Guerre interne au sein de l’Union européenne entre son agence de police et son chien de garde numérique 

Le 10 janvier 2022, le Contrôleur Européen de la Protection des Données (CEPD) a annoncé une décision sans précédent ordonnant à Europol, l’agence de coopération policière au sein de l’UE, d’effacer une grande partie de sa vaste base de données personnelles[1].

La base de données d’Europol contiendrait ainsi pas moins de 4 pétabytes (4 millions de gigabytes), ce qui représente un volume assimilable à une surveillance de masse et un pas en avant vers la création d’un équivalent européen à la NSA (National Security Agency) américaine.

Cette base de données recense notamment des données sensibles sur des personnes actuellement ou anciennement soupçonnées de terrorisme ou de criminalité et sur une multitude d’autres personnes avec lesquelles elles ont été en contact. Europol a accumulé ces données depuis six ans via un nombre inconnu d’enquêtes criminelles des polices nationales de l’Union.

Suite à une enquête engagée en 2019, le CEPD a conclu que ces données n’étaient, pour une très grande partie, pas catégorisées et vérifiées et a donc demandé à Europol de déterminer ce qui pouvait être légalement conservé ou non et d’effacer les données détenues depuis plus de six mois conformément à la législation en vigueur dans l’Union. Mais Europol profite de la zone grise dans laquelle se trouve cette affaire en matière de droit numérique et de droit européen pour conserver ces données dans le but de les utiliser pour entraîner ses algorithmes. Cette confrontation oppose donc un organisme chargé du contrôle de la protection des données, donc d’une partie de la législation européenne, à une agence de coopération policière appelée à devenir de plus en plus puissante et primordial dans le développement de l’intelligence artificielle (IA) et du machine learning en Europe. Mais ce conflit juridique met aussi en lumière des divisions politiques reflétant le dilemme opposant depuis toujours sécurité vs vie privée.

Après plusieurs mois d’enquête soutenue par une bourse de l’IJ4EU[2] en collaboration avec Lighthouse Reports, les journalistes Apostolis Fotiadis, Ludek Stavinoha, Giacomo Zandonini et Daniel Howden ont ainsi révélé le rôle grandissant d’Europol et son bras de fer avec le chien de garde européen en matière de données numériques dans plusieurs grands journaux européens[3].

Nous allons donc d’abord revenir sur cette accumulation de données par Europol et l’opposition du CEPD (une lecture plus approfondie de cette enquête est notamment disponible sur The Guardian, Der Spiegel, Domani, ou encore Mediapart), avant une petite rétrospective sur la surveillance de masse américaine telle que révélée par Edward Snowden, pour enfin terminer sur les enjeux sociaux, politiques, et éthiques remis en question par cette affaire.

Une Union divisée : Europol vs CEPD ou le cueilleur vs le superviseur

Europol : une agence sous enquête qui regarde au loin

Suite à diverses inquiétudes, plaintes et un avis requis par la directrice exécutive d’Europol, Catherine De Bolle, concernant le traitement des données sensibles par l’agence, l’organisme de surveillance européen qu’est le CEPD a entamé sa propre enquête dès 2019. Ses conclusions rendues en septembre de la même année montraient que les activités d’Europol allaient au-delà de son mandat, enfreignant les principes de minimisation des données et de limitation du stockage. Europol est en théorie soumis à une réglementation stricte selon laquelle les données recueillies sont censées être catégorisées et ne sont conservées et traitées que si elles ont un intérêt potentiel pour les enquêtes ou sa mission commune de lutte contre le terrorisme. Mais le CEPD a observé une base de données dont le contenu complet est inconnu et dont le traitement est désordonné. Sans réponse de l’agence de coopération policière européenne un an plus tard, le Contrôleur a publiquement averti Europol en déclarant « Les personnes concernées courent le risque d’être liées à tort à une activité criminelle dans toute l’UE, avec tous les préjudices potentiels que cela implique pour leur vie personnelle et familiale, leur liberté de mouvement et leur profession. »[4].

