Gestion opérationnelle du SIS II et du VIS

Nous sommes saisis de deux textes qui ont pour objet de créer une nouvelle agence. Cette agence serait chargée de la gestion opérationnelle des systèmes d'information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice.

1. Quelle est la situation actuelle ?

Depuis un certain nombre d'années, l'Union européenne s'est dotée de plusieurs systèmes d'information dans le cadre de l'espace de liberté, de sécurité et de justice.

Le système d'information Schengen (le « SIS ») relie entre eux les États participant aux accords de Schengen. Il est opérationnel depuis 1995. Il constitue la contrepartie de la libre circulation des personnes au sein de l'espace Schengen. Il contient environ 30 millions de signalement. Le SIS est composé d'une partie nationale dans chaque État membre et d'une structure de support centrale, installée depuis l'origine à Strasbourg et dont la gestion technique est assurée par la France pour le compte des autres États membres. Une base de données de sauvegarde est située en Autriche à Saint Johann Im Pongau près de Salzbourg.

Depuis plusieurs années, des travaux ont été engagés pour créer un SIS de deuxième génération qui serait doté de nouvelles fonctionnalités comme les photographies et les empreintes. Je vous ai rendu compte de ces travaux dans de précédentes communications. J'avais eu l'occasion de souligner les retards constatés et les difficultés auxquelles se heurtait ce projet dont la réalisation a été confiée à la Commission européenne. Où en est-on aujourd'hui ? Deux tests ont été programmés. Ils devraient avoir lieu à la fin de l'année et à la mi-2010. En cas d'échec du premier test, le SIS II serait abandonné. Dans cette hypothèse, une solution alternative serait mise en oeuvre en s'appuyant sur le SIS actuel. La France travaille déjà avec la Commission européenne sur ce scénario alternatif.

Le Système d'information sur les visas (VIS) a lui été créé en 2008. Il doit permettre des échanges d'information sur les visas pour les séjours de courte durée, dans le but notamment de simplifier les procédures de demandes de visa, de prévenir le « visa shopping » et de faciliter les contrôles aux frontières. Sa mise en fonction a aussi pris du retard. Elle pourrait intervenir au second semestre 2010.

EURODAC a été créé en 2000. Il permet la comparaison des empreintes digitales des demandeurs d'asile afin de faciliter l'application des règles prévues par le règlement dit de Dublin pour déterminer l'État responsable de l'examen d'une demande d'asile.

D'autres systèmes d'information sont par ailleurs envisagés. Je mentionnerai le système entrées-sorties. Ce système aurait vocation à enregistrer automatiquement le lieu et la date d'entrée et de sortie des ressortissants des pays tiers admis pour un court séjour, qu'ils soient soumis ou non à visa. Il s'agirait d'identifier les personnes n'ayant pas quitté le territoire européen dans les délais prévus. L'interconnexion des casiers judiciaires des États membres est en grande partie opérationnelle. En outre, le projet e-justice est destiné à développer l'accès à la justice à travers l'utilisation des nouvelles technologies de l'information.

De proche en proche, on aboutit ainsi à un foisonnement des dispositifs destinés à l'échange d'informations. Cela pose la question du statut des données transmises et de leur protection. J'y reviendrai. Cela soulève aussi la question de la gestion opérationnelle de ces dispositifs.

Nous avons déjà eu l'occasion d'observer que l'idée de confier à la Commission européenne la gestion d'une base de données telle que le SIS ne paraissait pas souhaitable. Cela ne correspond pas à ses missions essentielles. Elle ne dispose pas des experts pour ce faire, comme semblent l'attester les problèmes de développement du SIS II.

Dans une résolution adoptée en février 2006, le Sénat avait donc demandé au Gouvernement de s'opposer à l'idée d'en confier la gestion à la Commission. Le Sénat avait, en outre, sur la suggestion de la commission des lois et de son rapporteur, notre collègue Richard Yung, proposé une gestion par une agence européenne ad hoc qui devrait être située à Strasbourg.

Cette idée a manifestement fait son chemin. La Commission européenne a été invitée par le Parlement européen et par le Conseil à proposer des solutions applicables à la gestion à long terme des systèmes d'information de grande envergure. Après une étude d'impact réalisée par un consultant externe, la Commission a, en effet, été conduite à proposer en juin dernier la création d'une telle agence.

