II. PRÉSENTATION DES SYSTÈMES D'INFORMATION ACTUELLEMENT GÉRÉS PAR L'AGENCE ET DES SYSTÈMES D'INFORMATION EN PROJET
Comme précédemment indiqué, l'agence Eu-LISA est chargée de la gestion de trois systèmes d'information (A) : le système d'information Schengen de deuxième génération (SIS II), qui a succédé au SIS I en avril 2013 (1), le système d'information sur les visas (VIS) (2) et le système EURODAC (3).
À l'avenir, l'agence pourrait être amenée à gérer les systèmes d'information en cours de développement (B) que sont le programme entrée/sortie (et le programme d'enregistrement des voyageurs qui lui est associé) (1) le programme de surveillance de financement du terrorisme (2) ou encore le PNR européen (3).
A. LES SYSTÈMES D'INFORMATION GÉRÉS PAR L'AGENCE
1. Le système d'information Schengen (SIS II)
Le SIS a été instauré afin de combler les risques en termes de sécurité entraînés par la libre circulation des personnes à l'intérieur de l'espace Schengen.
Le SIS de première génération est exploité depuis 1995. Il a été développé et exploité par la France pour le compte de l'UE. En 2006 a été décidée la création d'un SIS de seconde génération pour adapter ce système à l'élargissement de l'espace Schengen qui s'est traduit par une augmentation exponentielle du nombre de signalements. La mise en place de ce système, développé par la Commission européenne, a pris beaucoup de retard et a supporté un surcoût important par rapport au budget prévu. Il est opérationnel depuis avril 2013.
Régi par le règlement n°1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 et la décision 2007/533/JAI du Conseil du 12 juin 2007, le SIS II constitue une « frontière électronique dématérialisée », mise en oeuvre à chaque instant depuis environ 500 000 terminaux d'interrogation répartis dans les vingt-neuf États connectés (les 26 Etats de l'espace Schengen, ainsi que la Roumanie, la Bulgarie et, depuis avril 2015, le Royaume-Uni).
Il contient des informations sur des personnes recherchées et des objets volés ou égarés (documents d'identité et voitures notamment). Peuvent être signalées des personnes ayant fait l'objet d'une décision de l'autorité judiciaire (extradition, mandat d'arrêt européen, interdiction du territoire...), d'une décision de l'autorité de police (disparition, mise sous surveillance) ou d'une décision administrative (décision d'éloignement, signalement aux fins de non-admission).
Le SIS II se différencie du SIS I par le fait qu'il inclut des données biométriques (empreintes digitales et photographies) et des données relatives aux mandats d'arrêt européens . Il contient également de nouvelles catégories d'objets (matériels industriels, embarcations, aéronefs, moteurs hors-bords, containers, plaques d'immatriculation, certificats d'immatriculation et titres de paiement). Le passage au SIS II a en effet été motivé à la fois par l'élargissement de l'Union européenne et par la volonté de développer de nouvelles fonctionnalités.
Le SIS II compte 64 millions de signalements de personnes ou d'objets (dont 5 millions émanant de la France). La plupart des signalements concernent des documents signalés volés ou perdus. Y figurent également environ 800 000 personnes recherchées, pour la plupart pour refus d'entrée dans l'espace Schengen, 3,3 millions de véhicules et 480 800 armes à feu.
Le système est composé d'un fichier central (C-SIS) et de fichiers nationaux (N-SIS), qui sont des copies du fichier central. Chaque pays alimente la base centrale C-SIS 4 ( * ) , qui, à son tour, réactualise en temps réel les copies nationales (N-SIS) de chaque pays. En France, comme dans la plupart des autres pays, c'est cette copie qui est interrogée, par les systèmes d'information nationaux 5 ( * ) . Il n'y a par conséquent pas d'interrogation directe de la base centrale (C-SIS).
Lors d'un contrôle d'identité, les autorités nationales reçoivent une alerte si l'individu a été signalé dans le SIS (principe du hit/no-hit ). Des « bureaux SIRENE » installés au niveau national sont chargés de transmettre les informations d'un Etat à l'autre.