Mais Europol ignora cet avertissement semblant attendre une nouvelle législation européenne pour couvrir rétroactivement ce qu’elle a fait sans véritable base légale pendant six ans. La tension entre les deux organes de l’UE ne fit donc que monter poussant Monique Pariat, la directrice générale des affaires intérieures de l’UE, à organiser une réunion entre les deux organes en décembre 2021. Le Contrôleur y aurait été encouragé à « atténuer » ses critiques publiques envers Europol, Wojciech Wiewiórowski, l’Inspecteur général du CEPD, déclarant notamment que la réunion n’a rien fait pour répondre à ses préoccupations et qu’il n’avait d’autre solution dorénavant que de publier une décision officielle. Celle-ci fut donc publiée le 10 janvier 2022, Europol disposant de 12 mois pour prouver la pertinence de ses données sur le plan pénal ou les supprimer, et de 6 mois pour évaluer la pertinence des données nouvellement recueillies.

Mais Europol nie tout acte répréhensible et son porte-parole a réagi en déclarant que cette « décision du CEPD aura un impact sur la capacité d’Europol à analyser des ensembles de données complexes et volumineux à la demande des services répressifs de l’UE »[5]. La commissaire européenne aux affaires intérieures, Ylva Johansson, a également semblé défendre l’agence dans sa « tâche herculéenne » en déclarant « les services répressifs ont besoin des outils, des ressources et du temps nécessaires pour analyser les données qui leur sont légalement transmises »[6]. La Commission estime ainsi que les préoccupations juridiques soulevées par le Contrôleur posent un sérieux défi à la capacité de l’agence policière de remplir ses fonctions. Europol s’était en effet fait remarquer depuis 2020 dans l’accomplissement de ses fonctions et en particulier dans le domaine du piratage et des algorithmes.

Europol : des récents succès aux développements technologiques

En effet en 2020, Europol s’était félicité de son implication avec les forces de police française et néerlandaise dans le piratage du service de téléphonie cryptée EncroChat. Si cette opération fut saluée comme un grand succès de la lutte contre le crime organisé en Europe, elle présente également d’importantes similitudes avec l’emploi de logiciels considérés comme malveillants tels que Pegasus. Europol a en fait participé à une opération de piratage qui a transformé les téléphones utilisant EncroChat en espions mobiles se retournant contre leurs utilisateurs en copiant un total de 120 millions de messages et des dizaines de millions d’appels et de photos partagés sur le service privé, pour ensuite les redistribuer aux forces de police nationales et ainsi constituer un flot de preuves de trafic de drogues et autres activités criminelles utilisables dans les juridictions nationales. Mais la clientèle d’EncroChat ne comprenait pas que des criminels et les données de ces utilisateurs sont ainsi toujours détenues par Europol même après leur suppression via le service privé. L’avocat Robin Binsard compare alors cette opération à une fouille générale d’un immeuble pour trouver la preuve d’un crime d’un habitant : « cela viole la vie privée et c’est tout simplement illégal »[7]. Oui mais voilà, le domaine numérique manque de cadre juridique et Europol – comme bien d’autres – en a donc profité.

Parmi les opérations menées par Europol depuis 2016, on note également un programme de dépistage de masse dans les camps de réfugiés en Italie et en Grèce qui consiste à examiner les données de dizaines de milliers de demandeurs d’asile pour traquer les combattants étrangers et terroristes présumés. Mais selon un rapport du CEPD ces « routine checks » ne sont pas autorisés dans la mesure où il n’existe aucune base juridique pour une telle opération[8]. Encore une fois, les zones grises du droit européen bénéficient donc à Europol.

Par ailleurs alors même que le CEPD enquêtait sur sa base de données en 2020, des documents internes à Europol avaient révélé que, l’agence de police développait son propre programme d’IA et de machine learning. Les algorithmes permettent en effet de donner un sens au flot de données recueilli mais il faut former ces algorithmes et pour cela Europol a donc besoin d’un grand volume de données. En février 2021, l’agence avait reconnu avoir suspendu son programme de machine learning suite au refus du CEPD de procéder ainsi, et déclaré au Guardian qu’elle n’avait pas « jusqu’à présent fait usage de ses propres modèles de machine learning pour son analyse opérationnelle »[9]. Mais parallèlement Europol s’est lancé dans le recrutement d’experts en développement d’IA et en exploration de données suggérant que l’agence se préparait pour développer son propre programme.

