L’Union européenne et les technologies de sécurité
Résumés
Cet article vise à analyser, sous l’angle juridique, le rôle de l’Union européenne dans le choix des technologies de sécurité, choix qui s’est essentiellement traduit par le recours à la biométrie et aux bases de données, deux éléments indissociables. Ce choix l’a été dans un objectif de « cohérence juridique » présenté comme nécessaire pour l’élaboration d’une politique européenne de sécurité. Mais la réalisation de cet objectif reste contraint par une série de décisions extérieures à l’Union, notamment celles des Etats-Unis et de l’OACI. Il se heurte de plus à la réticence de certains Etats, et à la difficulté de mise en œuvre de cette « cohérence juridique », même en créant un « principe de disponibilité » complexe entre les Etats.
Plan
Haut de pageTexte intégral
1L’Union européenne a incontestablement joué – et joue encore – un rôle central dans le domaine des technologies de sécurité, devenant un véritable « moteur » pour ses Etats membres, notamment en matière de biométrie. Pour accompagner le recours à ces technologies, elle met en place depuis quelques années un cadre juridique qu’elle désigne comme devant être « cohérent ». Cet objectif de « cohérence juridique » rappelle celui de « convergence juridique », qui n’avait pourtant rencontré qu’un écho très mitigé lorsqu’il avait été proposé en 1997 : face au constat de la convergence inéluctable des technologies de l’information et de la communication, l’Union avait jugé nécessaire d’accompagner cette convergence par une restructuration juridique. Mais, lorsque la Commission européenne avait publié un Livre vert sur la convergence 1 – et proposé un cadre juridique nouveau et commun pour l’ensemble des secteurs des nouvelles technologies –, les Etats avaient majoritairement opté pour le rejet de cette proposition et pour le maintien de leurs cadres juridiques, en acceptant quelques vagues aménagements. Si le terme « convergence » a été abandonné pour celui de « cohérence », heurtant moins les sensibilités étatiques, les questions posées restent pourtant les mêmes, liées à la difficulté de mettre en place une véritable politique commune en matière de sécurité. C’est à partir de ce constat que nous tenterons d’analyser, sous l’angle juridique, le rôle de l’Union européenne dans le recours aux technologies de sécurité, illustrant sa recherche plus générale d’unification dans le domaine des politiques de sécurité, qui ne dépendent plus du seul traité sur l’Union européenne - et donc de la seule politique pénale - depuis le transfert au traité de Rome des politiques d’asile, d’immigration, de visas et de contrôle aux frontières.
L’objectif de cohérence juridique en matière de technologies de sécurité
2L’usage des technologies de sécurité en Europe s’est essentiellement traduit par le recours à la biométrie et aux bases de données, ces deux éléments étant indissociables. Ainsi, en quelques années, la biométrie a été appliquée à un ensemble de domaines : politique des visas et contrôle aux frontières liés à la gestion des flux migratoires, prévention et répression de la criminalité, surveillance et prévention du danger extérieur / intérieur que représente le terrorisme, et ce, malgré la difficulté inhérente à la construction européenne. La « ventilation » entre ces domaines, selon qu’ils dépendent du premier pilier communautaire ou du troisième pilier « coopération policière et judiciaire pénale 2 » reste complexe, l’objectif de « cohérence juridique » visant aussi à uniformiser ces domaines, malgré leur séparation juridique.
3Dès 1998, le plan d’action de Vienne, adopté par le Conseil JAI du 3 décembre 1998, prévoit que l’évolution des moyens techniques doit être suivie attentivement, afin d’améliorer la sécurité du modèle type de visa mis en place en 1995 3. Cette position est confirmée dans le cadre des conclusions du Conseil européen de Tampere des 15 et 16 octobre 1999, convenant de poursuivre la mise en place d’une politique commune active en matière de visas et de faux documents. Le Conseil européen de Thessalonique, les 19 et 20 juin 2003, va surtout insister sur la nécessité de dégager au sein de l’Union européenne une « approche cohérente » en ce qui concerne les identificateurs ou les données biométriques pour les documents des ressortissants de pays tiers, les passeports des citoyens de l’Union et les systèmes d’information qui vont intégrer ces données biométriques pour permettre l’authentification par comparaison (VIS et SIS II). Enfin, le « programme de La Haye », adopté par le Conseil européen le 5 novembre 2004, va prendre pour objectif l’approfondissement de cette approche commune, désormais à vingt-cinq Etats membres, et le traitement plus efficace des actions communes que sont la prévention (du terrorisme, de l’immigration illégale, de la criminalité) et la surveillance. Il est rappelé avec insistance que l’Union européenne doit adopter une « approche juridique cohérente et des solutions harmonisées » en matière d’identificateurs et de données biométriques.
