Le Conseil de l’Union européenne a arrêté les 7 priorités criminelles qui structureront l’action répressive européenne jusqu’en 2029. Derrière cet agenda politique se cache un mécanisme d’une portée bien plus concrète qu’il n’y paraît : EMPACT. Ce cadre opérationnel mobilise chaque année plus de 200 actions coordonnées à travers les États membres, Europol, Eurojust et, de façon croissante, le secteur privé. Pour les entreprises actives dans les paiements, la relation client, la gestion d’identité ou les plateformes numériques, ce nouveau cycle n’est pas une affaire de politique institutionnelle lointaine. Il s’agit d’une réalité opérationnelle qui commence à modifier les pratiques d’investigation, les demandes de coopération et les standards de conformité attendus.
EMPACT (European Multidisciplinary Platform Against Criminal Threats) n’est pas une autorité d’enquête au sens classique du terme. Créée en 2010 et institutionnalisée en 2021 comme instrument permanent de l’UE, la plateforme fonctionne comme un environnement de coopération structurée piloté par les États membres, avec Europol comme coordonnateur central.
Son originalité tient à son architecture. Chaque cycle de quatre ans débute par la publication par Europol d’une évaluation de la menace criminelle, l’EU SOCTA, qui sert de base factuelle aux conclusions du Conseil définissant les priorités. Ces priorités se déclinent ensuite en Plans d’Action Opérationnels (OAP), eux-mêmes découpés en Actions Opérationnelles (OA) concrètes.
La gouvernance repose sur un principe de responsabilisation claire. Pour chaque OAP, un ou plusieurs États membres acceptent le rôle de « driver » ou « co-driver » : ils prennent en charge la planification, l’animation et le suivi de l’ensemble des actions associées, avec l’appui logistique et financier d’Europol et le soutien judiciaire d’Eurojust. Les coordinateurs nationaux EMPACT (NEC), désignés dans chaque État, assurent la cohérence entre les engagements pris au niveau européen et les ressources allouées au plan national.
Ce maillage institutionnel (COSI, NEC, drivers, Europol, CEPOL, Eurojust) garantit une continuité opérationnelle que les cycles précédents ne permettaient pas toujours d’atteindre. Pour le cycle 2026-2029, ce sont 13 OAP couvrant les 7 priorités qui seront déployés de façon bi-annuelle, évalués en fin de cycle par une expertise indépendante.
L’intensification ciblée plutôt que la dispersion
La définition d’une « priorité » dans le cadre EMPACT enclenche un mécanisme précis : mobilisation de ressources humaines et financières dédiées, développement d’outils d’investigation spécifiques, renforcement des partenariats intersectoriels, et coordination judiciaire renforcée via Eurojust. Le Conseil le formule sans ambiguïté dans ses conclusions de juin 2025 : les États membres et les agences concernées sont explicitement appelés à allouer des ressources dans le cadre des OAP, et la Commission est invitée à augmenter la contribution de l’UE au budget d’Europol pour soutenir ce déploiement.
Pour le cycle 2026-2029, les 7 priorités retenues reflètent les constats de l’EU SOCTA 2025 :
- démantèlement des réseaux criminels les plus menaçants,
- lutte contre les crimes à croissance rapide dans la sphère numérique (cyberattaques, exploitation sexuelle d’enfants en ligne et fraudes en ligne),
- trafic de drogues,
- contrebande de migrants et traite des êtres humains,
- crimes liés aux armes à feu,
- criminalité environnementale,
- criminalité économique et financière.
Ce dernier domaine couvre notamment la fraude à la TVA de type carrousel (MTIC), la fraude aux accises et droits de douane, et les atteintes à la propriété intellectuelle.
L’EU SOCTA 2025 identifie par ailleurs les cyberattaques (principalement les ransomwares ciblant des infrastructures critiques, des administrations et des entreprises, parfois avec des objectifs alignés sur des intérêts étatiques) et les fraudes en ligne (de plus en plus propulsées par l’ingénierie sociale assistée par IA et l’exploitation de données personnelles volées) comme deux des menaces à la croissance la plus rapide. Ces deux domaines bénéficieront d’OAP dédiés avec des actions opérationnelles renforcées, des moyens d’investigation étendus et une coopération accrue avec les opérateurs privés.
Ce que « partenariat avec le secteur privé » signifie dans ce contexte
L’implication du secteur privé dans EMPACT prend désormais une place croissante et plus structurée dans le cycle 2026-2029. Le modèle EMPACT prévoit explicitement que les partenaires privés peuvent être associés aux OAP lorsque leur expertise ou leurs données sont pertinentes. En pratique, cela se traduit par plusieurs modalités concrètes : partage d’informations sur des schémas d’attaque ou de fraude avec Europol et les autorités nationales, participation à des journées d’action opérationnelle coordonnées, ou contribution à la détection de comportements suspects dans le cadre de protocoles de coopération formalisés.
