Des appareils portables équipés de lecteurs d’empreintes digitales et d’images faciales, pour permettre aux policiers de traquer des terroristes : ce n’est plus de la science-fiction, mais un projet européen en train de devenir réalité. Le 5 février 2019, un accord préliminaire sur l'interopérabilité des systèmes d'information au niveau du continent a ainsi été signé.

Il doit permettre l'unification de six registres avec des données d'identification alphanumériques et biométriques (empreintes digitales et images faciales) de citoyens non membres de l'UE. En dépit des nombreuses réserves émises par les Cnil européennes.

Giovanni Buttarelli, contrôleur européen de la protection des données, a qualifié cette proposition de « point de non-retour » dans le système de base de données européen. En substance, les registres des demandeurs d'asile (Eurodac), des demandeurs de visa pour l'Union européenne (Visa) et des demandeurs (système d'information Schengen) seront joints à trois nouvelles bases de données mises en place ces derniers mois, toutes concernant des citoyens non membres de l'UE.

Pourront ainsi accéder à la nouvelle base de données les forces de police des États membres, mais aussi les responsables d'Interpol, d'Europol et, dans de nombreux cas, même les gardes-frontières de l'agence européenne Frontex. Ils pourront rechercher des personnes par nom, mais également par empreinte digitale ou faciale, et croiser les informations de plusieurs bases de données sur une personne.

L’infographie diffusée par le Conseil pour défendre son projet.

« L’interopérabilité peut consister en un seul registre avec des données isolées les unes des autres ou dans une base de données centralisée. Cette dernière hypothèse peut comporter des risques graves de perte d'informations sensibles, explique Buttarelli. Le choix entre les deux options est un détail fondamental qui sera clarifié au moment de la mise en œuvre. »

Le Parlement européen et le Conseil doivent encore approuver officiellement l’accord, avant qu’il ne devienne législation.

Les risques de la méga base de données

« J'ai voté contre l’interopérabilité parce que c’est une usine à gaz qui n’est pas conforme aux principes de proportionnalité, de nécessité et de finalité que l’on met en avant dès lors qu’il peut être question d’atteintes aux droits fondamentaux et aux libertés publiques, assure Marie-Christine Vergiat, députée européenne, membre de la commission des libertés civiles. On mélange tout : les autorités de contrôle aux frontières et les autorités répressives par exemple, alors que ce ne sont pas les mêmes finalités. »

La proposition de règlement, élaborée par un groupe d'experts de haut niveau d'institutions européennes et d'États membres, dont les noms n'ont pas été révélés, avait été présentée par la Commission en décembre 2017, dans le but de prévenir les attaques terroristes et de promouvoir le contrôle aux frontières.

Les institutions de l'UE sont pourtant divisées quant à son impact sur la sécurité des citoyens : d'un côté, Krum Garkov, directeur de Eu-Lisa – l'agence européenne chargée de la gestion de l'immense registre de données –, estime qu’elle va aider à prévenir les attaques et les terroristes en identifiant des criminels sous de fausses identités. De l’autre côté, Giovanni Buttarelli met en garde contre une base de données centralisée, qui risque davantage d'être visée par des cyberattaques. « Nous ne devons pas penser aux simples pirates, a-t-il déclaré. Il y a des puissances étrangères très intéressées par la vulnérabilité de ces systèmes. »

L’utilité pour l’antiterrorisme : les doutes des experts

L'idée de l'interopérabilité des systèmes d'information est née après le 11-Septembre. Elle s'est développée en Europe dans le contexte de la crise migratoire et des attentats de 2015, et a été élaborée dans le cadre d'une relation de collaboration étroite entre les institutions européennes chargées du contrôle des frontières et l'industrie qui développe les technologies pour le mettre en œuvre.

« L’objectif de lutte contre le terrorisme a disparu : on parle maintenant de “fraude à l'identité”, et l’on mélange de plus en plus lutte contre la criminalité et lutte contre l’immigration dite irrégulière, ajoute Vergiat. J’ai participé à la commission spéciale du Parlement européen sur la lutte contre le terrorisme ; je sais donc que le lien entre terrorisme et immigration dite irrégulière est infinitésimal. On compte les cas de ressortissants de pays tiers arrêtés pour faits de terrorisme sur les doigts d'une main. »

Dans la future base de données, « un référentiel d’identité unique collectera les données personnelles des systèmes d’information des différents pays, tandis qu’un détecteur d’identités multiples reliera les différentes identités d’un même individu », a déclaré le directeur d’Eu-Lisa, lors de la conférence annuelle de l'Association européenne de biométrie (European Association for Biometrics – EAB) qui réunit des représentants des fabricants des technologies de reconnaissance numérique nécessaires à la mise en œuvre du système.