4Suivant une logique déjà à l’œuvre dans les Etats membres, la décision d’intégrer des éléments biométriques, à savoir la photographie du visage et les empreintes digitales, a d’abord été prise dans le cadre de la politique d’immigration européenne, en relation étroite avec la mise en place de bases de données destinées à assurer la comparaison de ces éléments biométriques aux fins d’authentification et de vérification 4. La Commission indique d’ailleurs – de façon révélatrice – que, dans le contexte de libre circulation des personnes dans l’UE, la dernière bases de données créée, le VIS 5 « représente une des grandes initiatives des politiques de l’UE destinées à favoriser la stabilité et la sécurité », le recours aux données biométriques étant présenté comme le gage de cette sécurité.
5Pour accompagner cette évolution rapide des bases de données vers l’intégration de la biométrie, le Conseil européen de La Haye a demandé au Conseil de l’UE d’étudier les moyens « d’optimiser l’efficacité et l’interopérabilité des systèmes d’information de l’Union européenne » pour lutter contre l’immigration clandestine et améliorer les contrôles aux frontières, ainsi que la gestion de ces systèmes, en se fondant sur une communication de la Commission, relative à l’interopérabilité entre les systèmes 6, et « en tenant compte de la nécessité de trouver le juste milieu entre les objectifs répressifs et la préservation des droits fondamentaux des personnes ». Allant plus loin, la Commission a présenté une proposition illustrant le souhait qu’à terme, l’ensemble de ces fichiers soit interconnecté et ne forme plus qu’une seule immense base de données 7, prouvant sa volonté d’unification dans ce domaine.
6Il est clair que l’objectif de « cohérence juridique » va dans le sens d’un accompagnement de la convergence technique des systèmes européens contenant des données biométriques, pour des motifs dont l’aspect de « cohérence budgétaire » n’est pas absent. Cet objectif de cohérence vise également à favoriser les interconnexions entre bases de données nationales et européennes, notamment biométriques.
7Il est intéressant de noter qu’en application de ces objectifs,
« sous l’impulsion de la Direction générale JLS (Justice Liberté et Sécurité), de grands programmes voient le jour et se dessinent. Ces programmes portent essentiellement aujourd’hui sur une gestion plus efficace des frontières de l’Union avec des projets comme BMS (Biometric Matching System), BIODEV (Biometric Data Experimented in Visas) par exemple ou encore l’annonce pour 2008 de passeports biométriques à empreintes digitales. Sur ce dernier point l’Europe, contrairement aux Etats-Unis, traitera de la même façon ses citoyens et ses visiteurs. En revanche, pour des raisons structurelles évidentes, l’Europe mettra probablement plus de temps à articuler les projets biométriques de gestion d’identité comparables aux programmes américains TWIC ou PIV 8 ».
Les contraintes extérieures
8L’objectif de « cohérence » de l’Union européenne présenté comme nécessaire pour l’élaboration d’une politique européenne de sécurité apparaît toutefois quelque peu ambigu, notamment du fait des contraintes extérieures qui l’accompagnent, et ce, de manière désormais explicite depuis le 11 septembre 2001 : c’est au nom de la lutte contre le terrorisme et sous la pression sans appel des Etats-Unis que l’Europe va recourir à la biométrie et en faire l’un de ses objectifs prioritaires.