Europol : un mandat révisé légitimant et renforçant l’agence

En février dernier, la présidence du Conseil et le Parlement européen sont parvenus à un accord provisoire modifiant le règlement d’Europol. Le ministre français Gérald Darmanin se félicitait ainsi de cet accord : « Dans un environnement criminel complexe et en constante évolution, plus transnational et numérique, les nouvelles règles convenues aujourd’hui permettront à l’agence de poursuivre [son] travail avec une efficacité accrue »[10].

Ce nouveau mandat donne à l’agence une base légale pour stocker et traiter de grandes quantités de données personnelles. L’article 74 bis permettra également à Europol de conserver les données que le CEPD lui demandait d’évaluer et de catégoriser ou de supprimer dans un délai d’un an. Pour l’eurodéputé Saskia Bricmont, le nouveau mandat donne à l’agence un pouvoir accru sans garanties proportionnées, sa collègue Birgit Sippel ajoute que la Commission « légalise rétroactivement quelque chose qui a été jugé illégal par l’observatoire même qu’elle a installé »[11]. Pour Wojciech Wiewiórowski « l’expansion des pouvoirs d’Europol ne va pas de pair avec un contrôle renforcé des actions de l’agence »[12]. En effet les principaux groupes politiques ont accepté lors d’une réunion en interne les propositions de la présidence française qui réduisent considérablement le rôle du CEPD. Europol n’aura ainsi plus à informer le CEPD de son traitement de données opérationnelles qu’une fois l’enquête terminée, soit potentiellement des années plus tard, et le CEPD ne sera plus qu’informé du transfert de données effectué, l’agence policière effectuant dorénavant elle-même l’évaluation de la disproportion ou de la violation réglementaire de sa collecte de données. L’organe européen qui était jusqu’ici un contrôleur ou superviseur de la protection des données devient alors un observateur du traitement des données. L’Inspecteur général du CEPD tire ainsi la sonnette d’alarme en déclarant que les forces de l’ordre nationales pourraient utiliser Europol comme un « centre d’échange » en y transférant les données qu’ils ne pourraient plus conserver en raison de leur législation nationale[13].

Le 4 mai 2022, cet accord a été définitivement validé par le Parlement européen avec 480 voix pour, 143 contre, et 20 abstentions, estimant qu’il garantissait les droits fondamentaux et la protection des données[14]. Le CEPD a déploré ce renforcement du mandat d’Europol et le manque de dispositions « solides »[15] en matière de protection des données dans la mesure où la seule disposition prise dans ce sens est la création d’un nouveau poste d’officier aux droits fondamentaux au sein de l’agence.

Ces méthodes et l’évolution du mandat d’Europol génèrent de nombreuses critiques sur le plan légal et éthique en faisant notamment le parallèle avec les agissements de la NSA et son ambition de surveillance de masse globalisée.

Le parallèle avec la NSA en ligne de mire

Comment la NSA nous surveille-t-elle ?

En juin 2013, The Guardian publia les premiers documents révélant une surveillance mondiale d’Internet, des téléphones portables et d’autres communications, principalement par la NSA grâce aux révélations apportées par l’ancien consultant en renseignement informatique de la CIA et de la NSA[16], Edward Snowden. Ces fuites ont ainsi révélé plusieurs programmes utilisés pour collecter des informations. Le premier était PRISM qui recueillait des données en collaboration avec des « grandes entreprises américaines de technologie » et était également capable de collecter « des données brutes du trafic internet aux principaux points d’échange du réseau »[17]. Mais comme il fallait un mandat FISA[18], la NSA est ensuite passée au programme MSUCULAR pour exploiter l’infrastructure cloud du géant américain Google. Ce programme « a permis à la NSA d’accéder à la quasi-totalité des données des utilisateurs de Google » sans avoir à recourir à un mandat FISA. Cela représente « environ un tiers de toutes les données que l’agence collecte de manière routinière »[19]. La portée de la NSA est donc énorme, de son propre aveu, en 2015, la NSA avait collecté 29,21 pétaoctets de données par jour quand l’ensemble des données que Google traite par jour n’est en moyenne que de 20 pétaoctets. Par ailleurs, Snowden révéla également l’utilisation par le GCHQ[20] d’un programme TEMPORA dont la portée est également infinie. Ce dernier a littéralement intercepté les câbles de fibre optique transatlantiques en installant des sondes dans les points d’atterrissage britanniques avec l’autorisation des sociétés propriétaires des câbles. Toutefois, ces sociétés n’avaient pas le choix, « si elles refusent, nous pouvons les contraindre »[21]. Le nombre de personnes visées est alors tout simplement infini.

