Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Interopérabilité des systèmes d'information de l'Union (frontières et visas)

2017/0351(COD)

AVIS du contrôleur européen de la protection des données (CEPD) sur les propositions de deux règlements portant établissement d’un cadre pour l’interopérabilité des systèmes d’information à grande échelle de l’Union européenne.

En décembre 2017, la Commission a publié deux propositions de règlements visant à établir un cadre juridique pour l’interopérabilité des systèmes d’information à grande échelle de l’Union européenne :

  • une proposition de règlement du Parlement européen et du Conseil portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’Union européenne (frontières et visas), et
  • une proposition de règlement du Parlement européen et du Conseil portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’Union européenne (coopération policière et judiciaire, asile et migration).

Ces propositions introduiraient de nouvelles possibilités d’accès et d’utilisation des données stockées dans les différents systèmes afin de lutter contre la fraude à l’identité, de faciliter les contrôles d’identité et de simplifier l’accès des services répressifs aux systèmes d’information à finalité non répressive.

En particulier, les propositions créent une nouvelle base de données centralisée qui contiendrait des informations sur des millions de ressortissants de pays tiers, y compris leurs données biométriques. En raison de l’ampleur de cette base de données et de la nature des données à stocker dans celle-ci, les conséquences d’une violation de données pourraient porter gravement atteinte à un nombre potentiellement très élevé d’individus. Il est donc essentiel de mettre en place des garanties juridiques, techniques et organisationnelles solides.

Dans ce contexte, le CEPD souligne l’importance:

  • de clarifier davantage l’ampleur du problème de la fraude à l’identité parmi les ressortissants de pays tiers, afin de s’assurer que la mesure proposée est appropriée et proportionnée;
  • de formuler de manière plus précise la possibilité de consulter la base de données centralisée pour faciliter les contrôles d’identité sur le territoire des États membres;
  • de mettre en place des garanties réelles pour préserver les droits fondamentaux des ressortissants de pays tiers dans la mesure où un accès systématique aux systèmes à finalité non répressive pourrait représenter une violation grave du principe de limitation de la finalité.

Plus précisément, le CEPD formule les recommandations suivantes :

  • trois des six systèmes d’information de l’Union européenne que les propositions cherchent à interconnecter n’existent pas à l’heure actuelle (le système européen d’information et d’autorisation concernant les voyages ETIAS, le système européen d’information sur les casiers judiciaires pour les ressortissants de pays tiers ECRIS-TCN et le système d’entrée/de sortie EES), deux sont en cours de révision (SIS et Eurodac) et un doit être révisé plus tard cette année (VIS): le CEPD rappelle l’importance de garantir une cohérence entre les textes juridiques qui sont déjà en cours de négociation (ou à venir) et les propositions, afin de créer un environnement juridique, organisationnel et technique unifié pour l’ensemble des activités de traitement de données au sein de l’Union;
  • l’accès aux données permettant d’identifier une personne lors d’un contrôle d’identité ne devrait être autorisé: i) en principe, qu’en présence de la personne et lorsqu’elle n’est pas en mesure de coopérer et n’est pas en possession d’un document établissant son identité, ou ii) lorsqu’elle refuse de coopérer, ou iii) lorsqu’il existe des motifs justifiés ou fondés de croire que les documents présentés sont faux ou que la personne ne dit pas la vérité sur son identité;
  • l’accès au répertoire commun de données d’identité («CIR») pour établir l’identité d’un ressortissant d’un pays tiers afin de garantir un niveau élevé de sécurité ne devrait être autorisé que s’il est possible d’accéder à des bases de données nationales similaires (par exemple un registre de ressortissants/résidents) pour les mêmes finalités et dans les mêmes conditions;
  • les propositions devraient préciser les conditions relatives à l’existence de motifs raisonnables, à la réalisation d’une recherche préalable dans les bases de données nationales et au lancement d’une interrogation du système automatisé d’identification des empreintes digitales des autres États membres en vertu de la décision 2008/615/JAI, avant toute recherche dans le répertoire commun de données d’identité;
  • le respect des conditions d’accès à des informations même limitées (comme une concordance/non-concordance) devrait toujours être vérifié, indépendamment de tout accès ultérieur aux données stockées dans le système ayant déclenché le résultat positif;
  • il conviendrait de veiller, dans les propositions, à ce que les données stockées dans l’ECRIS-TCN puissent être consultées et utilisées uniquement aux fins de l’ECRIS-TCN, telles qu’elles sont définies dans l’instrument juridique y afférent;
  • les principes fondamentaux de protection des données devraient être pris en compte à tous les stades de la mise en œuvre des propositions. Ces dernières devraient inclure l’obligation pour l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA) et les États membres de suivre les principes de protection des données dès la conception et par défaut.

Le CEPD formule des recommandations supplémentaires concernant notamment les aspects suivants des propositions: i) la fonctionnalité du portail de recherche européen («ESP») du service partagé d’établissement de correspondances biométriques («BMS partagé»), du répertoire commun de données d’identité («CIR»), et du détecteur d’identités multiples («MID»); ii) les périodes de conservation des données dans le CIR et le MID ; iii) la répartition des rôles et des responsabilités entre l’eu-LISA et les États membres ; iv) les droits des personnes concernées ; v) l’accès du personnel de l’eu-LISA.

Enfin le CEPD recommande d’avoir un débat plus large sur le futur de l’échange d’informations au sein de l’Union européenne, sur sa gouvernance et sur les moyens de sauvegarder les droits fondamentaux.