AVIS du contrôleur européen de la protection des données (CEPD) sur les propositions de deux règlements portant établissement dun cadre pour linteropérabilité des systèmes dinformation à grande échelle de lUnion européenne.
En décembre 2017, la Commission a publié deux propositions de règlements visant à établir un cadre juridique pour linteropérabilité des systèmes dinformation à grande échelle de lUnion européenne :
- une proposition de règlement du Parlement européen et du Conseil portant établissement dun cadre pour linteropérabilité des systèmes dinformation de lUnion européenne (frontières et visas), et
- une proposition de règlement du Parlement européen et du Conseil portant établissement dun cadre pour linteropérabilité des systèmes dinformation de lUnion européenne (coopération policière et judiciaire, asile et migration).
Ces propositions introduiraient de nouvelles possibilités daccès et dutilisation des données stockées dans les différents systèmes afin de lutter contre la fraude à lidentité, de faciliter les contrôles didentité et de simplifier laccès des services répressifs aux systèmes dinformation à finalité non répressive.
En particulier, les propositions créent une nouvelle base de données centralisée qui contiendrait des informations sur des millions de ressortissants de pays tiers, y compris leurs données biométriques. En raison de lampleur de cette base de données et de la nature des données à stocker dans celle-ci, les conséquences dune violation de données pourraient porter gravement atteinte à un nombre potentiellement très élevé dindividus. Il est donc essentiel de mettre en place des garanties juridiques, techniques et organisationnelles solides.
Dans ce contexte, le CEPD souligne limportance:
- de clarifier davantage lampleur du problème de la fraude à lidentité parmi les ressortissants de pays tiers, afin de sassurer que la mesure proposée est appropriée et proportionnée;
- de formuler de manière plus précise la possibilité de consulter la base de données centralisée pour faciliter les contrôles didentité sur le territoire des États membres;
- de mettre en place des garanties réelles pour préserver les droits fondamentaux des ressortissants de pays tiers dans la mesure où un accès systématique aux systèmes à finalité non répressive pourrait représenter une violation grave du principe de limitation de la finalité.
Plus précisément, le CEPD formule les recommandations suivantes :
- trois des six systèmes dinformation de lUnion européenne que les propositions cherchent à interconnecter nexistent pas à lheure actuelle (le système européen dinformation et dautorisation concernant les voyages ETIAS, le système européen dinformation sur les casiers judiciaires pour les ressortissants de pays tiers ECRIS-TCN et le système dentrée/de sortie EES), deux sont en cours de révision (SIS et Eurodac) et un doit être révisé plus tard cette année (VIS): le CEPD rappelle limportance de garantir une cohérence entre les textes juridiques qui sont déjà en cours de négociation (ou à venir) et les propositions, afin de créer un environnement juridique, organisationnel et technique unifié pour lensemble des activités de traitement de données au sein de lUnion;
- laccès aux données permettant didentifier une personne lors dun contrôle didentité ne devrait être autorisé: i) en principe, quen présence de la personne et lorsquelle nest pas en mesure de coopérer et nest pas en possession dun document établissant son identité, ou ii) lorsquelle refuse de coopérer, ou iii) lorsquil existe des motifs justifiés ou fondés de croire que les documents présentés sont faux ou que la personne ne dit pas la vérité sur son identité;
- laccès au répertoire commun de données didentité («CIR») pour établir lidentité dun ressortissant dun pays tiers afin de garantir un niveau élevé de sécurité ne devrait être autorisé que sil est possible daccéder à des bases de données nationales similaires (par exemple un registre de ressortissants/résidents) pour les mêmes finalités et dans les mêmes conditions;
- les propositions devraient préciser les conditions relatives à lexistence de motifs raisonnables, à la réalisation dune recherche préalable dans les bases de données nationales et au lancement dune interrogation du système automatisé didentification des empreintes digitales des autres États membres en vertu de la décision 2008/615/JAI, avant toute recherche dans le répertoire commun de données didentité;
- le respect des conditions daccès à des informations même limitées (comme une concordance/non-concordance) devrait toujours être vérifié, indépendamment de tout accès ultérieur aux données stockées dans le système ayant déclenché le résultat positif;
- il conviendrait de veiller, dans les propositions, à ce que les données stockées dans lECRIS-TCN puissent être consultées et utilisées uniquement aux fins de lECRIS-TCN, telles quelles sont définies dans linstrument juridique y afférent;
- les principes fondamentaux de protection des données devraient être pris en compte à tous les stades de la mise en uvre des propositions. Ces dernières devraient inclure lobligation pour lAgence européenne pour la gestion opérationnelle des systèmes dinformation à grande échelle au sein de lespace de liberté, de sécurité et de justice (eu-LISA) et les États membres de suivre les principes de protection des données dès la conception et par défaut.
Le CEPD formule des recommandations supplémentaires concernant notamment les aspects suivants des propositions: i) la fonctionnalité du portail de recherche européen («ESP») du service partagé détablissement de correspondances biométriques («BMS partagé»), du répertoire commun de données didentité («CIR»), et du détecteur didentités multiples («MID»); ii) les périodes de conservation des données dans le CIR et le MID ; iii) la répartition des rôles et des responsabilités entre leu-LISA et les États membres ; iv) les droits des personnes concernées ; v) laccès du personnel de leu-LISA.
Enfin le CEPD recommande davoir un débat plus large sur le futur de léchange dinformations au sein de lUnion européenne, sur sa gouvernance et sur les moyens de sauvegarder les droits fondamentaux.