Une surveillance d’un tel volume peut paraître de prime abord fondamentalement illégale mais elle se trouve en fait dans une zone grise de la loi. Aux États-Unis, la NSA opère sous l’autorité de l’ordre exécutif 12333 signé par Ronald Reagan et qui permet une surveillance étendue à l’étranger mais protège les citoyens américains. Ensuite, après le 11 septembre, la section 215 du Patriot Act lui a permis de collecter « toute chose tangible » pour une enquête contre le terrorisme, puis la section 702 du FISA a autorisé rétroactivement les activités de collecte de la NSA et leur a permis essentiellement de surveiller les connexions de la dorsale Internet (à savoir collecter les données directement via les éléments physiques d’internet tels que les câbles sous-marins) avec des protections minimales pour les citoyens américains[22].

De plus, selon Bruce Schneier, ces lois pourraient être inconstitutionnelles et les interprétations de ces lois par la NSA sont probablement illégales. En outre, la NSA a toujours affirmé ne collecter que les « métadonnées » des utilisateurs, c’est-à-dire la géolocalisation de leurs téléphones portables, les données de leurs appels (durée, contacts, etc.), leurs sources de connexion… Cependant, une fois encore, grâce aux fuites de Snowden et à celles qui ont suivi, il fut révélé qu’ils surveillent également le contenu. Ce qui est certain, c’est que la NSA joue avec les règles et que même ceux qui sont chargés de superviser ses activités ne peuvent pas « comprendre ce qu’elle fait vraiment »[23]. Par ailleurs la communauté du renseignement américain est bien plus vaste que la seule NSA, elle comporte au total 17 agences, du FBI à la CIA en passant par la DIA et le DHS[24]. Dans la mesure où ces agences coopèrent un tant soit peu, elles partagent des informations et participent donc aussi à ce contournement des règles.

Une tendance à la surveillance de masse globalisée ?

Avec la multiplication de ces programmes du MUSCULAR de la NSA au TEMPORA britannique jusqu’au NCISP[25] chinois, la surveillance basée sur les big data devient un enjeu de puissance et vise à collecter tout sur tout le monde[26]. Un document ayant fuité de la NSA en 2007 affirmait ainsi : « À l’avenir, les superpuissances seront forgées ou brisées sur la base de la force de leurs programmes de cryptanalyse »[27].

Cette évolution des modes de surveillance remonte donc aux attentats du 11 septembre 2001 et au Patriot Act voté par le Congrès américain qui a permis à la communauté du renseignement américaine de passer à la surveillance de masse afin de tout savoir sur tout le monde et de pouvoir prévenir une autre attaque dévastatrice. Non seulement cela a entraîné un changement de cible étant donné la nature d’Internet où « les communications de tout le monde sont mélangées sur les mêmes réseaux »[28], mais cela a également provoqué le passage d’un modèle de riposte post hoc à un modèle de surveillance ad hoc. La surveillance de masse perd alors la finalité et l’objectif des outils de surveillance précédents et nécessite de désanonymiser les utilisateurs du réseau afin d’identifier leurs comportements et pouvoir cibler uniquement les menaces. Cela implique que la vie privée est devenue presque impossible en ligne, car le web est désormais considéré comme une sphère publique selon la vision juridique américaine.

Quant aux justifications de ces programmes de surveillance, elles sont principalement liées à la menace terroriste qui a pris de l’ampleur au cours des deux dernières décennies. D’un côté, il est vrai que les menaces ont changé et que la réponse doit donc évoluer aussi, mais d’un autre côté, comme le souligne Didier Bigo cette « histoire de nouveauté est une vieille histoire »[29]. Pour lui, il s’agit avant tout d’une justification politique plutôt que sécuritaire.

Cette faiblesse des justifications peut également attester de la zone grise de la loi dans laquelle la surveillance de masse opère et combien la NSA joue en fait avec les règles actuelles pour aller toujours plus loin. Même les collaborations avec les alliés des Etats-Unis ne sont pas partout respectées. En revanche, cela montre aussi que la collaboration dans ce domaine s’intensifie. Si l’espionnage suit les lignes géopolitiques, la surveillance de masse y déroge puisqu’aucun pays ne peut espionner tout le monde et en tous lieux. L’Etat doit donc partager ses données avec les autres et dans cette logique, il apparaît rentable de rejoindre « le réseau d’espionnage le plus étendu »[30], qui est évidemment actuellement celui des États-Unis. Cela pourrait ainsi nous conduire in fine vers un réseau de surveillance mondial.

