B. LES SYSTÈMES EN PROJET DONT LA GESTION POURRAIT EVENTUELLEMENT ÊTRE CONFIEE A L'AGENCE EU-LISA
1. le système entrée/sortie et le programme d'enregistrement des voyageurs
Le système entrée/sortie, dit EES ( entry-exit system ) et le programme d'enregistrement des voyageurs, dit RTP ( registered traveller program ) sont des projets figurant dans le « programme de Stockholm » adopté par le Conseil européen en 2009 et repris dans le paquet « frontières intelligentes » ( smart borders ) proposé par la Commission en 2013, constitué par trois projets de règlements 9 ( * ) .
Le principal objectif poursuivi par le projet « frontières intelligentes » est de lutter contre l'immigration clandestine. Le constat a été fait que la principale source de l'immigration clandestine provient de personnes entrées légalement dans l'Union européenne qui dépassent la durée de séjour autorisée (les « overstayers »). Or le système VIS ne contient pas de données sur l'entrée et la sortie des voyageurs, d'où la nécessité d'un système d'enregistrement entrée/sortie.
La proposition comporte ainsi deux volets :
(1) un système d'enregistrement des entrées et sorties des ressortissants de pays tiers admis pour un court séjour (système EES) . Le système reposerait sur l'enregistrement automatique des dates d'entrée et de sortie en lieu et place du système actuel d'apposition de cachets sur les documents de voyage. Il concernerait tant les personnes soumises à l'obligation de visa que les personnes exemptées. Il permettrait de connaître en temps réel les personnes dont la durée de séjour autorisée sur le territoire européen est expirée.
(2) en contrepartie, un système d'enregistrement préalable pour les voyageurs fréquents, leur permettant de rentrer par une procédure accélérée (système RTP). Les voyageurs fréquents (tels que les hommes d'affaires, étudiants, travailleurs transfrontaliers...) devraient déposer une demande auprès du consulat de n'importe quel Etat membre ou à n'importe quel point de passage des frontières extérieures. Ils seraient ainsi soumis à un contrôle de sécurité préalable qui leur permettrait ensuite de franchir plus rapidement les frontières.
L'intérêt du programme RTP est qu'il constitue une voie médiane entre obligation de visa et exemption d'obligation de visa. L'exemption d'obligation permet de libéraliser les flux d'entrée et de sortie mais entraîne une perte d'information au sujet des personnes admises sur le territoire
Que contiendraient les bases de données ?
Système EES : un dossier individuel contenant des données alphanumériques relatives à l'état civil et aux documents de voyage et des données biométriques (10 empreintes digitales), créé lors du premier franchissement d'une frontière extérieure de l'Union européenne, et une fiche associée au dossier comportant la date et le point d'entrée ou de sortie de l'Espace Schengen, créée à chaque entrée ou sortie de l'Union européenne.
Système RTP : un dossier individuel contenant des données alphanumériques et des données biométriques (4 empreintes digitales) constitué lors de l'instruction de la demande d'admission au programme.
Comme pour EURODAC, l'éventualité que la base de données soit ouverte dans un second temps aux services répressifs ne peut être exclue. À ce sujet, le Sénat a adopté en avril 2013 une résolution européenne selon laquelle « si un accès au système entrée/sortie pour les services répressifs devait être ouvert ultérieurement, un tel changement de finalité du système devrait être précédé d'une évaluation rigoureuse des dispositifs existants. »
Un projet-pilote a été mené par Eu-LISA de mars à septembre 2015 pour tester la faisabilité du système et répondre aux interrogations du Parlement européen et du Conseil concernant le coût de construction des deux systèmes, qui dépasserait le milliard d'euros.
La Commission européenne devrait présenter prochainement une nouvelle proposition tenant compte des résultats de l'expérimentation.
2. Le programme de surveillance du financement du terrorisme
Le programme européen de surveillance du financement du terrorisme consisterait en un recueil des données de messagerie financière de la société SWIFT (société de droit belge en position quasi-monopolistique dans le domaine des messages financiers) dans le but d'identifier, de suivre la trace et de poursuivre en justice les terroristes et leurs réseaux en s'appuyant sur leurs circuits financiers.