Le Conseil souligne dans ses conclusions 2025 que les coordinateurs nationaux ont notamment pour mission de promouvoir la coopération entre autorités répressives, administrations publiques et secteur privé. Cette dynamique n’est pas sans rappeler les mécanismes déjà rodés dans d’autres cadres sectoriels (Europol Financial Intelligence Public Private Partnership pour les établissements financiers, ou les protocoles de notification en matière de NIS2), mais EMPACT y ajoute une dimension opérationnelle directe, pas uniquement réglementaire.
Les surfaces d’exposition concrètes pour les entreprises
Comprendre les priorités EMPACT 2026-2029 implique pour les entreprises d’identifier les domaines dans lesquels elles sont susceptibles d’être sollicitées, visées ou intégrées dans un processus d’investigation. Ces surfaces d’exposition sont multiples.
Dans le domaine des paiements et de la lutte contre la fraude financière, les priorités relatives aux fraudes en ligne et aux crimes économiques créent une pression accrue sur les systèmes de détection des transactions suspectes, notamment pour identifier des schémas de type détournement de comptes, comptes mules ou fraudes aux virements. Les établissements de paiement et les fintechs peuvent être amenés à répondre à des demandes d’information coordonnées dans le cadre d’opérations EMPACT, au-delà des obligations habituelles déclaratives LCB-FT.
En matière d’identité numérique et de KYC, la montée en puissance des fraudes assistées par IA (deepfakes pour contourner les contrôles biométriques, usurpation d’identité documentaire) expose les opérateurs soumis à des obligations d’identification de leur clientèle à une pression croissante sur la robustesse de leurs dispositifs de vérification. L’EU SOCTA 2025 note explicitement que les fraudes en ligne exploitent massivement les données personnelles volées, ce qui renforce l’exposition des systèmes d’onboarding digital insuffisamment sécurisés.
Du côté des infrastructures IT et OT, la priorité cyberattaques concerne directement les opérateurs d’importance vitale, mais aussi toute entreprise hébergeant des données sensibles ou fournissant des services à des acteurs critiques. Les ransomwares à finalité pécuniaire ou à objectif de déstabilisation font l’objet d’OAP dédiés impliquant des actions de perturbation des infrastructures criminelles, ce qui peut conduire à des échanges d’indicateurs de compromission entre autorités et entreprises victimes ou potentiellement ciblées.
Les plateformes numériques, marketplaces et régies publicitaires sont également dans le viseur de la priorité sur les fraudes en ligne. Les schémas d’arnaque au placement de produit, les fraudes publicitaires, la vente de produits contrefaits ou les arnaques à l’investissement propagées via les réseaux sociaux constituent autant de vecteurs identifiés par l’EU SOCTA. La convergence avec le Digital Services Act, qui impose déjà aux plateformes des obligations de signalement et de modération, rend cette exposition doublement stratégique : les entreprises concernées s’exposent à la fois à des investigations EMPACT et à des procédures réglementaires DSA.
Enfin, dans les services de messagerie et de communication, la priorité sur les réseaux criminels les plus menaçants inclut le démantèlement de plateformes de communication chiffrées utilisées par des organisations criminelles. Les entreprises fournissant ce type de services (ou dont les infrastructures sont utilisées comme vecteurs) peuvent se voir confrontées à des réquisitions judiciaires coordonnées au niveau européen via Eurojust, avec une jurisprudence en cours de consolidation sur les conditions d’accès aux données chiffrées.
Ce que les entreprises ont intérêt à anticiper d’ici 2027
EMPACT n’impose pas directement d’obligations aux entreprises privées, mais crée un contexte opérationnel dans lequel les autorités agissent avec davantage de coordination, de moyens et de légitimité institutionnelle. Pour les responsables conformité, juridiques et sécurité, cela justifie quelques orientations pratiques.
Il est utile de cartographier les priorités EMPACT pertinentes pour son secteur d’activité et d’identifier, parmi les OAP en cours, ceux susceptibles d’impliquer des demandes de coopération. Cette cartographie, croisée avec les obligations réglementaires existantes (NIS2, DORA, DSA, AMLD6), permet d’anticiper les zones de chevauchement et de rationaliser la réponse. Il est également recommandé de formaliser les processus internes de traitement des réquisitions judiciaires et des demandes de coopération policière émanant d’autorités étrangères dans le cadre de procédures EMPACT, souvent plus rapides et mieux coordonnées que par les voies d’entraide traditionnelles.
Enfin, les entreprises actives dans les secteurs directement ciblés (paiements, identité numérique, plateformes, messagerie…) ont intérêt à se positionner comme interlocuteurs proactifs des coordinateurs nationaux EMPACT de leur pays de référence. Ce positionnement, qui existe déjà dans le champ de la lutte contre le financement du terrorisme, est appelé à s’étendre sous la pression des priorités 2026-2029. Mieux vaut y être préparé.
