Antiterrorisme: serons-nous bientôt tous fichés par l'Europe?

À l'aéroport de Madrid-Barajas, en janvier 2013. DOMINIQUE FAGET/AFP.

À l'aéroport de Madrid-Barajas, en janvier 2013. DOMINIQUE FAGET/AFP.

Après les attentats à Bruxelles ce mardi 22 mars, le ministre de l'Intérieur Bernard Cazeneuve a annoncé vouloir accélérer la mise en place du PNR (Passenger Name Record) soit la base de données comprenant l'ensemble des informations collectées par les compagnies aériennes lors de la réservation d’un vol ou de l’enregistrement.

D'abord publié en février 2016, cet article a été mis à jour le 22 mars.

 

Bruxelles (Belgique)

Le 25 janvier 2016, à La Haye (Pays-Bas), le gratin européen de la sécurité lançait officiellement son «centre antiterrorisme», chapeauté par Europol, l’office de police criminelle des pays de l’Union européenne. Ce centre comptera, parmi ses missions, celle de faciliter le partage d’informations entre les Etats.

Depuis les attentats parisiens de 2015, la nécessité d’un meilleur partage des informations est montée d’un cran dans l’agenda politique. Elle est même devenue une priorité, tant les lacunes en ce domaine avaient été fatales. «Notre ambition est de devenir le centre névralgique du partage d’informations dans la lutte contre le terrorisme au sein de l’Union européenne», a déclaré Rob Wainwright, le directeur d'Europol. Une ambition sur laquelle il n’aura que peu de prises tant le partage dépend du bon vouloir des Etats, la sécurité nationale touchant au cœur de la souveraineté.

Ce «bon vouloir» des Etats a tout de même généré en une dizaine d’années la création de très nombreuses bases de données dans le domaine de la lutte contre la criminalité, le terrorisme et l’immigration irrégulière, rendant d’ailleurs très poreuses la différenciation entre les unes et les autres.

Le nombre de données récoltées ne cesse d’augmenter. Il y a des réseaux d’échanges de données, comme Europol, dans lequel les polices nationales peuvent insérer des entrées relatives aux personnes suspectées ou condamnées pour des crimes ou délits. Il existe aussi des bases de données européennes centralisées, à l’instar du Système d’information Schengen deuxième génération (SIS II), dont le but est de signaler des personnes ou objets afin de lutter contre la criminalité. Notons aussi l’existence d’Ecris, le fichier d’échange des casiers judiciaires, ou le Visa information système (VIS), qui rassemble toutes les données relatives aux demandes de visa pour entrer dans l’espace Schengen.

Accès aux données d'individus non suspects

Alors que ce type de récolte de données n’est pas optimal, l’Union européenne se lance aujourd’hui dans un autre type de collecte, qui dépasse largement le cadre des personnes condamnées ou suspectées. Une collecte de données personnelles qui s’appliquera d’abord à toute personne qui prendra l’avion, puis probablement à toute personne qui voyagera en dehors de l’espace Schengen. «Il existe aujourd’hui une tendance à donner à la police un accès à des données d’individus qui ne sont pas, a priori, suspectés d’avoir commis un quelconque crime», témoigne un fonctionnaire européen. Et c’est bien là le changement majeur.

Un changement d’objectif et d’échelle qui se résume en trois lettres, PNR, acronyme de Passenger Name Record (données des dossiers passagers). Ces données commerciales collectées par les transporteurs aériens lors de l’enregistrement et la réservation d’un vol, les autorités des 28 Etats membres les désiraient ardemment. Les attentats de Paris ont eu raison, après des années de discussions, des dernières résistances d’eurodéputés qui mettaient en avant la protection de la vie privée ou l’absence d’efficacité prouvée d’un tel dispositif dans la lutte contre le terrorisme. Un accord avait finalement été trouvé entre le «Conseil», les représentants des Etats et le représentant du Parlement européen, le 2 décembre 2015. Un accord avait été atteint en Commission des libertés civiles le 10 décembre. Il restait à obtenir un vote en séance plénière, à Strasbourg, plusieurs fois retardé. Début mars, Le Monde écrivait: «Les élus sociaux-démocrates, libéraux et écologistes se sont mis d’accord sur un report du vote à avril ou mai, au plus tôt : ils continuent à réclamer que soit adopté, parallèlement au PNR, un projet sur la protection des données personnelles. Cette revendication, formulée depuis le début, avait été un peu éclipsée à la suite de l’émotion engendrée par les attaques à Paris et à Saint-Denis.» Après les attentats de Bruxelles, l'émotion revient, et le ministre de l'Intérieur en France, Bernard Cazeneuve, revenait à la charge sur le projet quelques heures seulement après l'attentat: 

Les partisans du PNR voient dans l’analyse de ces données un outil utile pour retracer les parcours des terroristes après leurs forfaits. Les plus fervents supporters de ce fichier espèrent même que l’analyse des données permettra de repérer des comportements anormaux afin d’anticiper d’éventuels crimes graves. Un scenario à la Minority Report que rien n’étaye pour l’instant.