Mais cela signifie également que tout le monde espionne tous ses partenaires (à l’exception potentielle des Five Eyes[31]), ce qui démontre que le but premier ici n’est pas l’espionnage mais plutôt la surveillance globale de la population. La finalité semble donc être de surveiller tout le monde sur la planète, ce que les petits pays ne peuvent pas faire et c’est pourquoi ils pourraient être motivés à rejoindre des partenariats de surveillance de masse[32] avec l’hégémon actuel qu’est la NSA ou avec un système sociétal comme le SCS[33] chinois dans lequel l’État et les entreprises de haute technologie impliquées font pression pour que « les autres nations acceptent et même adoptent leur infrastructure de surveillance du système »[34].

Le petit poucet sur la route de l’ogre américain ?

Au vu de ces éléments la comparaison entre Europol et la NSA semble plutôt inappropriée. D’une part les faits reprochés ne sont pas les mêmes avec d’un côté la rétention de données personnelles issues directement ou indirectement d’enquêtes judiciaires fournies de manière légale par les autorités nationales à l’agence Europol et de l’autre côté un espionnage cyber utilisant les back-doors des grandes compagnies américaines puis le réseau physique d’internet pour se servir directement à la source sur la quasi-totalité des données transitant à travers le globe. D’autre part, d’un point de vue technique, l’arche de données collectée par Europol et remise en question par le CEPD ne serait que de 4 pétabytes ce qui est infime comparé à la trentaine de pétabytes que la NSA récoltait chaque jour en 2015. Deux poids, deux mesures pour une comparaison qui n’a donc semble-t-il pas lieu d’être.

Néanmoins, le fait qu’Europol ait bafoué les règles européennes relatives à la conservation des données, et l’élargissement de son mandat légalisant rétroactivement des agissements profitant d’une zone grise du droit, sont bien des parallèles avec les pratiques de la NSA révélées par Edward Snowden il y a déjà bientôt dix ans. Wojciech Wiewiórowski avait ainsi souligné en juin 2021 lors d’une audition parlementaire qu’Europol utilisait en effet des arguments similaires à ceux utilisés jadis par la NSA pour défendre les opérations de collecte de données de masse[35]. Or leur justification n’était pas conforme à l’approche européenne du traitement des données personnelles et c’est là que se trouve le paradoxe. Face à deux argumentaires similaires, l’UE réagit très différemment. Elle s’était fermement opposée au scandale provoqué par les révélations de PRISM et de TEMPORA mais semble fermer les yeux sur la direction prise par son agence de coopération policière allant jusqu’à la renforcer et la soutenir dans son développement d’algorithmes d’analyse opérationnelle.

Le nouvel accord validé par le Parlement européen accélère les processus d’action d’Europol en supprimant une étape de transfert via une autorité nationale, or si l’agence tire des données directement des banques, entreprises privées et e-mails, alors pour Eric Topfer Europol se rapproche « d’une agence semblable à la NSA »[36]. Si Europol semble donc clairement en retard sur les Etats-Unis en termes de capacités technologiques, l’agence européenne semble néanmoins s’être positionnée sur la même voie que la NSA.

Cette affaire révèle donc de profondes divisions au sein d’une Union européenne qui cherche encore sa ligne directrice dans ces enjeux politico-sociaux.

Une course à la modernité entre risques éthiques et développement européen

Si la question de la protection des données n’est pas nouvelle, celle-ci devient désormais un enjeu de premier plan pour l’UE. Lors de la Conférence sur l’Avenir de l’Europe, les panels nationaux et européens ont préconisé de nombreux points pour un renforcement et une clarification de la protection des données au sein de l’Union. Or, si la Commission et le Parlement semblent bel et bien décidés à s’attaquer aux pratiques hégémoniques des plateformes numériques, ils s’accordent également sur l’extension du mandat d’Europol sans prendre en compte cette dimension. L’agence de coopération policière européenne est en effet destinée à s’émanciper, s’autonomiser et se renforcer pour favoriser le développement de l’UE, faire face à l’évolution des menaces et composer avec l’unique cadre géopolitique européen.