9Le recours à la biométrie comme moyen de protection contre le terrorisme est évoqué dès 2002 dans le cadre d’un rapport de l’OTAN :
« Ces technologies pourraient également servir à l’émission de documents officiels (passeports, cartes d’accès, permis de conduire ou carte de sécurité sociale) dont beaucoup ont déjà été pourvus de minuscules puces électroniques comportant des données personnelles. Ces puces pourraient aussi contenir une version cryptée d’un identifiant biométrique spécifique, tel que la numérisation d’une empreinte digitale ou d’un iris. Cela rendrait toute falsification pratiquement impossible et empêcherait les substitutions d’identités. Cette même technologie pourrait s’appliquer aux visas accordés aux visiteurs étrangers 9 ».
10Cette position, désormais adoptée par l’Union européenne, a pour origine la politique de l’Organisation internationale de l’aviation civile (OACI) en matière de documents de voyage, déjà ancienne mais longtemps restée non obligatoire. Les attentats du 11 septembre 2001, directement liés à l’aviation, ont permis de justifier très rapidement le recours à la biométrie pour ces documents. En juillet 2005, après les attentats de Londres – qui se sont, rappelons-le, déroulés dans le métro londonien et non dans un aéroport –, l’OACI a pris la décision immédiate de rendre obligatoire les données biométriques dans les documents de voyage 10. L’insertion d’éléments biométriques dans ce type de documents a donc été décidée en Europe, comme au niveau mondial, en fonction de normes communes issues des choix effectués dans le cadre de l’OACI 11. En effet, les articles 22, 23 et 37 de la Convention de Chicago 12 lient les Etats contractants dans le domaine de la définition et l’adoption des normes internationales pour les douanes, l’immigration et autres procédures, dans le but de faciliter les processus transfrontaliers qui interviennent dans le transport aérien international.
11L’OACI, en relation directe avec l’Organisation internationale de normalisation (ISO), a donc clairement joué un rôle central dans la conception et la définition des normes biométriques applicables en Europe. Dans le contexte de l’après-11 septembre 2001, ces normes se sont imposées, la convention de Chicago obligeant les Etats à respecter les normes édictées par l’OACI pour des raisons de sécurité des transports aériens. Or, ces normes sont définies de manière à assurer l’interopérabilité des systèmes de contrôle dans les aéroports des cent quatre-vingt-neuf Etats membres, notamment par l’utilisation d’un système de lecture optique standardisé des documents de voyage, désignés par l’OACI comme étant des MRTD (Machine Readable Travel Documents, documents de voyage lisibles à la machine). Selon la définition de l’OACI, les MRTD sont « des documents de voyage internationaux, tels que passeport ou visa, qui renferment des données lisibles à l’œil et à la machine 13 ». Les spécifications du groupe consultatif technique sont publiées dans le document 9303 de l’OACI, référence qui figure désormais explicitement dans les règlements européens sur les passeports 14, sur les titres de séjour 15, et sur les visas, où il est indiqué que le document « doit comporter des dispositifs de sécurité harmonisés, universellement reconnaissables » (photographie numérique et deux empreintes digitales selon les normes OACI décrites comme étant des normes techniques de haut niveau).
12Or, selon les déclarations d’un représentant de l’OACI :
« Evidemment, [l’organisation] ne l’a pas fait uniquement pour l’aviation, ni dans un cadre isolé. Elle a collaboré avec d’autres organisations internationales comme Interpol et l’Organisation internationale du travail (OIT) en ce qui concerne les documents de voyage des marins 16 ».
13Cet élément amène à émettre quelques réserves, voire des inquiétudes, face à l’optimisme technologique proclamé notamment au regard de cette utilisation mondiale d’éléments biométriques, aboutissant à la création de bases de données internationales et nationales interopérables, tous les Etats utilisant les mêmes normes OACI pour les documents de voyage qu’ils délivrent, en relation avec les techniques de visualisation, elles aussi prévues et normalisées dans le cadre de l’OACI. Comme l’a clairement indiqué un représentant de SAGEM, entreprise extrêmement présente dans le domaine de la biométrie et des documents d’identité : « L’usage de la biométrie, comme technologie permettant de gérer des grands flux aux frontières sans failles de sécurité, devient le ferment d’une biométrie mondiale interopérable ». Or, c’est précisément dans la mise en place de cette mondialisation biométrique généralisée que se pose la question de sa fragilité, et de celle de la politique européenne de sécurité.