Si ces fichiers seront au départ atomisés (les 28 Etats devront mettre en place leur PNR national, sans que les données ne soient pour l’instant centralisées), le projet fait l’objet de vifs reproches de la part des défenseurs des libertés civiles. «Il s’agirait de la première collecte indiscriminée et à grande échelle de données personnelles dans l’histoire de l’Union européenne», a estimé le contrôleur européen de la protection des données, Giovani Buttarelli. «Ce texte instaure une surveillance généralisée de personnes qui, a priori, ne sont pas suspectes. Une telle surveillance avait pourtant été critiquée par la Cour de justice européenne», glisse une source européenne.

Une critique qu’on trouve dans l’arrêt dit data retention, qui invalida, le 8 avril 2014, la directive de «conservation des données». Saint Graal des défenseurs de la vie privée et de la protection des données, cet arrêt rappelle que toute intrusion dans la vie privée doit être proportionnée et nécessaire. La directive européenne sur la conservation des données prévoyait la transmission par les opérateurs de télécommunications des données de leurs clients aux autorités. «Une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données», a jugé la Cour dans un communiqué.

Au vu de cet arrêt, il n’est pas impossible que le PNR subisse le même sort. «Pour la Cour de justice, la surveillance de masse n’est pas proportionnelle dans une société démocratique, alors pourquoi empiler ainsi les bases de données?», interpelle Julien Jeandesboz, du Centre de recherche et d’enseignement en politique internationale (Repi) de l’Université libre de Bruxelles.

«Plus-value»

Au projet de PNR devrait s’ajouter, ces prochains mois, un nouveau fichier appelé «Système d’entrées et sorties» de l’espace Schengen, conçu dans le cadre d’une initiative législative intitulée «Frontières intelligentes» (Smart borders), dont la nouvelle mouture sera présentée au printemps. Initialement conçu comme un outil de comptage et de possible détection des étrangers ayant dépassé la durée de leur séjour légal en Europe, ce fichier des entrées et sorties de l’espace Schengen pourrait s’étendre à tous les voyageurs européens à des fins de lutte antiterroriste.

Encore un énorme fichier aux centaines de millions d’entrées et qui, lui aussi, suscite des commentaires préoccupés du contrôleur européen de la protection des données. Conserver des montagnes de données «au cas où» lui pose problème. Pour l’équipe de Giovani Buttarelli, avant d’adopter de telles bases de données, une évaluation en profondeur de leur plus-value «comparée à celle que donne l’accès à des bases de données biométriques déjà existantes» devrait être menée.

Cette question de la «plus-value» est posée par de nombreux députés européens, plutôt dans les rangs des Verts, des libéraux et chez certains socialistes ou sociaux-démocrates. Pour Tanja Fajon, eurodéputée slovène, vice-présidente du groupe socialiste et démocrate et qui fut rapporteure du projet de fichier d’entrées et sorties de l’espace Schengen, «le partage d’informations est certainement une clé» dans la lutte contre le terrorisme. Mais elle insiste sur le bon fonctionnement des «systèmes déjà existants» car en «adoptant ce type de nouvelles bases de données, nous devons nous demander jusqu’à quel point nous sommes prêts à sacrifier notre droit à la vie privée».

Certaines sources européennes impliquées dans la lutte contre le terrorisme considèrent ces bases de données, qu’il s’agisse des smart borders ou du PNR, comme les «différentes pièces d’un puzzle permettant de lutter contre le terrorisme, de contrôler les frontières et de préserver la liberté de circulation». Pour le Français Arnaud Danjean, eurodéputé Les Républicains et spécialiste des questions de sécurité, «si la création de fichiers respecte le cadre légal de protection des données, leur utilisation peut être très utile. Il y a besoin de données pour assurer la traçabilité des terroristes, mais ces fichiers doivent être alimentés et bien utilisés. Là il y a des progrès à faire, tout comme dans l’harmonisation des données insérées».