Le bras de fer entre Europol et le Contrôleur européen de la protection des données met alors en lumière, l’opposition sécurité vs vie privée. Pour certains, la capacité à traiter de grandes quantités de données est devenue un outil absolument primordial pour les forces de l’ordre aujourd’hui pour s’adapter ; quand pour d’autres, la mise en place de nouvelles règles ne résout pas légalement un comportement qui était précédemment illégal. D’un côté la juriste Niovi Vavoula déclare ainsi que l’évolution du mandat d’Europol ne fonctionne pas dans un Etat de droit, quand de l’autre la directrice exécutive d’Europol soutient que les besoins des forces de l’ordre pour extraire des preuves des smartphones devraient l’emporter sur les considérations de vie privée[37].

Quel que soit l’issue ou le compromis à trouver dans ce dilemme, il est clair que l’Europe s’est engagée dans un renforcement de la technologisation de sa sécurité. C’est notamment visible avec le projet de loi Prüm II qui prévoit la création d’un système de reconnaissance faciale automatisé. La collaboration policière en Europe passe depuis plus de 15 ans par exemple par le partage des fichiers d’empreintes digitales ou des plaques d’immatriculation pour permettre aux autorités d’appréhender un suspect recherché dans un pays voisin. Prüm I promouvait la modernisation judiciaire européenne avec la centralisation dès 2005 des fichiers ADN. Selon cette même logique, ce nouveau projet de loi pourrait ainsi mener à la création d’une gigantesque base de données destinée à la reconnaissance faciale[38]. Si cette modernisation peut paraître logique et sans danger à première vue, c’est bien la mise en relation des différents éléments de cette modernisation qui inquiète avec l’application d’algorithmes sur des bases de données pour effectuer des reconnaissances faciales. Ces évolutions alimentent ainsi une police prédictive qui nous renvoie de nouveau au mantra de la NSA « collect it all, know it all, exploit it all »[39]. De telles pratiques pourraient se révéler discriminatoires et iraient à l’encontre de principes aussi centraux que la présomption d’innocence.

Le risque est l’inconnu créé par cette arche de big data dans la mesure où pour Chloé Berthelemy, cette capacité d’Europol à accumuler d’immenses quantités de données fait qu’il est « presque impossible de savoir pour quoi elles sont utilisées, ce qui en fait un trou noir »[40]. Pour l’avocat allemand Christian Lödden, la question sous-jacente est alors la suivante : « que sommes-nous prêts à sacrifier pour condamner une personne de plus ? »[41]. Cette division interne à l’UE est donc le reflet d’une opposition plus globale entre principes éthiques et évolutions technologiques : droit à l’anonymat vs traitement des données ou encore liberté inhérente au web vs modèles prédictifs. Telle est la course à la modernité dans laquelle l’Europe est d’elle-même engagée au sein d’une compétition internationale. Mais si l’UE était jusque-là reconnue au sein du système international pour son pouvoir normatif[42] en exportant des concepts politiques tels que la démocratie, des principes éthiques ou encore des règles de droit telles que l’abolition de la peine de mort pour reprendre l’exemple développé par Ian Manners en 2002 ; cette affaire pourrait être le symptôme d’un changement de place de l’UE au sein du système international. En effet, depuis deux décennies le hard power[43] de l’Europe n’a cessé de se développer en accroissant notamment ses pouvoirs sécuritaires. La dimension éthique et commerciale qui était le fer de lance du vieux continent laisserait-elle donc progressivement place à un développement technologique et un rapprochement avec les stratégies de ses concurrents dans le système international ? La surveillance de masse serait alors un outil indispensable dans cette course au développement. Mais se moderniser signifierait-il pour autant en oublier ses propres principes …

---

[1] EDPS / CEPD, « EDPS Decision on the retention by Europol of datasets lacking Data Subject Categorisation », Cases 2019-0370 & 2021-0699, 10 janvier 2022, 14 p.

[2] L’IJ4EU (Investigative Journalism for Europe) est un fonds pour le journalisme d’investigation transfrontalier dans l’UE.