Le bureau SIRENE en France En France, le bureau SIRENE relève de la division des relations internationales de la direction centrale de la police judiciaire (DCPJ). Il fait partie de la section de coopération opérationnelle de police (SCCOPOL), également chargée du bureau central national (BCN) Interpol France et de l'Unité nationale Europol (UNE). La SCCOPOL est opérationnelle 24 heures sur 24 et 7 jours sur 7. Les effectifs du bureau SIRENE se composent de 25 personnes, policiers et gendarmes. Ces agents sont chargés de traiter l'ensemble des échanges relatifs à une découverte, en lien avec leurs homologues des autres Etats et les services nationaux concernés. Pour la gestion des mandats d'arrêt européens, le bureau SIRENE est également en liaison constante avec le Bureau d'entraide pénale internationale (BEPI) du ministère de la Justice. De plus, le bureau SIRENE est sollicité au moment de la création des signalements en « article 26 » (introduction du mandat d'arrêt européen dans le N SIS) et « article 36-3 » (envoi aux autres Etats d'un formulaire dit « M » d'information sur la création de fiches de surveillance « combattants étrangers). Source : réponse du gouvernement au questionnaire de la commission |
L'accès au SIS est ouvert à la police, à la gendarmerie, aux douanes, aux préfectures, aux autorités chargées de la délivrance des titres de séjour et aux consulats . La France est équipée de 15 000 terminaux d'ordinateur permettant d'interroger le SIS par l'intermédiaire des fichiers nationaux. Les services français effectuent chaque année 500 millions de requêtes dans le SIS, avec un total de 12 000 « hits » sur des signalements étrangers. Réciproquement, on dénombre 7 500 « hits » étrangers sur des signalements français.
Le renforcement du SIS est naturellement, dans le contexte de la montée du risque terroriste, une préoccupation forte de la France, que partage votre commission.
Les perspectives d'évolution du SIS au regard des enjeux actuels Le SIS est potentiellement un outil puissant de partage d'information entre les Etats membres au bénéfice de la sécurité intérieure dans l'espace Schengen, notamment dans le cadre de la lutte contre le terrorisme. Il apparaît cependant que ses potentialités ne sont pas suffisamment exploitées. - Vers un renforcement du contrôle : Tout d'abord, les informations contenues dans le SIS mériteraient d'être enrichies, en faisant mention expresse du risque terroriste associé à certains individus signalés. Il n'existe pas à ce jour de signalement spécifique et unifié pour les personnes susceptibles de rejoindre une organisation terroriste à l'étranger. Par ailleurs, les pratiques de signalement au SIS varient beaucoup d'un Etat à l'autre. Un rapport de l'agence Eu-LISA de 2015 6 ( * ) constate ainsi que certains Etats n'ont jamais recours au SIS pour signaler des individus recherchés. En pratique, la France est l'un des seuls pays à utiliser pleinement les potentialités du fichier en partageant avec les autres pays via le SIS les « fiches S » éditées par la direction générale de la sécurité intérieure. Enfin, l'efficacité des contrôles permis par le SIS suppose que les Etats se dotent effectivement des moyens de le consulter. Or, les postes-frontières des Etats « de première entrée » dans l'Union européenne ne sont pas tous correctement équipés. L'agence Frontex, quant à elle, appelée à appuyer les Etats membres dans la gestion de leurs frontières, n'a pas accès au SIS. La création d'un véritable corps de garde-frontières européens, telle que proposée par la Commission européenne dans le cadre du « paquet frontières » présenté en décembre 2015, pourrait permettre un meilleur contrôle via le SIS des personnes franchissant les frontières extérieures de l'Union européenne. - Vers une extension du contrôle aux ressortissants de l'espace Schengen : Les Etats membres envisagent la possibilité d'étendre aux ressortissants de l'espace Schengen le contrôle approfondi aux frontières. Actuellement, seuls les ressortissants des Etats tiers sont soumis à des vérifications approfondies lors de leur franchissement des frontières extérieures de l'Union européenne, incluant une consultation des fichiers de police nationaux, d'Interpol (fichier international des documents volés) et du SIS. L'article 7 du code Schengen interdit la consultation systématique des fichiers de personnes recherchées tels que le SIS pour les ressortissants des Etats membres. En février 2015, les Etats membres se sont entendus sur l'établissement d'indicateurs dits « de risque commun » pour procéder à des contrôles ciblés sur des ressortissants de l'espace Schengen, en fonction de critère « objectifs » (tels que le pays de provenance ou de destination). 