Parmi les bases de données existantes sur lesquelles des efforts doivent être faits en priorité, on pense vite au SIS II, le système d’information Schengen. Cette base de données a été particulièrement mise en défaut après le 13 novembre, lorsque Salah Abdeslam, l’un des auteurs des attaques de Paris, toujours en cavale aujourd’hui, avait pu franchir trois contrôles d’identité sans problème malgré son inscription sur ce fichier. Aujourd’hui, il n’existe pas d’évaluation précise de SIS II: celle-ci est attendue en 2016 avant une réforme prévue pour la fin d’année.

Les ministres de l’Intérieur et de la Justice, réunis en Conseil le 20 novembre, avaient insisté pour que ce fichier soit davantage rempli par les services de police nationaux et surtout davantage consulté lors de contrôles. C’est d’ailleurs le cas, affirment plusieurs sources européennes selon lesquelles le nombre de personnes signalées en Europe devrait augmenter considérablement en 2015. En 2014, les polices européennes avaient signalé 797.764 personnes, un chiffre en baisse par rapport à 2013, où l’on comptait 861.900 signalements.

Interopérabilité

Au sein de la communauté des experts, les avis sont partagés. Anne Weyembergh, spécialiste de l’antiterrorisme à l’ULB, constate que les «banques de données à caractère personnel sont de plus en plus nombreuses». Selon elle, cela n’est pas forcément un «problème en soi, car la criminalité transnationale a une longueur d’avance sur les polices des Etats membres. Ce qui compte, c’est l’encadrement de ces bases de données, qui a accès à quelle base, quelle utilisation des données est faite, pour combien de temps».

Il s’agirait donc de trouver l’équilibre entre l’efficacité et la garantie d’une protection des données à caractère personnel, ce que confirme Axel Dyèvre, du think-tank bruxellois CEIS, très impliqué dans les questions d’antiterrorisme:

«Les technologies doivent rester un moyen pour atteindre une fin. Certaines bases de données sont utiles, ne serait-ce que pour comprendre et contrôler les mouvements suspects dans un espace de libre circulation. Ensuite, il existe des solutions techniques pour protéger les données, comme l’anonymisation de ces dernières.»

Parmi les règles existantes figure celle de la «limitation des finalités», l’une des pierres angulaires de la protection des données, dont le cadre juridique vient d’être renouvelé par les institutions européennes («des finalités déterminées, explicites et légitimes»). Des données récoltées légalement dans un cadre ne devraient pas, ensuite, être utilisées dans d’autres cadres. Telle est la règle mais, non seulement les Etats ont une certaine latitude dans l’application de celle-ci, mais même au niveau européen, les choses changent. Des défenseurs des droits de l’homme ont par exemple trouvé dérangeant qu'Europol soit autorisé à accéder au fichier Eurodac. Celui-ci avait été conçu dans le cadre d’une application des règles européennes sur l’asile: en ouvrant son accès à un organe de police criminelle, on change la teneur de la récolte de ces données.

Aujourd’hui, l’atmosphère est à «l’interopérabilité», comme on peut le lire dans les rapports du Groupe de travail du conseil de l’Union européenne sur l’échange d’informations et la protection: en gros, la création de liens entre toutes ces données récoltées. Pour Arnaud Danjean, il est nécessaire de «décloisonner tous ces fichiers, sans non plus créer un  fichier unique regroupant toutes ces données ensemble».  Car le risque est bien réel de se retrouver un jour avec une giga-base de données mélangeant fichier PNR, frontières intelligentes, Eurodac et bien d’autres, rendant beaucoup plus floues les conditions d’utilisation des données de tout un chacun. «Il existe aujourd’hui des demandes pour croiser l’ensemble de ces données afin de rendre leur utilisation plus efficace, de dégager des profils», confirme une source européenne.

Un projet qui, paraît-il, tiendrait à cœur à la présidence néerlandaise, mais qui susciterait des réactions virulentes des défenseurs des droits de l'homme. D’autres sources proches du dossier se veulent plus rassurantes:

«Ce n’est pas à l’ordre du jour pour l’instant. L’objectif est de donner accès à certaines données à davantage d’agences. De permettre aussi, par exemple, à des gardes-frontières d’accéder à plusieurs bases de données en même temps lors d’un contrôle. Elles seraient toujours séparées, mais plus facilement consultables.»

En attendant, avec le PNR et bientôt le système d’entrée et de sortie de l’espace Schengen, l’Union européenne et ses Etats membres franchissent un cap dans la surveillance de masse. Sans savoir précisément si celle-ci est efficace.

Partager cet article