[3] Fotiadis (Apostolis), Stavinoah (Ludek), Zandonini (Giacomo), et Howden (Daniel), « A data ‘black hole’: Europol ordered to delete vast store of personal data », The Guardian, 10 janvier 2022

[4] Ibid.

[5] Bertuzzi (Luca), « EU watchdog orders Europol to delete personal data unrelated to crimes », Euractiv.com, 10 janvier 2022

[6] Fotiadis, Stavinoah, Zandonini, et Howden, The Guardian, op. cit.

[7] Ibid.

[8] Ibid.

[9] Ibid.

[10] Conseil de l’UE, « Europol : accord provisoire entre la présidence du Conseil et le Parlement européen sur le nouveau mandat de l’agence », Communiqué de presse, 1^er février 2022 

[11] Bertuzzi (Luca), « Collecte de données : les institutions européennes renforcent le mandat d’Europol », Euractiv.com, 2 février 2022 

[12] Ibid.

[13] Ibid.

[14] AFP, « UE : le Parlement européen valide le renforcement du mandat d’Europol », Le Figaro, 4 mai 2022 

[15] Euobsorver, « EU watchdog concern over Europol extended mandate », Euobserver, 27 juin 2022

[16] CIA : Central Intelligence Agency et NSA : National Security Agency

[17] Powers (Shawn M.), & Jablonski (Michael), Ch. 7 « Internet freedom in a surveillance society ». In The Real Cyber War. The Political Economy of Internet Freedom. Chicago, II: University of Illinois Press, 2015, p. 180-202

[18] Le FISA (Foreign Intelligence Surveillance Act) fut voté par le Congrès américain en 1978, puis modifié après les attentats du 11 septembre 2001.

[19] Powers & Jablonski, 2015 op. cit.

[20] Le GCHQ (General Communication Headquarters) est le service national de renseignement et de sécurité britannique.

[21] MacAskill (Ewen), Borger (Julian), Hopkins (Nick), Davies (Nick), & Ball (James), « GCHQ taps fibre-optic cables for secret access to world’s communications », The Guardian, June 21, 2013

[22] Schneier (Bruce), Ch. 5 « Government surveillance and control », In Data and Goliath. The Hidden Battles to Capture Your Data and Control Your World. New-York and London: W.W. Norton & Company, 2015

[23] Ibid.

[24] FBI : Federal Bureau of Investigation, DIA : Defense Intelligence Agency, et DHS : Department of Homeland Security

[25] The National Credit Information Sharing Platform : principale plateforme créée par le gouvernement chinois dans le cadre de son système de crédit social (SCS)

[26] Andrejevic (Mark), & Gates (Kelly). « Big Data Surveillance: Introduction », Surveillance & Society, Vol. 12, N° 2, 2014, p. 185-96.

[27] Perlroth (Nicole), Larson (Jeff), & Shane (Scott), « N.S.A. able to foil basic safeguards of privacy on web », The New York Times, 5 septembre 2013

[28] Schneier, 2015 op. cit.

[29] Bigo (Didier), Security, surveillance and democracy. In K. Ball, K. Haggerty, & D. Lyon (eds.), Routledge handbook of Surveillance Studies, London and New-York: Routledge, 2012, p. 277-284

[30] Schneier, 2015 op. cit.

[31] Les Fives Eyes (souvent abrégé en FVEY) regroupent les Etats-Unis, le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande, soit cinq pays riches anglophones, dans une alliance des services de renseignement. D’autres alliances existent déjà telles que les Nine Eyes ou les Fourteen Eyes, mais le partage de l’information est bien plus fort et coopératif pour les FVEY.

[32] Ibid.

[33] Cf. note 25

[34] Liang (Fan), Das (Vishnupriya), Kostyuk (Nadiya), et Hussain (Muzammil M.), « Constructing a data-driven society: China’s social credit system as a state surveillance infrastructure », Policy & Internet, Vol. 10, N°4, 2018, p. 415-453

[35] Fotiadis, Stavinoah, Zandonini, et Howden, The Guardian, op. cit.

[36] Ibid.

[37] Ibid.

[38] Jonniaux (Amandine), « L’Europe veut un système de reconnaissance faciale international, et c’est inquiétant », Journal du Geek, 7 avril 2022 

[39] Schneier, 2015 op. cit.

[40] Fotiadis, Stavinoah, Zandonini, et Howden, The Guardian, op. cit.