7 ( * ) Au-delà, une révision de ce code permettrait d'étendre le contrôle approfondi à l'ensemble des ressortissants de l'espace Schengen en autorisant un contrôle systématique. |
Votre commission estime indispensable le double renforcement envisagé : renforcement du contrôle et extension aux ressortissants européens. D'ailleurs, le Sénat, dans son rapport d'avril 2015 « Filières djihadistes, pour une réponse globale et sans faiblesse », propose un ensemble de mesures destinées à renforcer et étendre l'utilisation du SIS aux fins d'assurer la sécurité des frontières extérieures de l'Union : création d'un signalement « combattant étranger » dans le SIS (proposition n° 65), initiative européenne pour rendre les signalements plus systématiques (proposition n° 66), création d'un corps de garde-frontières européen (proposition n° 68) et révision du Code Schengen pour étendre les contrôles aux ressortissants européens (proposition n° 67).
Le renforcement de l'utilisation du SIS et son extension aux ressortissants de l'espace Schengen ont également été préconisés par le Sénat dans une proposition de résolution européenne d'avril 2015. De manière générale, le Sénat « souhaite que les dispositifs d'identification des personnes tels que le système d'information Schengen (SIS II) soient perfectionnés » et « appelle de ses voeux une intensification et une uniformisation de l'utilisation du SIS II par les Etats membres ».
2. Le système d'information sur les visas
La création de ce système a été décidée en 2004 et son cadre technique a été fixé en 2008 par le règlement (CE) n°767/2008 du Parlement européen et du Conseil du 9 juillet 2008. Développé par la France sur le modèle du système français Visabio, il est opérationnel depuis 2011 sur le site de Strasbourg et a été repris par l'agence Eu-LISA à son entrée en fonction le 1 er décembre 2012.
En tant qu'instrument de Schengen, le règlement VIS s'applique à tous les pays de l'UE, à l'exception du Royaume-Uni et de l'Irlande. Ce règlement s'applique également au Danemark, à l'Islande, à la Norvège et à la Suisse.
Le VIS est un système d'échange de données sur les demandes de visa présentées par les ressortissants non-communautaires, principalement pour éviter la pratique du « visa-shopping » (dépôt de demandes multiples dans différents Etats membres) et pour détecter plus facilement les faux visas. Il s'agit d'une des plus grandes bases de données biométriques au monde : elle devrait à terme contenir 80 millions de données relatives à des demandes de visa.
En pratique, les demandes de visa et les décisions s'y rapportant sont enregistrées par les autorités consulaires dans une base de données commune à l'ensemble des Etats membres. Cette base contient les données alphanumériques (état civil, lieu et date de la demande de visa) et biométriques (photographie et 10 empreintes digitales) des personnes introduisant une demande de visa Schengen, ainsi que les liens avec les demandes de visa précédentes.
L'accès au VIS est destiné aux autorités consulaires , pour l'examen des demandes de visa et des décisions s'y rapportant et aux autorités chargées du contrôle des frontières , pour vérification de l'authenticité du visa à l'entrée dans l'Union européenne. Peuvent également y accéder les autorités compétentes en matière d'immigration pour l'identification des personnes en situation irrégulière et les autorités compétentes en matière d'asile pour la détermination de l'Etat responsable de l'examen de la demande d'asile.
