécurité, la migration irrégulière ou les risques épidémiques élevés posés par les visiteurs exemptés de visa voyageant dans l'espace Schengen États membres.
C'est dans ce contexte que nous avons contribué à la mise en place du comité d'orientation sur les droits fondamentaux ETIAS, qui a été officiellement créé et a tenu sa première réunion en novembre 2022. Un tel comité, dont le CEPD est membre, évaluera et émettra des recommandations sur l'impact et les risques que le traitement des demandes ETIAS a sur les droits fondamentaux des personnes, notamment en ce qui concerne le système de profilage algorithmique.

Le CEPD a également conseillé à ce comité de mettre en place un groupe de travail pour le comité de filtrage ETIAS des demandes de visiteurs exemptés de visa se rendant dans les États membres de Schengen, et de mettre en place un groupe de travail sur les opérations de filtrage des risques ETIAS, composé de Frontex, Europol et Unités nationales ETIAS qui sont en charge du traitement de données associé.


L’importance de la conformité des données biométriques utilisées dans les grands systèmes sécurité-migration

L'agence européenne eu-LISA a sollicité les conseils du CEPD concernant les risques importants associés aux technologies de correspondance biométrique utilisées dans le système d'entrée/sortie (EES) et le partage service de correspondance biométrique (sBMS), et sur les mesures visant à atténuer ces risques.
Le CEPD a évalué la nécessité pour eu-LISA de respecter les standards de protection des données requis par le droit, les risques potentiels pour les personnes concernées et l'inadéquation des données synthétiques pour garantir la précision du moteur de correspondance biométrique.
Par conséquent, il a autorisé l'utilisation extraordinaire de données de production échantillonnées issues du Système d’information sur les visas (VIS) (données synthétiques) pour garantir la conformité légale du moteur de correspondance biométrique concernant les spécifications d’exactitude concerne l’EES.
Dans ce contexte, avant de commencer les opérations, il a demandé à eu-LISA de mettre en œuvre des mesures de protection supplémentaires concernant sBMS et l'EES. Ces mesures comprennent par exemple la prise en compte des risques découlant des préjugés (par exemple, l'âge, le sexe et l'origine ethnique).

 

synthèse et traduction du rapport par Pierre Berthelet alias securiteinterieure.fr



A lire sur securiteinterieure.fr :

Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.