2. Qu'est-ce qui est proposé et que faut-il en penser ?

Je précise tout de suite que la Commission européenne a dû déposer deux propositions parce que le SIS et le VIS touchent à des domaines ayant pour base légale le premier comme le troisième pilier. Cependant, avec l'entrée en vigueur du traité de Lisbonne, la Commission européenne sera appelée à présenter une nouvelle proposition de règlement qui se substituera aux deux textes que nous examinons aujourd'hui et qui intégrera les acquis des discussions en cours au sein du Conseil.

La création d'une agence est de nature à répondre à la préconisation du Sénat dans sa résolution de 2006. Incontestablement, cette solution peut présenter beaucoup d'avantages pour renforcer la gestion opérationnelle des systèmes d'information.

Dans le même temps, nous devons être attentifs au phénomène d'« agenciarisation » de l'Union européenne et aux risques de dérives qu'il comporte. J'observe que la Commission européenne a indiqué n'envisager la création d'aucune nouvelle agence avant qu'une évaluation approfondie ne soit réalisée. Mais elle a pris soin de préciser que les discussions interinstitutionnelles se poursuivraient sur les propositions déjà présentées. Ce qui est le cas de l'agence sur les systèmes d'information.

Dans un récent rapport d'information, notre collègue Denis Badré a dressé un bilan préoccupant sur les agences européennes. Il a posé la question de leurs ressources, de leur suivi et de leur contrôle politique. Nous avons d'ailleurs adopté sur tous ces points une proposition de résolution qui est devenue résolution du Sénat. Ces questions essentielles devront être prises en compte dans la création et le fonctionnement de la nouvelle agence sur les systèmes d'information.

Pourra-t-on aller vers plus de rationalisation dans ce domaine ? En 2006, le Sénat avait demandé que soit étudiée la possibilité de fusionner à terme l'agence dont il proposait la création pour le SIS avec EUROPOL. Mais la nouvelle agence qui nous occupe ne sera pas limitée à la coopération policière. Une telle fusion serait donc problématique.

Selon la proposition de la Commission européenne, cette agence serait un organisme communautaire doté de la personnalité juridique. Elle serait chargée de la gestion opérationnelle du SIS II, du VIS et d'EURODAC. J'ai mentionné précédemment les incertitudes qui demeurent sur la mise en oeuvre effective du SIS II. Si celui-ci ne devait pas voir le jour, la nouvelle agence aurait vocation à prendre en charge à terme le SIS actuel qui aurait été complété par de nouvelles fonctionnalités introduites sous la responsabilité de la France dans le cadre du scénario alternatif.

L'agence pourrait aussi prendre en charge d'autres systèmes d'information à grande échelle dans le domaine « JAI ». Mais il faudra qu'un instrument juridique le spécifie.

La tâche prioritaire de l'agence sera donc la gestion opérationnelle de ces systèmes d'information. Je précise néanmoins qu'elle ne se verra confier que les compétences nécessaires pour gérer les parties centrales des systèmes sans être responsable des données qui y sont introduites. Les États membres resteront responsables de leurs systèmes nationaux.

L'agence devra prendre en charge la formation d'experts du VIS et du SIS II. Elle suivra aussi les recherches menées pour la gestion opérationnelle de ces systèmes et pourra, à la demande expresse de la Commission européenne, mettre en oeuvre des projets pilote.

Les États membres, ainsi que la Commission, seront représentés au sein du conseil d'administration. L'agence sera dotée d'un directeur exécutif nommé pour cinq ans par le conseil d'administration, sur la base d'une liste de candidats proposée par la Commission. Des groupes consultatifs seront chargés d'apporter leur expertise. On a vu dans le cas du SIS que cette expertise pouvait être indispensable. Il faudra donc que ces groupes aient un rôle effectif.

L'agence sera financée par le budget communautaire, à partir des crédits affectés au SIS II, au VIS et à EURODAC par la programmation financière 2011-2013.

J'insisterai tout particulièrement sur l'enjeu de la protection des données. Dans le cadre d'une agence unique, des garanties très fortes doivent être prévues dans ce domaine notamment face au risque d'interconnexions entre des systèmes ayant une finalité propre qui doit être préservée.