Dans certains cas précis, peuvent y avoir accès les services répressifs (Europol ou les services de polices nationaux) aux fins de prévention, détection et d'enquête sur les infractions terroristes et autres infractions pénales graves. La finalité première du VIS étant l'amélioration de la politique commune en matière de visas et non la sécurité intérieure, l'accès par les autorités de police à la base de données est à l'heure actuelle fortement circonscrit. Les consultations ne sont pas directes, mais menées par l'intermédiaire de points centraux d'accès dans les Etats membres de Schengen et par Europol, selon les procédures fixées par la décision 2008/633/JAI du Conseil du 23 juin 2008.
Utilisation des données du VIS par les autorités compétentes L'autorité chargée des visas peut consulter le VIS aux fins de l'examen des demandes et des décisions de délivrance, de refus, de prorogation, d'annulation, de retrait du visa ou de réduction de la durée de validité du visa. Elle est autorisée à effectuer des recherches à l'aide des données incluses dans le formulaire de demande et le dossier de demande. Si la recherche indique que le VIS contient des données sur le demandeur, l'autorité chargée des visas est autorisée à accéder au dossier de demande et aux dossiers de demande associés. Les autorités chargées des contrôles aux frontières extérieures et sur les territoires des Etats-membres sont autorisées à consulter le numéro de la vignette visa et les empreintes digitales. Elles peuvent effectuer des recherches dans le VIS dans le but de vérifier l'identité de la personne et/ou l'authenticité du visa et/ou si la personne remplit les conditions pour entrer, séjourner ou résider sur les territoires nationaux. Si la recherche indique que le VIS contient des données sur le titulaire du visa, les autorités compétentes sont autorisées à consulter certaines données du dossier de demande. Pour identifier une personne qui ne remplit pas ou plus les conditions requises, les autorités compétentes effectuent des recherches sur la base des empreintes digitales. Pour les titulaires de visas dont les empreintes digitales sont inutilisables ou en cas d'échec de la recherche des empreintes digitales, les autorités compétentes sont autorisées à consulter dans le VIS le nom, le sexe, la date et le lieu de naissance et/ou des informations figurant sur le document de voyage. Ces données peuvent être utilisées en association avec la nationalité du titulaire. Source : réponse du gouvernement au questionnaire écrit de votre commission |
3. EURODAC
Le système d'information EURODAC a été mis en place en 2003 avec l'adoption du règlement dit Dublin II.
Sa finalité première est de déterminer l'Etat membre qui est responsable de l'examen d'une demande d'asile . Le règlement de Dublin prévoit en effet que l'Etat responsable est l'Etat par lequel le demandeur d'asile est entré dans l'Union européenne. Le système permet ainsi d'éviter les demandes d'asile multiples.
En France, quand une demande d'asile est présentée dans une zone d'attente ou une préfecture, les empreintes digitales du demandeur sont comparées par le biais d'une « borne EURODAC » avec le fichier européen EURODAC.
EURODAC contient les données alphanumériques des demandeurs d'asile et des données biométriques (empreintes digitales). Outre les empreintes digitales des demandeurs d'asile (catégorie 1) qui sont conservées dix ans, le système permet d'enregistrer les empreintes des étrangers interpellés lors du franchissement irrégulier d'une frontière (catégorie 2), qui sont conservées dix-huit mois et de comparer (sans les enregistrer) les empreintes des étrangers se trouvant illégalement sur le territoire d'un Etat membre (catégorie 3).
L'accès à EURODAC est prioritairement destiné aux autorités chargées de l'examen des demandes d'asile . Accessoirement, la police peut y accéder dans le cadre d'une procédure administrative d'éloignement (catégorie 3), mais dans ce cas, les empreintes ne sont pas enregistrées après comparaison avec celles contenues dans le fichier.
Dans des cas circonscrits, y ont également accès les services répressifs (autorités de police nationales et Europol) dans le cadre de la lutte contre le terrorisme ou dans le cas où des infractions pénales graves sont suspectées.
