AVIS du Contrôleur européen de la protection des données (CEPD) sur la proposition de règlement portant création d’un système européen d’information et d’autorisation concernant les voyages (ETIAS)
Le CEPD rappelle que selon la proposition, le système ETIAS exigerait que les voyageurs exemptés de l’obligation de visa soient soumis à une évaluation des risques qu’ils posent en matière de sécurité, d’immigration irrégulière et de santé publique préalablement à leur arrivée aux frontières de l’espace Schengen.
Cette évaluation serait menée au moyen d’un recoupement entre les données que les demandeurs auront communiquées dans l’ETIAS et celles provenant d’autres systèmes d’information de l’Union européenne, d’une liste de surveillance spéciale pour l’ETIAS et de règles d’examen.
Le CEPD estime nécessaire de procéder à une évaluation de l’incidence qu’aura la proposition sur le droit au respect de la vie privée et sur le droit à la protection des données à caractère personnel, consacrés dans la charte des droits fondamentaux de l’Union européenne. En effet, avec la mise en place de l’ETIAS, de nombreux types de données, initialement collectées à des fins très différentes, deviendront accessibles à un plus large éventail d’autorités publiques (à savoir aux autorités compétentes en matière d’immigration, aux garde-frontières, aux autorités répressives, etc).
La proposition ETIAS suscite des préoccupations concernant le processus de détermination des risques potentiels que représentent les demandeurs. En outre, la création d’un outil permettant le repérage automatique des ressortissants de pays tiers exemptés de l’obligation de visa soupçonnés de présenter des risques pose le problème du profilage, ce qui soulève des questions d’ordre technique, juridique et éthique.
Étant donné que la proposition met en place un système supplémentaire entraînant le traitement d’une quantité non négligeable d’informations à caractère personnel relatives à des ressortissants de pays tiers à des fins liées à l’immigration et à la sécurité, le CEPD:
- recommande d’inclure une définition des risques en matière d’immigration irrégulière et de sécurité dans la proposition afin de respecter le principe de limitation;
- recommande que les règles d’examen de l’ETIAS proposées fassent l’objet d’une évaluation préalable exhaustive de leur incidence sur les droits fondamentaux;
- exige la production d’éléments de preuve convaincants attestant la nécessité de recourir à des outils de profilage aux fins de l’ETIAS;
- s’interroge sur la pertinence et l’efficacité de la collecte et du traitement de données concernant la santé;
- demande une meilleure justification de la durée de conservation des données qui a été choisie et de la nécessité d’octroyer l’accès aux données aux agences répressives nationales et à Europol.
Au-delà de ces préoccupations, les recommandations du CEPD portent, entre autres, sur: i) la nécessité et la proportionnalité de l’ensemble de données collecté; ii) l’interopérabilité entre l’ETIAS et d’autres systèmes d’information; iii) les droits de la personne concernée et les voies de recours prévues; iv) l’examen indépendant des conditions d’accès par les autorités répressives; v) l’architecture et la sécurité de l’information de l’ETIAS et vi) les statistiques générées par le système.