Un tel programme d'accès aux « données SWIFT » a été mis en place aux Etats-Unis après les attentats du 11 septembre 2001. Ce programme, dit TFTP ( terrorist finance tracking program ) s'était d'abord opéré hors de tout cadre juridique formalisé entre les Etats-Unis et l'Union européenne. En 2010, un accord a été signé entre l'Union européenne et les Etats-Unis (accord SWIFT, ou TFTP USA-UE) qui encadre l'accès par les Etats-Unis aux données de la société SWIFT. Dans le cadre de cet accord, les Etats-Unis coopèrent avec l'Union européenne en partageant avec les services des Etats membres et de l'Union les données susceptibles de contribuer à la prévention ou la répression du terrorisme.
L'Union européenne ne dispose donc pas pour l'heure de son propre système de recueil de données de messagerie financière mais dépend des Etats-Unis pour l'accès à ce type de données. À l'avenir, l'Union européenne pourrait se doter de son propre programme de surveillance du financement du terrorisme. Dans une étude dédiée à la question, la Commission européenne a estimé que l'intérêt de créer un système de ce type au sein de l'Union européenne n'était pas clairement démontré , l'accord entre l'Union européenne et les Etats-Unis offrant un cadre suffisant et le coût de la mise en place d'un tel système étant élevé, mais le projet a été récemment réévoqué.
Dans un rapport d'avril 2015 (rapport n°388 « Filières djihadistes » : pour une réponse globale et sans faiblesses), le Sénat a recommandé de « Créer un programme européen de surveillance du financement du terrorisme fondé sur un accès régulé aux données SWIFT » (proposition n°43).
3. Le PNR
Le fichier des données de passagers aériens, ou PNR ( passenger name record ) est un projet débattu depuis 2007 mais qui n'avait pas abouti jusqu'à ce que la commission des libertés civiles du Parlement européen finisse par l'approuver en décembre 2015 . Il doit encore être voté par le Parlement en session plénière avant d'être adopté.
Le projet de directive approuvé par la commission des libertés civiles du Parlement européen prévoit que les compagnies aériennes devront transmettre 19 données sur les passagers de vols extra-européens (d'un pays tiers vers un pays de l'Union, et vice-versa). Les Etats pourront, s'ils le souhaitent, appliquer ces dispositions aux vols intra-européens mais n'y sont pas contraints.
Les données enregistrées concerneront l'identité du passager, son numéro de téléphone, son adresse électronique, la manière dont il a payé son billet, le numéro de celui-ci, le numéro de siège, ses bagages, son éventuel programme de fidélité ou «?voyageur fréquent?», etc.
Une liste des infractions a été établie qui inclut par exemple la traite d'êtres humains, la participation à une organisation criminelle, la cybercriminalité, la pédopornographie ou encore le trafic d'armes.
Les données seront conservées pendant six mois . Elles seront «?masquées?» à l'issue de ce délai, puis effacées après cinq années. Dans l'intervalle, elles seront accessibles sous le contrôle d'une autorité judiciaire nationale, à des conditions «?très strictes et limitées?».
Les services de police et de renseignement nationaux n'auront pas accès directement aux données, mais devront passer par une « unité de renseignement passagers » désignée au niveau national, qui sera responsable de la collecte et de l'analyse des données.
Le projet de PNR européen permettrait ainsi une harmonisation des pratiques de collecte et de traitement des données de passagers aériens par les Etats membres et un partage de ces données entre les Etats. Plusieurs Etats ont en effet déjà institué des PNR nationaux, mais ceux-ci ne sont pour l'heure pas connectés entre eux. En France, la loi de programmation militaire de 2013 a ainsi établi à titre expérimental un PNR national, dénommé « système API-PNR ».
Dans le cadre du système PNR européen, les données de passagers aériens seraient collectées par les Etats membres de manière systématique et harmonisée, puis partagées entre les Etats. Les modalités du partage des données PNR entre Etats membres ne sont pas encore déterminées. Le partage pourrait s'effectuer de manière bilatérale, ou bien de manière centralisée. Dans ce dernier cas, il est possible que l'agence Eu-LISA soit en charge de la gestion technique du système .
Le Sénat a présenté en février 2015 une proposition de résolution européenne dans laquelle il « considère que, eu égard à la gravité des menaces terroristes de toute nature qui pèsent sur nos sociétés, il importe désormais de se doter rapidement d'un système PNR européen ».
* 9 Un règlement établissant un système d'entrée/sortie (EES), un règlement établissant un programme d'enregistrement des voyageurs (RTP) et un règlement modifiant le Code frontières Schengen pour y incorporer le fonctionnement de ces deux systèmes.