Selon une enquête fondée sur des documents internes, des échanges d’e-mails et des témoignages d’anciens responsables, Europol aurait exploité pendant plusieurs années des environnements de traitement de données opérant en marge de ses infrastructures officielles.
Ces plateformes auraient permis l’analyse massive de données personnelles sensibles, y compris concernant des individus non suspectés d’infraction, sans les mécanismes de contrôle exigés par le droit européen.
Une infrastructure parallèle devenue centrale
L’affaire trouverait son origine dans la réorganisation opérée après les attentats de Paris de novembre 2015. Sous pression pour accélérer ses capacités d’analyse, Europol aurait progressivement étendu l’usage de son Computer Forensic Network (CFN), une infrastructure initialement conçue pour le traitement technique de données numériques liées à des enquêtes ciblées.
Selon plusieurs anciens responsables interrogés dans le cadre de l’enquête, le système aurait rapidement dépassé sa fonction d’origine. Géré en pratique hors du périmètre habituel de supervision de la direction informatique, le CFN serait devenu l’environnement principal d’analyse opérationnelle de l’agence.
Des documents internes évoqueraient un volume de données atteignant 2 000 téraoctets dès 2019, soit une taille très supérieure aux bases criminelles officielles d’Europol à cette période. Les données traitées auraient inclus des relevés téléphoniques, des documents d’identité, des informations financières ou encore des données de géolocalisation transmises par les autorités des États membres et certains partenaires internationaux.
Plusieurs témoignages décrivent un système dans lequel les mécanismes de journalisation, de contrôle d’accès et de traçabilité auraient été insuffisants. Des analystes auraient ainsi pu consulter, modifier ou exploiter des ensembles de données sans supervision complète ni garanties conformes aux exigences européennes de protection des données.
Des alertes internes dès 2019
L’enquête révèle également qu’un signalement interne aurait été transmis en février 2019 par le délégué à la protection des données d’Europol, Daniel Drewer, aux directeurs exécutifs adjoints de l’agence.
Dans cette note de cinq pages, le responsable aurait estimé que 99 % des données opérationnelles d’Europol étaient alors stockées et traitées dans le CFN sans garanties suffisantes en matière de sécurité et de protection des données.
Le document évoquerait notamment la possibilité pour les analystes de réutiliser des données personnelles dans des analyses criminelles, y compris lorsqu’Europol n’était pas légalement autorée à conserver ces informations.
Selon les éléments publiés, cette alerte aurait conduit à l’ouverture du différend désormais connu sous le nom de « Big Data Challenge » entre Europol et le Contrôleur européen de la protection des données (EDPS). L’autorité européenne avait ensuite ordonné à l’agence de supprimer certaines données conservées en violation du droit européen.
Le suivi du dossier se serait poursuivi pendant plusieurs années. En février 2026, l’EDPS aurait indiqué mettre fin à son contrôle du CFN malgré la persistance de plusieurs recommandations non appliquées, dont certaines portant sur des mécanismes de sécurité jugés essentiels.
Le « Pressure Cooker », un environnement resté dans l’ombre ?
Au-delà du CFN, l’enquête mentionne également l’existence d’un autre dispositif interne connu sous le nom de « Pressure Cooker ».
Selon plusieurs anciens responsables, cette infrastructure aurait servi d’environnement de traitement rapide permettant l’analyse de données opérationnelles en dehors des contraintes habituelles imposées par la réglementation européenne.
Un e-mail interne envoyé en octobre 2022 à plusieurs responsables de l’agence aurait alerté sur une « situation irrégulière » liée à ce système. Le message indiquait que certaines activités y étaient développées « sans contrôles ICT appropriés ».
Europol conteste cette interprétation. L’agence affirme que « Pressure Cooker » désignait simplement le nom interne d’un environnement opérationnel connecté à Internet, conforme au règlement européen applicable.
Les documents internes et plusieurs témoignages recueillis dans l’enquête décriraient toutefois un système déjà opérationnel depuis plusieurs années, distinct des infrastructures officiellement présentées aux autorités de contrôle.
L’EDPS aurait lui-même exprimé des inquiétudes autour d’un projet plus récent baptisé « IFOE-Quick Response Area ». Selon l’autorité européenne, un tel dispositif pourrait évoluer vers un environnement parallèle permettant des recherches massives de données personnelles sans lien direct avec une enquête en cours.
Une extension des pouvoirs d’Europol sous surveillance
Ces révélations interviendraient alors que la Commission européenne préparerait une nouvelle évolution du mandat d’Europol. Le projet viserait à renforcer fortement les capacités opérationnelles de l’agence, avec une augmentation de ses moyens humains et budgétaires.
L’enquête soulève ainsi une question de gouvernance plus large : celle de la capacité des mécanismes de contrôle européens à superviser des infrastructures de traitement de données devenues techniquement complexes, évolutives et parfois difficilement identifiables. Plusieurs anciens responsables interrogés estiment que les inspections du régulateur reposeraient largement sur les informations communiquées par l’agence elle-même. Des environnements non explicitement déclarés pourraient ainsi échapper partiellement à la supervision.
Europol rejette toute accusation de dissimulation et affirme avoir toujours informé l’EDPS de ses systèmes opérationnels « de manière transparente ».
