Intervention de Ludovic Haye

Les 1er et 2 février derniers, en visioconférence depuis Lisbonne, s'est tenue la 8e réunion du groupe de contrôle parlementaire conjoint (GCPC) d'Europol. Sur le fondement de l'article 88 du traité sur le fonctionnement de l'Union européenne et de l'article 51 du règlement d'Europol, le GCPC est chargé d'assurer « le contrôle politique des activités d'Europol dans l'accomplissement de sa mission, y compris en ce qui concerne leur incidence sur les libertés et les droits fondamentaux des personnes physiques ».

Cette visioconférence a réuni des représentants de 38 assemblées parlementaires d'États membres et 14 députés européens. Elle a pris la forme d'échanges et de questions/réponses, en présence des autorités d'Europol, à savoir sa directrice exécutive, Mme Catherine De Bolle, le responsable de son centre de lutte contre la cybercriminalité (EC3) et celui de son groupe de travail ad hoc des chefs de police sur la pandémie, et en présence aussi de M. Wojciech Wiewiorowski, contrôleur européen de la protection des données (CEPD), de Mme Ylva Johansson, commissaire européenne aux affaires intérieures, ainsi que de plusieurs personnalités portugaises, dont le ministre de l'intérieur.

Après la présentation des activités d'Europol entre septembre 2020 et février 2021, la réunion de Lisbonne a abordé trois sujets : la cybercriminalité, le mandat de l'agence et le rôle de la coopération policière dans le contexte de la crise sanitaire.

L'activité d'Europol en direction des États membres est restée très soutenue, dans un contexte marqué par la pandémie de covid-19 et la hausse exponentielle de la cybercriminalité, mais aussi la persistance du trafic d'armes et de stupéfiants. À titre d'illustration, Europol a contribué, en octobre dernier, à la saisie de 45 tonnes de cocaïne en provenance du Brésil, opération ayant impliqué un millier de policiers issus de différents États membres et donné lieu à 179 investigations et à l'emprisonnement de plus de 40 personnes.

La crise sanitaire a constitué le terreau de trafics en tous genres, y compris de faux tests négatifs au virus et de faux vaccins, mais aussi à des campagnes de désinformation de grande ampleur accordant de l'audience à diverses théories du complot.

Par ailleurs, Europol a renforcé son fonctionnement. En juin dernier, sur le modèle du dispositif existant sur le terrorisme et la cybercriminalité, elle a mis en place un nouveau centre spécialisé dans la lutte contre les délits financiers et économiques, qui emploiera 65 experts et coordonnera les enquêtes sur les fraudes et délits tels que le blanchiment d'argent, le recouvrement d'avoirs et la vente de produits contrefaits. En outre, en décembre, elle a lancé une nouvelle plateforme de déchiffrement ; pour mieux lutter contre le terrorisme et la criminalité organisée, cette plateforme prend la forme d'un supercalculateur installé en Italie, développé en collaboration avec le service scientifique de la Commission (Joint Research Centre). Europol a également conclu des accords de travail avec l'Office européen de lutte antifraude (OLAF), le Parquet européen et Frontex. Elle dispose d'un officier de liaison présent au Royaume-Uni et attend une éventuelle décision d'adéquation européenne, après une période de transition de six mois, en matière de transfert de données, puisque ce sujet n'est pas couvert par l'accord trouvé avec ce pays au mois de décembre.

La question de l'utilisation des données par Europol a été longuement discutée. En effet, en septembre dernier, le CEPD a adressé à Europol un avertissement : selon lui, l'agence n'aurait pas respecté les dispositions de son règlement en matière de traitement de l'information aux fins des analyses opérationnelles. Des garanties spécifiques sont en effet prévues, en particulier la définition de catégories de données à caractère personnel et de catégories de personnes concernées, la durée de conservation et les conditions d'accès, de transfert et d'utilisation de ces données. Europol a soumis au CEPD un plan d'action en réponse à cet avertissement, un coordonnateur de la qualité des données a été désigné et son système d'information SIENA va être mis à jour. Le CEPD établira un rapport en mars prochain dans lequel il analysera la pertinence des solutions proposées par l'agence.

La question du niveau des ressources d'Europol a été fréquemment soulevée. Des inquiétudes ont en effet été exprimées sur le décalage grandissant entre des missions de plus en plus nombreuses et coûteuses, en particulier sur le plan technologique, et les moyens de l'agence. Celle-ci saura-t-elle notamment prendre le tournant de l'intelligence artificielle sans laquelle il devient impossible de réagir rapidement à des cybercrimes de plus en plus sophistiqués ?