14Face à l’optimisme très actif des entreprises auxquelles ont recours l’Europe et les Etats, le groupe « Article 29 » avait fait part de ses extrêmes réserves concernant le recours à de telles données biométriques, rappelées dans un courrier du 30 novembre 2004. Contredisant l’argument de sécurisation des documents d’identité, le groupe souligne :
« des résultats d’essais ont toutefois montré que les procédés reposant sur des éléments biométriques ne garantissaient ni la sécurité requise ni la commodité escomptée pour les voyageurs, vu que le pourcentage d’acceptation erronée ou de rejet erroné du détenteur du passeport par le système de sécurité de reconnaissance semble élevé ».
15Dans la même optique, le CEPD (Contrôleur européen à la protection des données), tout en approuvant l’harmonisation de la politique européenne d’immigration, en particulier avec un format uniforme de titre de séjour, rappelle que « celui-ci n’est pas un document de voyage, mais un document d’identité, et doit en conséquence bénéficier des mêmes standards de sécurité que les cartes d’identité nationales 17 ». Pour lui, « il n’existe aucune raison de suivre les standards de l’OACI, notamment le recours aux puces sans contact » dont on connaît les risques de lecture à distance 18. Il s’agit là des rares critiques officielles à l’application des standards OACI.
16La matérialisation de contraintes extérieures, pourtant incompatibles avec la philosophie européenne proclamée en matière de données personnelles, est illustrée par la position de l’UE face aux exigences américaines en matière de transfert des données passagers (PNR et API). Malgré l’inexistence connue d’une protection des données personnelles aux Etats-Unis 19, la Commission européenne a publié une décision d’adéquation à leur bénéfice 20 ; cette décision avait pourtant fait l’objet de critiques sévères par le Groupe article 29 21 et le Contrôleur européen à la protection des données (CEPD), qui est même intervenu au cours de la procédure intentée par le Parlement européen devant la CJCE. Cette gigantesque récolte de données personnelles n’aura pourtant aucun effet sur la prévention du terrorisme, malgré le discours officiel de justification. L’annulation, le 30 mai 2006 22, pour de simples motifs de forme de cette décision et de l’accord entre l’Union européenne et les Etats-Unis sur le transfert des données PNR n’a pas entraîné trop de dégâts collatéraux : chaque Etat membre peut, de manière bilatérale, continuer à communiquer ces données.
17Mais les institutions européennes ont signé dans la précipitation un nouvel accord 23, en retrait par rapport au précédent, qui éclaire sous un jour qui n’est pas nouveau les raisons d’un tel processus : il n’est enfin plus caché que ces données personnelles PNR sont destinées aux agences de sécurité américaines s’occupant de la lutte contre le terrorisme et la criminalité, même s’il est demandé aux USA que le système ne soit pas doté d’un accès généralisé, mais d’un système « push » (approche au cas par cas), et « d’assurer une stricte limitation des objectifs, de sorte que les données relatives au comportement ne puissent être utilisées à des fins d’identification de délits financiers ou de prévention de la grippe aviaire 24 ». Il ne fait pourtant guère de doute que la protection américaine des données personnelles n’a pas évolué. Les justifications avancées sont donc davantage de l’ordre de la précaution oratoire destinée à dédouaner les institutions européennes jouant sur le constat avoué que sans accord, le transfert de données se ferait de toutes façons, la menace de blocage des vols européens étant suffisante pour l’accepter. Selon cette position, mieux vaut un accord permettant un éventuel contrôle et garantissant une protection même restreinte des personnes. Or, la seule protection qui figure dans l’accord est la possibilité de « suspension de transfert » des données
« lorsqu’il existe une forte probabilité que les normes de protection applicables ne sont pas respectées, qu’il y a des motifs raisonnables de croire que le DHS [ministère américain de la sécurité intérieure] ne prend pas ou ne prendra pas, en temps voulu les mesures adéquates qui s’imposent pour régler l’affaire en question, que la poursuite du transfert entraînerait un risque imminent de grave préjudice pour les personnes concernées et que les autorités compétentes de l’Etat membre concerné se sont raisonnablement efforcées, dans ces circonstances, d’avertir le DHS et de lui donner la possibilité de répondre ».