[41] Ibid.

[42] Manners (Ian), « Normative Power Europe: A Contradiction in Terms? », Journal of Common Market Studies, Vol. 40, N°2, 2002, pp. 235-258

[43] Concept développé par Joseph Nye dans Soft Power: The Means to Success in World Politics (Public Affairs, 2004)

Références bibliographiques

AFP, « UE : le Parlement européen valide le renforcement du mandat d’Europol », Le Figaro, 4 mai 2022 : https://www.lefigaro.fr/flash-actu/ue-le-parlement-europeen-valide-le-renforcement-du-mandat-d-europol-20220504

Andrejevic (Mark), & Gates (Kelly). « Big Data Surveillance: Introduction », Surveillance & Society, Vol. 12, N° 2, 2014, p. 185-96.

Bertuzzi (Luca), « Collecte de données : les institutions européennes renforcent le mandat d’Europol », Euractiv.com, 2 février 2022 : https://www.euractiv.fr/section/economie/news/eu-institutions-bolster-europols-mandate-for-data-crunching-activities/

Bertuzzi (Luca), « EU watchdog orders Europol to delete personal data unrelated to crimes », Euractiv.com, 10 janvier 2022 : https://www.euractiv.com/section/data-protection/news/eu-watchdog-orders-europol-to-delete-personal-data-unrelated-to-crimes/

Bigo (Didier), Security, surveillance and democracy. In K. Ball, K. Haggerty, & D. Lyon (eds.), Routledge handbook of Surveillance Studies, London and New-York: Routledge, 2012, p. 277-284

Conseil de l’UE, « Europol : accord provisoire entre la présidence du Conseil et le Parlement européen sur le nouveau mandat de l’agence », Communiqué de presse, 1^er février 2022 : https://www.consilium.europa.eu/fr/press/press-releases/2022/02/01/europol-provisional-agreement-between-council-presidency-and-european-parliament/

EDPS / CEPD, « EDPS Decision on the retention by Europol of datasets lacking Data Subject Categorisation », Cases 2019-0370 & 2021-0699, 10 janvier 2022, 14 p. : https://edps.europa.eu/data-protection/our-work/publications/investigations/edps-orders-europol-erase-data-concerning_en

Euobsorver, « EU watchdog concern over Europol extended mandate », Euobserver, 27 juin 2022 : https://euobserver.com/opinion/155691

Fotiadis (Apostolis), Stavinoah (Ludek), Zandonini (Giacomo), et Howden (Daniel), « A data ‘black hole’: Europol ordered to delete vast store of personal data », The Guardian, 10 janvier 2022 : https://www.theguardian.com/world/2022/jan/10/a-data-black-hole-europol-ordered-to-delete-vast-store-of-personal-data

Jonniaux (Amandine), « L’Europe veut un système de reconnaissance faciale international, et c’est inquiétant », Journal du Geek, 7 avril 2022 : https://www.journaldugeek.com/2022/04/07/leurope-veut-un-systeme-de-reconnaissance-faciale-international-et-cest-inquietant/

Liang (Fan), Das (Vishnupriya), Kostyuk (Nadiya), et Hussain (Muzammil M.), « Constructing a data-driven society: China’s social credit system as a state surveillance infrastructure », Policy & Internet, Vol. 10, N°4, 2018, p. 415-453

MacAskill (Ewen), Borger (Julian), Hopkins (Nick), Davies (Nick), & Ball (James), « GCHQ taps fibre-optic cables for secret access to world’s communications », The Guardian, June 21, 2013

Manners (Ian), « Normative Power Europe: A Contradiction in Terms? », Journal of Common Market Studies, Vol. 40, N°2, 2002, pp. 235-258

Perlroth (Nicole), Larson (Jeff), & Shane (Scott), « N.S.A. able to foil basic safeguards of privacy on web », The New York Times, 5 septembre 2013

Powers (Shawn M.), & Jablonski (Michael), Ch. 7 « Internet freedom in a surveillance society ». In The Real Cyber War. The Political Economy of Internet Freedom. Chicago, II: University of Illinois Press, 2015, p. 180-202

Schneier (Bruce), Ch. 5 « Government surveillance and control », In Data and Goliath. The Hidden Battles to Capture Your Data and Control Your World. New-York and London: W.W. Norton & Company, 2015