Le principal obstacle que rencontre la lutte contre la cybercriminalité tient à la difficulté à rassembler des preuves devant les tribunaux ; notre commission l'avait déjà souligné dans sa résolution européenne de juillet dernier sur ce sujet. En effet, les cybercrimes sont généralement de nature transfrontière et impliquent donc des enquêtes au-delà des frontières, y compris européennes. Certains tribunaux américains auraient même reconnu les arguments de Google concernant la volatilité des preuves (moving targets). Or, l'Europe et les États membres ne sont pas encore en mesure de surmonter les difficultés induites par ce phénomène. Quelle est la juridiction compétente sur des informations détenues par un réseau social américain dont les serveurs ne se trouvent pas nécessairement aux États-Unis ? La question de l'accès aux preuves numériques est liée aux relations avec le secteur privé et, bien sûr, avec les géants américains du numérique. De surcroît, on ne sait pas toujours localiser les informations, celles du darknet notamment.

À cet égard, Europol apporte une aide précieuse aux États membres, notamment ceux qui n'ont pas les capacités administratives ou juridiques de conduire de telles enquêtes. C'est le cas en matière de lutte contre l'exploitation sexuelle des enfants ou de fraude financière en ligne. La coopération entre EC3 et les autorités nationales, dont les services français, a récemment permis, par exemple, de prendre le contrôle d'Emotet, qualifié de « malware le plus dangereux du monde » ; il s'agissait d'un logiciel fonctionnant comme un botnet, c'est-à-dire un réseau d'ordinateurs piratés envoyant des messages malveillants à très grande échelle.

La Commission a proposé, en décembre dernier, une réforme du mandat d'Europol, que la Présidence portugaise du Conseil de l'Union européenne espère finaliser. Ce mandat révisé doit donner à Europol le fondement juridique de : traiter des mégadonnées ; améliorer sa coopération avec le Parquet européen et les pays partenaires, en particulier les Balkans, mais aussi le Royaume-Uni, désormais pays tiers - des inquiétudes ont d'ailleurs été exprimées sur les incertitudes entourant le transfert de données à certains pays tels que la Turquie ou l'Égypte ; et contribuer au développement de nouvelles technologies répondant aux besoins des services répressifs nationaux. Il doit aussi permettre de mieux travailler avec des entreprises privées du numérique, dans le respect de la protection des données et des droits fondamentaux. Il en est attendu des progrès dans la lutte contre la pédopornographie et les abus sexuels contre les enfants en ligne, qui ont explosé.

De même, l'intégration des données d'Europol dans le système d'information Schengen (SIS) devrait permettre de renforcer la lutte contre le terrorisme. Faute d'en bénéficier actuellement, Europol estime qu'environ un millier de combattants terroristes étrangers n'ont pu être détectés à leur retour en Europe.

Enfin, le rôle du contrôle parlementaire sur les activités d'Europol sera accru par la transmission d'informations supplémentaires au GCPC.

Concernant le rôle de la coopération policière dans le contexte de la crise sanitaire, Europol se mobilise fortement depuis le début de la pandémie, avec 33 rapports sur le sujet, des alertes sur la désinformation et des escroqueries, la mise en place d'un outil d'évaluation du risque ou encore des campagnes de prévention et de sensibilisation, notamment en direction des enfants. Elle a également accru sa coopération avec les autres agences relevant de l'espace de liberté, de sécurité et de justice.

La pandémie complique la tâche d'Europol dans la mesure où cette menace sanitaire s'ajoute aux autres menaces existantes, le risque terroriste en premier lieu, mais aussi, plus largement, l'extrémisme politique et la propagande en ligne.

L'agence a mis en place un groupe de travail ad hoc réunissant des services de police de plusieurs États membres, dont la France ; il a pour mission de surveiller ce risque sanitaire et de conseiller les opérateurs, par exemple les banques et les entreprises, pour surmonter leurs vulnérabilités dans ce contexte.

Vous le voyez, Europol, sans être un « FBI européen », occupe aujourd'hui une place centrale dans l'architecture européenne de sécurité. Je vous tiendrai informés des futures évolutions, après la prochaine réunion du GCPC, en principe les 25 et 26 octobre, à Bruxelles.