L'ouverture aux services répressifs de l'accès au fichier EURODAC est limitée. Cet accès, qui n'était pas prévu à l'origine a été institué par le règlement (UE) n°603/2013 du Parlement européen et du Conseil du 26 juin 2013, contre l'avis du Contrôleur européen de la protection des données, et est entré en vigueur le 20 juillet 2015. En France, la CNIL s'était également prononcée contre cet élargissement.
Une utilisation par les services répressifs très encadrée La procédure suivie en cas d'utilisation par les services répressifs est très encadrée. La comparaison des données dactyloscopiques avec le système central EURODAC est non systématique et doit viser la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves. La comparaison avec l'ensemble des catégories est possible mais sans aucune possibilité de conservation. En outre, avant de pouvoir procéder à cette comparaison, les services répressifs doivent s'assurer que la comparaison avec les bases de données suivantes a été infructueuse pour déterminer l'identité de la personne concernée : le fichier automatisé des empreintes digitales (FAED, pour la France), le système Prüm ; et le VIS. En vue de consulter EURODAC., les services répressifs doivent s'adresser à une « unité de vérification » (en France la DCPJ-SCCOPOL) qui doit s'assurer que les conditions requises sont remplies. Cette unité est la seule autorisée à transmettre les demandes de comparaison des empreintes digitales au point d'accès national qui est, pour la France, la direction de l'asile à la Direction générale des Etrangers en France. Source : réponse du gouvernement au questionnaire écrit de votre commission |
Le fonctionnement EURODAC comporte certaines difficultés. En effet, certains Etats-membres ne procèdent toujours pas systématiquement à l'enregistrement des empreintes digitales des demandeurs d'asile dans EURODAC ou ces enregistrements ne sont pas toujours faits correctement. Insuffisamment équipés en bornes EURODAC, les Etats de première entrée sont parfois dans l'incapacité de relever les empreintes des ressortissants des pays tiers, comme cela a été le cas ces derniers mois en Grèce du fait de l'importance des arrivées de migrants. La conséquence directe est la difficulté ou l'impossibilité de pouvoir déterminer l'Etat-membre responsable de la demande d'asile, selon la procédure de Dublin III.
Ainsi, d'après le rapport d'information de la commission des lois de février 2016 « L'Europe à l'épreuve de la crise des migrants : la mise en oeuvre de la relocalisation des demandeurs d'asile et des hotspots » 8 ( * ) , le taux d'enregistrement dans EURODAC n'est que de 75% sur l'île de Lesbos, malgré la livraison récente de 96 bornes d'enregistrement. Le trafic de faux documents sévit par ailleurs dans des proportions importantes d'après ce rapport. Enfin, l'interface entre les bornes et le fichier EURODAC fonctionnerait mal, toujours d'après la commission des lois.
* 4 En France, depuis le fichier des personnes recherchées (FPR), le fichier de objets volés et signalés (FOVeS), la base des Titres électroniques sécurisés (TES) et, bientôt, le fichier national de gestion (FNG) des cartes nationales d'identité.
* 5 En France, le fichier des personnes recherchées (FPR), le fichier de objets volés et signalés (FOVeS), le système d'information sur les véhicules, le réseau mondial visa (RMV), les lecteurs automatisées de plaques d'immatriculation (LAPI), application de gestion des dossiers des ressortissants étrangers en France (AGDREF), passage automatisé rapide aux frontières extérieures (PARAFE), COVADIS et, bientôt, le Système européen de traitement des données d'enregistrement et de réservation (SETRADER) et le PNR Passenger name record (PNR).
* 6 «Report on the technical functioning of Central SIS II and the Communication Infrastructure, including the security thereof and the bilateral and multilateral exchange of supplementary information between Member States» (juin 2015).
* 7 Voir la déclaration des membres du Conseil européen à l'issue de la réunion du 12 février 2015.
* 8 Rapport d'information n° 422 (2015-2016) de M. François-Noël BUFFET, fait au nom de la commission des lois, du 24 février 2016