Réforme Europol 2026 : 3 milliards d'euros et recul du contrôle indépendant sur les données
La Commission européenne a présenté le 24 juin 2026 une nouvelle réforme d'Europol : un budget porté à 3 milliards d'euros, des pouvoirs de collecte et de croisement de données considérablement élargis, et un affaiblissement net des garde-fous en matière de protection des données. C'est la troisième réforme du mandat de l'agence en six ans, et elle inquiète les organisations de défense des droits numériques bien au-delà de Bruxelles.
Ce qui s'est passé
Le texte proposé par la Commission introduit un versement automatique et systématique, par les polices nationales, des informations échangées vers les bases de données d'Europol. Il légalise aussi plusieurs systèmes jusqu'ici non encadrés : un « Europol Analytical Environment », une infrastructure cloud propre à l'agence, et un « Police Shared Data Space » ouvert aux États membres, à d'autres agences européennes et à des pays tiers.
Sur le volet protection des données, la réforme autorise Europol à traiter des données personnelles de façon indifférenciée, y compris celles de personnes qui n'ont aucun lien avec une infraction. Elle abaisse également le seuil de traitement des données biométriques — un type de donnée sensible strictement encadré par le RGPD — pour l'identification et la surveillance via la plateforme analytique d'Europol.
Le contrôle indépendant, lui, recule : Europol pourra engager des traitements de données sensibles sans validation préalable du Contrôleur européen de la protection des données (CEPD) dès lors qu'elle juge l'opération « urgente et nécessaire », ou si le CEPD ne rend pas d'avis sous deux mois. Le CEPD n'est plus non plus consulté lorsqu'Europol s'écarte de son propre cadre juridique : cette supervision est transférée à un délégué à la protection des données interne à l'agence, dépourvu d'indépendance réelle et de pouvoirs contraignants.
Pourquoi c'est important
Le RGPD organise précisément l'inverse de ce schéma. La fonction du délégué à la protection des données repose sur son indépendance et l'absence de conflit d'intérêts ; ses missions incluent le contrôle du respect du règlement et le rôle de point de contact avec l'autorité de supervision — pas l'inverse. Confier cette supervision à un DPO interne sans pouvoir réel revient à vider la fonction de son sens, à une échelle qui dépasse largement le cas d'une entreprise : ici, c'est une agence de police qui s'auto-contrôle.
La question des transferts internationaux se pose aussi. Le RGPD encadre strictement la coopération internationale entre autorités de protection des données, précisément pour éviter qu'un cadre de coopération policière ne devienne un canal de contournement des garanties européennes. Un « Police Shared Data Space » accessible à des pays tiers pose exactement ce risque.
Cette réforme ne survient pas isolément : elle s'inscrit dans un climat plus large de révision à la baisse des protections numériques européennes, où la simplification sert parfois de paravent à une déréglementation plus profonde.
Ce que ça change pour les organisations
Pour les entreprises et administrations qui coopèrent avec les autorités policières — réponses à des réquisitions, signalements, partage de données dans le cadre d'enquêtes — ce texte ne change pas directement leurs obligations RGPD. Mais il modifie le contexte dans lequel elles opèrent : les données transmises aux autorités nationales peuvent désormais alimenter des bases Europol de façon quasi automatique, avec un contrôle indépendant amoindri en aval.
Pour un DPO, c'est un signal à intégrer dans l'analyse de risque : toute donnée personnelle transmise à une autorité de police, même dans un cadre légal parfaitement conforme côté organisation, peut désormais circuler plus largement et plus longtemps qu'auparavant. Cela justifie une vigilance accrue sur la minimisation des données transmises et sur la documentation des bases légales invoquées, en particulier pour les catégories de données sensibles.
Le texte doit encore être négocié par le Parlement européen et le Conseil : rien n'est acquis, et la mobilisation d'ONG comme EDRi, Access Now ou Equinox Initiative for Racial Justice pourrait encore faire évoluer le texte dans les prochains mois.
Ce que Leto pense de cette décision
Un contrôle indépendant qui saute dès qu'il devient gênant n'est plus un contrôle : c'est une formalité. Faire porter la supervision d'une agence dotée de pouvoirs de surveillance élargis par son propre délégué à la protection des données — sans indépendance ni pouvoir contraignant — revient à demander à un service de se noter lui-même. Le RGPD a été construit sur le principe inverse : l'indépendance de la fonction de contrôle n'est pas un détail organisationnel, c'est la condition de son efficacité. Cette réforme mérite d'être suivie de près, précisément parce qu'elle teste la solidité de ce principe à l'échelle européenne.