18Cette position a une conséquence considérée comme positive, puisqu’elle permet à l’UE de disposer elle aussi d’un système PNR en élargissant le transfert de données à tous les vols en Europe, même si le Parlement a rejeté cette idée par trois fois. Le Parlement européen reconnaît pourtant clairement que l’objectif à long et moyen terme de ce transfert de données PNR est mondial :
« Pour le moyen et le plus long terme, les députés proposent une approche plus cohérente, au niveau de l’Organisation de l’aviation civile internationale (OACI), de l’échange de données de passagers afin de garantir à la fois la sécurité du trafic aérien et le respect des droits de l’homme au niveau mondial 25 ».
19Les contraintes extérieures rattachent donc l’objectif de « cohérence juridique » à un contexte bien plus vaste que le strict paysage européen. Mais il rencontre aussi des difficultés à l’intérieur même de l’Union européenne.
Les difficultés
20La « cohérence juridique » du programme européen en matière de technologies de sécurité se heurte à des difficultés d’ordre technique mais aussi à la réticence de certains Etats : le fait d’instituer entre les Etats des normes techniques identiques n’est pas encore acquis 26, pas plus que la possibilité de connexion, nécessaire au fonctionnement commun des bases de données en matière de sécurité. Face à ces difficultés, la Commission a publié deux textes :
21- l’un sur « le renforcement de l’efficacité et de l’interopérabilité des bases de données européennes dans le domaine de la justice et des affaires intérieures et sur la création de synergie entre ces bases » (communication de la Commission, 24 novembre 2005), position que le CEPD avait déjà critiqué sévèrement :
« La Commission considère que l’interopérabilité est un concept technique plutôt que juridique et politique. Cette confusion est déroutante et ne sert qu’à éviter les questions fondamentales. Les systèmes interopérables augmentent les risques pour les citoyens […] il est essentiel d’examiner cela avec plus de prudence et de ne pas cacher la problématique derrière sa technicité ».
22- l’autre est une proposition de décision-cadre tout-à-fait significative, visant l’échange d’information en vertu du principe de disponibilité 27. Ce très diplomatique « principe de disponibilité » est en quelque sorte une réponse de repli, une proposition a minima face aux difficultés que rencontre l’UE dans son processus de « cohérence juridique » en matière de sécurité. Le principe de disponibilité est conçu comme étant un nouveau principe juridique important, la proposition de la Commission « ne s’inspir[ant] pas d’un modèle existant ; elle recommande au contraire une toute nouvelle approche » qui serait introduite par le programme de La Haye « selon lequel les informations nécessaires dans le cadre de la lutte contre la criminalité doivent pouvoir traverser sans entraves les frontières extérieures de l’UE ». Sont visées notamment, de manière nouvelle, les connexions entre des fichiers nationaux en matière génétique 28. Le très diplomatique « principe de disponibilité » apparaît néanmoins être une création juridique destinée à pallier les obstacles de tous ordres existant face à son objectif de « cohérence juridique », et surtout face aux réticences de certains Etats membres.
23En effet, antérieurement à ces textes, impatients face à la lenteur de la mise en place d’une coopération plus effective entre les Etats, ou au contraire désireux de contourner les difficultés et surtout les contraintes de la mise en œuvre de la « cohérence juridique » réclamée par l’Union européenne, sept Etats membres ont décidé de mettre en œuvre entre eux, dans le cadre d’un traité classique, des mesures leur permettant d’effectuer de tels échanges de données biométriques : le 27 mai 2005, un traité est signé par sept Etats de l’Union à Prüm, parfois désigné comme le « Schengen III », selon le processus qui avait déjà été suivi pour le premier accord de Schengen, donc en dehors de l’Union européenne 29. L’objectif du traité est d’assurer une coopération transfrontalière efficace entre ces pays dans la lutte et la poursuite contre la criminalité grave. Dans ce but, le traité de Prüm vise à faciliter et à accélérer l’échange d’informations entre les autorités de poursuite des Etats parties au traité 30, notamment la recherche et comparaison automatisées des profils d’ADN dans la base de données des autres parties contractantes 31.