Le considérant n° 11 de la proposition précise expressément que « le fait de confier à une agence la gestion opérationnelle des systèmes d'information à grande échelle (...) ne porte pas atteinte aux règles spécifiques applicables à ces systèmes. » Le même considérant ajoute qu'« en particulier, les règles spécifiques concernant leur finalité, le droit d'accès, les mesures de sécurité et les autres exigences en matière de protection des données pour chacun des systèmes (...) sont pleinement applicables. » Cette précision me paraît essentielle car ces dispositifs apparaissent protecteurs. Mais je crois qu'elle gagnerait à être inscrite directement à l'article 25 de la proposition qui concerne spécifiquement la protection des données. Cet article 25 prévoit par ailleurs que le règlement du 18 décembre 2000, qui est relatif à la protection des données personnelles traitées par les institutions et organes communautaires, s'appliquera au traitement des données personnelles par la nouvelle agence. La référence à ce règlement est importante parce qu'elle habilitera en particulier le Contrôleur européen pour la protection des données à obtenir de l'agence l'accès à toutes les informations nécessaires à ses enquêtes.

Là encore, l'entrée en vigueur du traité de Lisbonne, qui supprime la structure en piliers, aura un impact concret. Dans le cadre du programme de Stockholm, la Commission européenne envisage la création d'un instrument « horizontal » pour la protection des données personnelles qui prendrait en compte les spécificités inhérentes aux systèmes d'information visés par la proposition qui nous intéresse aujourd'hui.

Enfin, je veux évoquer la question du siège de cette nouvelle agence. Un article de la proposition prévoit un « accord de siège » entre l'agence et l'État membre d'accueil. Le choix de celui-ci pourrait être décidé, sous la prochaine présidence espagnole, au niveau du Conseil européen dans le cadre d'un paquet de décisions d'attributions de sièges d'agences.

Toujours est-il que la France a officialisé, en septembre, sa propre candidature. L'Estonie s'est aussi portée candidate, en misant notamment sur les conclusions du Conseil européen de décembre 2003 selon lesquelles priorité devrait être donnée aux nouveaux États membres dans l'attribution de sièges de nouvelles agences. L'Autriche a pour sa part le souci de consolider son site de secours près de Salzbourg. Elle a donc proposé le maintien des sites actuels, principal et de secours. Ce qui est une bonne idée. Elle suggère aussi de dissocier les fonctions de conception et de développement de celles liées à l'exploitation. Ce qui ne me paraît pas réaliste.

Comme le souligne le Gouvernement, cette nouvelle agence prolonge en réalité une activité existante, celle du SIS en l'élargissant à d'autres systèmes. Si l'on ne peut que soutenir les principes retenus par le Conseil européen en 2003, on doit donc néanmoins souligner qu'ils ne sont pas applicables dans ce cas précis.

Le choix de Strasbourg pour l'implantation de cette agence constitue un enjeu essentiel. Compte tenu de son implication très forte et continue dans le développement et les évolutions du SIS, la France a acquis dans ce domaine une compétence d'excellence. Elle a consenti des investissements financiers et humains importants qui doivent être préservés. Dans la continuité de l'existant, le choix de Strasbourg serait donc un gage d'économie et de sécurité. La ville de Strasbourg elle-même a mis à disposition une réserve foncière importante. Elle doit donc pouvoir bénéficier de l'implantation de cette agence qui confortera son statut européen.

*

Pour conclure et en résumé, je veux souligner que si nous devions adopter une proposition de résolution sur ces textes, trois aspects mériteraient d'être relevés :

- d'une part, le rappel, pour ce cas d'espèce, des exigences que nous avions énoncées dans notre résolution sur les agences ;

- d'autre part, la demande impérieuse que toutes les garanties soient réunies en matière de protection des données ;

- enfin, l'affirmation de la pertinence de la candidature de la France pour accueillir cette nouvelle agence à Strasbourg.

Cependant, comme je l'ai dit précédemment, avec l'entrée en vigueur du traité de Lisbonne, la Commission européenne sera appelée à présenter une nouvelle proposition de règlement. Je vous propose donc, à ce stade, d'en rester là et de nous réserver la possibilité d'adopter une proposition de résolution sur ce nouveau texte.