Suite à l’accord de Schengen signé en 1985 qui établit progressivement une libre circulation des citoyens européens (qui concerne désormais 24 pays-membres),la coopération policière et judiciaire débouche sur toute une série de fichiers.

Dans ce domaine qui relève encore de l’intergouvernemental, le droit européen ne couvre tout simplement pas la protection des données personnelles.

Le projet de décision-cadre qui devrait y remédier d’ici 2009 comporte « de graves lacunes ».

Le SIS.

En juillet 2008, 27 millions de données étaient stockées dans le système d’information Schengen (SIS) et consultables en temps réel par les autorités compétentes (policiers, gendarmes, douaniers, autorités judiciaires) de 24 Etats membres de l’UE ainsi que de la Norvège, de l’Islande et de la Suisse (raccordée depuis août).

En grande majorité alimenté par des objets volés (armes, véhicules, billets de banque numérotés, passeports ou documents d’identité volés afin de créer de fausses identités), le SIS recense aussi un million de personnes recherchées, dont 730.000 interdites d’entrée sur le territoire de Schengen (pour la plupart des étrangers expulsables).

Gérée par la France, cette base de donnée informatique se situe dans un bâtiment ultra-sécurisé - et très précisément dans une salle enterrée - à Strasbourg.

Pour consulter ou rectifier les éventuelles données la concernant, toute personne peut s’adresser à l’autorité nationale - pour la France, la CNIL - chargée du contrôle de sa partie nationale du SIS.

La seconde génération du SIS, dite SIS II, prévue pour 2009, comprendra des données biométriques (empreintes digitales et photographies numériques). La France fait d’ailleurs partie du très sympathique groupe des « Amis du SIS II » chargé d’accélérer son entrée en fonction (suivre le SIS II ici).

Le PNR.

Les PNR (pour "passenger name record") sont à l’origine des informations commerciales, collectées par les compagnies aériennes et les agences de voyage auprès des passagers au moment de la réservation : numéro de carte bleue, prix du billet, les références de passeport, adresse à destination (la liste complète ici)...

Suite au 11 septembre 2001, les Etats-Unis et le Canada - l’Australie bientôt - ont obtenu d’accéder aux données PNR de tous les passagers des vols transatlantiques. Ils comparent ces fichiers avec leurs propres listes de suspects puis établissent des « profilages » - des évaluations de risques.

L’UE voudrait elle aussi rendre obligatoire la transmission des données des passagers aériens qui entrent, sortent ou traversent l’espace européen aux polices des 27 Etats membres. Ce qui revient à traiter tous les passagers, et non pas seulement ceux contre lesquels il y aurait des présomptions ou des indices d’actes illicites, comme des suspects.

Eurodac.

Depuis 2003, cette base de données répertorie les empreintes digitales de chaque demandeur d’asile âgé de 14 ans ou plus. Ces empreintes sont envoyées sous format numérique vers l’unité centrale de la Commission européenne, où elles sont automatiquement comparées aux autres empreintes déjà enregistrées pour vérifier si le demandeur n’a pas franchi illégalement les portes de l’EU ou s’il n’a pas déjà introduit une demande dans un autre Etat membre. Dans ce cas, la personne peut être renvoyée vers le pays où elle est arrivée en premier lieu, ou a introduit sa demande.

Les empreintes sont conservées dix ans au maximum, deux ans si elles concernent une personne entrée illégalement sur le territoire européen. Ce système, selon un rapport récent de l’eurodéputée britannnique Jean Lambert, « attribue de trop lourdes responsabilités aux Etats membres situés aux frontières de l’UE », théoriquement chargés d’instruire les demandes d’asile de tous les étrangers entrés dans l’Union par leurs côtes et frontières terrestres.

VIS

A partir du printemps 2009, les gardes-frontières européens pourront et devront vérifier l’identité des détenteurs de visas de court terme (trois mois) et l’authenticité de leur visa via le système d’information sur les visas (VIS), la plus grande base de données biométriques du monde avec à terme 70 millions d’empreintes digitales.

Ce système européen a pour objectif de détecter des fraudes et de prévenir les demandes multiples de visas auprès de consulats d’Etats membres différents. Les étrangers devront donc donner l’empreinte digitale de leurs dix doigts - oui dix ! On n’est jamais trop prudent - et leur photo pour obtenir un visa. Pour éviter que tous les consulats des 27 aient à s’équiper de matériel permettant ces relevés biométriques assez lourds - dix empreintes digitales tout de même -, des centres communs de traitements des demandes de visas se mettent en place à l’étranger.

Echange de données entre les autorités policières et judiciaires en matière pénale.

Le traité de Prüm signé en mai 2005 entre sept États membres de l’Union (Belgique, Allemagne, Espagne, France, Luxembourg, Pays-Bas et Autriche) renforce la coopération transfrontalière, en vue de lutter contre le terrorisme, la criminalité et l’immigration illégale.

D’abord établi en dehors du cadre des traités de l’UE et depuis intégré dans le droit européen, ce traité prévoit l’échange de données génétiques, d’empreintes digitales et de données à caractère personnel, la constitution de patrouilles policières communes ainsi que d’autres formes d’intervention comme l’assistance lors d’événements de grande envergure.

Sur le principe de la loi française informatique et libertés de 1978, le traité reconnaît à toute personne le droit d’accéder au traitement pour obtenir, le cas échéant, une mise à jour des données les concernant lorsque les données sont erronées. Pourtant, note la Cnil, « en cas de violations graves, notamment sur la sécurité et la confidentialité des traitements, aucune mesure de sanction n’est prévue vis-à-vis des autorités répressives responsables ».

Entry-exit system.

En discussion, ce système enregistrerait les dates d’entrée et de sortie des étrangers non communautaires, aux frontières externes de l’Union.

Il permettrait d’identifier les personnes qui restent plus longtemps que leur visa ne le leur permet... au moment où elles sortent de l’Union !

Un projet inspiré de son grand-frère US-Visit qui s’est révélé, depuis son lancement en 2003, être une véritable usine à gaz engloutissant des milliards de dollars, le fait de prétendre enregistrer les empreintes digitales et la photo de tous les étrangers passant les frontières américaines étant une gageure.

L’absence criante de protection au niveau européen

À terme, la Commission européenne envisage une interopérabilité entre le SIS II et les autres bases de données existantes au niveau européen, comme la base de données sur les empreintes digitales des demandeurs d’asile (EURODAC) ou encore le futur système d’information sur les visas (VIS).

L’autre danger consiste dans le transfert de ces données à des pays tiers ayant une législation moins pointilleuse en la matière.

Les fichiers progressent mais pas la protection des données personnelles transmises dans le cadre de la coopération policière et judiciaire, et qui ne sont pour l’instant pas couvertes par le droit européen.

Les règles dans ce domaine varient avec les législations nationales des Etats membres.

Il existe bien une directive pour les données personnelles traitées dans le cadre des activités commerciales (la directive 95/46/CE du 24 octobre 1995) mais rien concernant les activités répressives.

Devant le patchwork juridique qui en résulte, une décision-cadre sur la protection des données personnelles est dans les cartons du Conseil européen.

Réclamée par la Cnil qui notait encore en juin que « l’accès aux données biométriques doit être encadré afin de ne pas excéder les mesures nécessaires aux finalités de prévention et de lutte contre les infractions », le texte du projet de décision-cadre déçoit déjà par son champ d’application « étroit » selon Peter Hustinx, « ne couvrant que le transfert de données à d’autres États membres : quant au fond, elle ne garantira pas la protection qui aurait dû l’être ».

Source : Médiapart