24Ce contournement patent des obligations liées au programme européen de « cohérence juridique » rappelle que cet objectif de cohérence vise aussi à mettre en place des normes en matière de protection des droits fondamentaux, sans doute conçues a minima mais ayant le mérite d’exister et surtout de pouvoir être contrôlées par un juge, la Cour de justice des communautés européennes. Or, l’absence de fonctionnement démocratique dans le cadre de Schengen a souvent été dénoncée et l’on peut penser que, sans institution européenne encadrant le fonctionnement du traité de Prüm, on se heurtera aux mêmes insuffisances.
25En conclusion, on se réfèrera aux nouveaux objectifs des projets de recherche consacrés à la biométrie financés par la Commission européenne dans le cadre du BITE. Selon J.-M. Manach :
« la Commission européenne, après avoir financé 28 projets de recherche consacrés à la biométrie entre 1998 à 2003, s’était en effet aperçu que la majeure partie d’entre eux faisaient part de leur besoin d’un corpus éthique en la matière, qu’il s’agisse des implications de la centralisation de données biométriques, ou encore des risques de détournement de telles informations ».
26C’est pourquoi elle a procédé à une consultation publique d’experts dans ce domaine jusqu’au 13 juin 2006, consultation dont elle attend les conclusions. Il semble que la précipitation des institutions européennes et des Etats à recourir à la biométrie se heurte désormais à des difficultés tant d’ordre technique (ainsi, le recours aux visas biométriques intégrés dans les passeports a été abandonné) que dans le domaine de la protection des droits fondamentaux, avec l’émergence d’une résistance nouvelle des individus, dont il ne faut toutefois pas surestimer les effets.
Notes
Article 23 Formalités de douane et d’immigration. Chaque Etat contractant s’engage, dans la mesure où il le juge réalisable, à établir des règlements de douane et d’immigration intéressant la navigation aérienne internationale, conformément aux pratiques qui pourraient être établies ou recommandées en vertu de la présente Convention.
Article 37 Adoption de normes et procédures internationales. Chaque Etat contractant s’engage à prêter son concours pour atteindre le plus haut degré réalisable d’uniformité dans les règlements, les normes, les procédures et l’organisation relatifs aux aéronefs, au personnel, aux voies aériennes et aux services auxiliaires, dans toutes les matières pour lesquelles une telle uniformité facilite et améliore la navigation aérienne.
A cette fin, l’OACI adopte et amende, selon les nécessités, les normes, pratiques recommandées et procédures internationales traitant des sujets suivants : […] b/ caractéristiques des aéroports et des aires d’atterrissage ; […] j/ formalités de douane et d’immigration […] et, lorsqu’il paraît approprié de le faire, de tout autre sujet intéressant la sécurité, la régularité et l’efficacité de la navigation aérienne ».
Pour citer cet article
Référence papier
Sylvia Preuss-Laussinotte, « L’Union européenne et les technologies de sécurité », Cultures & Conflits, 64 | 2006, 97-108.
Référence électronique
Sylvia Preuss-Laussinotte, « L’Union européenne et les technologies de sécurité », Cultures & Conflits [En ligne], 64 | hiver 2006, mis en ligne le 06 mars 2007, consulté le 19 mars 2024. URL : http://journals.openedition.org/conflits/2142 ; DOI : https://doi.org/10.4000/conflits.2142
Haut de pageDroits d’auteur
Le texte seul est utilisable sous licence CC BY-NC-ND 4.0. Les autres éléments (illustrations, fichiers annexes importés) sont « Tous droits réservés », sauf mention contraire.
Haut de page