« Lors de l'attaque de Berlin, perpétrée par le terroriste Anis Amri, nous avons constaté que cet individu avait 14 identités dans l'Union européenne, a-t-il expliqué. Il est possible que, s'il y avait eu une base de données interopérable, il aurait été arrêté auparavant. »

Cependant, Reinhard Kreissl, directeur du Vienna Centre for Societal Security (Vicesse) et expert en matière de lutte contre le terrorisme, souligne que, dans les attentats terroristes perpétrés en Europe ces dix dernières années, « les auteurs étaient souvent des citoyens européens, et ne figuraient donc pas dans des bases de données qui devaient être unifiées. Et tous étaient déjà dans les radars des forces de police ».

« Tout agent des services de renseignement sérieux admettra qu'il dispose d'une liste de 1 000 à 1 500 individus dangereux, mais qu’il ne peut pas les suivre tous, ajoute Kreissl. Un trop-plein de données n’aide pas la police. »

« L'interopérabilité coûte des milliards de dollars et l'intégration de différents systèmes n'est pas aussi facile qu'il y paraît », déclare Sandro Gaycken, directeur du Digital Society Institute à l’Esmt de Berlin. « Il est préférable d'investir dans l'intelligence des gens, dit l'expert en cyberintelligence, afin d'assurer plus de sécurité de manière moins intrusive pour la vie privée. »

Le budget frontière de l'UE augmente de 197 %

La course aux marchés publics pour la mise en place de la nouvelle base de données est sur le point de commencer : dans le chapitre consacré aux dépenses « Migration et contrôle des frontières » du budget proposé par la Commission pour la période 2021-2027, le fonds de gestion des frontières a connu une augmentation de 197 %, tandis que la part consacrée aux politiques de migration et d'asile n'a augmenté, en comparaison, que de 36 %.

En 2020, le système Entry Exit (Ees, ou SEE, l'une des trois nouvelles bases de données centralisées avec interopérabilité) entrera en vigueur. Il oblige chaque État membre à collecter les empreintes digitales et les images de visages de tous les citoyens non européens entrant et sortant de l'Union, et d’alerter lorsque les permis de résidence expirent.

Cela signifie que chaque frontière, aéroportuaire, portuaire ou terrestre, doit être équipée de lecteurs d'empreintes digitales et d'images faciales. La Commission a estimé que ce SEE coûterait 480 millions d'euros pour les quatre premières années. Malgré l’énorme investissement de l’Union, de nombreuses dépenses resteront à la charge des États membres.

Ce sera ensuite au tour d’Etias (Système européen d’information de voyage et d’autorisation), le nouveau registre qui établit un examen préventif des demandes d’entrée, même pour les citoyens de pays étrangers qui n’ont pas besoin de visa pour entrer dans l’UE. Cette dernière a estimé son coût à 212,1 millions d'euros, mais le règlement, en plus de prévoir des coûts supplémentaires pour les États, mentionne des « ressources supplémentaires » à garantir aux agences de l'UE responsables de son fonctionnement, en particulier pour les gardes-côtes et les gardes-frontières de Frontex.

C'est probablement la raison pour laquelle le budget proposé pour Frontex a plus que triplé pour les sept prochaines années, pour atteindre 12 milliards d'euros. Le tout dans une ambiance de conflits d’intérêts entre l’agence européenne et l’industrie de la biométrie.

Un membre de l'unité recherche et innovation de Frontex siège ainsi au conseil d'administration de l'Association européenne de biométrie (EAB), qui regroupe les principales organisations de recherche et industrielles du secteur de l'identification numérique, et fait aussi du lobbying. La conférence annuelle de l'association a été parrainée par le géant biométrique français Idemia et la Security Identity Alliance.

L’agente de recherche de Frontex et membre du conseil d’EAB Rasa Karbauskaite a ainsi suggéré à l'auditoire de représentants de l'industrie de participer à la conférence organisée par Frontex avec les États membres : « L’occasion de montrer les dernières technologies développées. » Un représentant de l'industrie a également demandé à Karbauskaite d'utiliser son rôle institutionnel pour faire pression sur l'Icao, l'agence des Nations unies chargée de la législation des passeports, afin de rendre les technologies de sécurité des données biométriques obligatoires pour le monde entier.

La justification est toujours de « protéger les citoyens européens du terrorisme international », mais il n'existe toujours aucune donnée ou étude sur la manière dont les nouveaux registres de données biométriques et leur interconnexion peuvent contribuer à cet objectif.