______
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
QUATORZIÈME LÉGISLATURE
Enregistré à la Présidence de l'Assemblée nationale le 25 mai 2016.
RAPPORT
FAIT
AU NOM DE LA COMMISSION DES AFFAIRES ÉTRANGÈRES SUR LE PROJET DE LOI, ADOPTÉ PAR LE SÉNAT, autorisant l'approbation de l'accord relatif au site technique de l'Agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice entre le Gouvernement de la République française et l'Agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice.
PAR M. Pierre LELLOUCHE
Député
——
ET
ANNEXE : TEXTE DE LA COMMISSION DES AFFAIRES ÉTRANGÈRES
Voir les numéros :
Sénat : 106 (2014-2015), 455, 456 et T.A. 107 (2015-2016).
Assemblée nationale : 3575.
___
Pages
INTRODUCTION 5
I. UNE AGENCE EUROPÉENNE AU RÔLE STRATÉGIQUE COMPTE TENU DE L’IMPORTANCE DES SYSTÈMES D’INFORMATION DONT ELLE ASSURE LA GESTION OU QUI POURRAIENT LUI ÊTRE CONFIÉS 7
A. LES SYSTÈMES D’INFORMATION DONT L’AGENCE EU-LISA EST DÉJÀ CHARGÉE 7
1. Le système d’information Schengen II (dit « SIS II ») 7
a. Présentation générale du SIS II 7
b. Le rôle de l’Agence Eu-LISA dans le fonctionnement du SIS II 8
2. Le système d’information sur les visas (VIS) 9
3. Le système Eurodac 10
B. DES SYSTÈMES D’INFORMATION À COMPLÉTER ET A AMÉLIORER SUBSTANTIELLEMENT 11
1. Les nouveaux systèmes d’information dont l'Agence Eu-Lisa pourrait prendre en charge le développement et/ou la gestion opérationnelle 12
a. La directive « PNR » enfin adoptée 12
b. La proposition de création d'un système d'entrée/sortie (dit « EES ») 13
c. Vers la création d'un programme européen de surveillance du financement du terrorisme ? 13
2. D’autres lacunes à traiter en urgence 14
a. D’autres systèmes d’information manquants 14
b. Des fonctionnalités qui font défaut dans les systèmes d’information existants 15
c. Des dispositifs utilisés de manière incomplète 16
d. Des bases de données souvent mal alimentées par les Etats membres 17
e. Un manque d’interopérabilité 17
II. LE TEXTE SOUMIS À LA COMMISSION : UN ACCORD RELATIF AUX CONDITIONS D’INSTALLATION ET DE FONCTIONNEMENT DE L’AGENCE SUR LE TERRITOIRE FRANÇAIS 19
A. UN ACCORD S’INSCRIVANT DANS LE PROLONGEMENT DU RÉGLEMENT EUROPÉEN DE 2011 QUI A CRÉÉ EU-LISA 19
1. Les règles de fonctionnement de l’Agence 19
2. Les différentes implantations 21
a. Trois sites différents – en Estonie, en France et en Autriche 21
b. En conséquence, la conclusion de trois accords spécifiques 21
B. LES PRINCIPALES STIPULATIONS DE L’ACCORD SIGNÉ LE 5 DÉCEMBRE 2013 22
1. Les clauses relatives au site de l’Agence à Strasbourg 22
2. Les privilèges et immunités reconnus à l’Agence ainsi qu’à son personnel 23
3. Les clauses relatives à la sécurité 24
4. Prestations et facilités accordées par la France 25
5. Autres dispositions 25
CONCLUSION 27
TRAVAUX DE LA COMMISSION 29
ANNEXE 1 - AUDITIONS 35
ANNEXE 2 - TEXTE DE LA COMMISSION DES AFFAIRES ÉTRANGÈRES 37
L’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice, dite Agence « Eu-LISA » (1), a été créée par le règlement (UE) n° 1077/2011 du 25 octobre 2011. Opérationnelle depuis le 1er décembre 2012, elle est chargée de gérer le système d’information Schengen de deuxième génération (dit « SIS II »), qui comporte des signalements relatifs à différentes catégories de personnes et d’objets (2), le système d’information sur les visas (dit « VIS »), qui contient des données sur les visas de court séjour, et le système Eurodac, qui recueille des données, notamment biométriques, pour la bonne application du règlement dit « Dublin III » (3).
Le projet de loi examiné par la Commission a pour objet d’autoriser l’approbation d’un accord du 5 décembre 2013, relatif au site technique principal de l’Agence, localisé à Strasbourg. Derrière ce texte dont la portée peut paraître essentiellement technique, se trouve un enjeu massif : le fonctionnement des systèmes d’information centralisés dont l’Union européenne a besoin pour la gestion de ses frontières et sa sécurité intérieure.
Rien qu’en 2015, plus de 50 millions de ressortissants de pays tiers se sont rendus dans l’Union européenne, ce qui représente plus de 200 millions de passages aux frontières extérieures de l’espace Schengen (4). La même année, au moins 1,8 million de franchissements irréguliers des frontières extérieures auraient eu lieu. Dans le double contexte des flux migratoires massifs que connaît l’Union européenne et de la très grave menace terroriste qui pèse sur nous, les services répressifs doivent pouvoir accéder de manière effective et rapide à toutes les données utiles à l’exercice de leurs missions.
Votre Rapporteur se félicite que l’accord entre la France et l’Agence Eu-LISA soit enfin inscrit à l’ordre du jour. Ce sera en effet l’occasion de revenir sur le fonctionnement et l’architecture, encore très imparfaits, des systèmes d’information nécessaires dans ce domaine. Plusieurs dispositifs indispensables sont encore absents. Les failles de sécurité concernent aussi les conditions d’accès aux bases de données existantes, leurs fonctionnalités, leur alimentation et leur consultation par les Etats membres et par Europol, ainsi que leur interopérabilité. Ces angles morts peuvent se traduire par des échecs très lourds de conséquences pour la sécurité de nos concitoyens.
II. I. UNE AGENCE EUROPÉENNE AU RÔLE STRATÉGIQUE COMPTE TENU DE L’IMPORTANCE DES SYSTÈMES D’INFORMATION DONT ELLE ASSURE LA GESTION OU QUI POURRAIENT LUI ÊTRE CONFIÉS
Le règlement européen précité du 25 octobre 2011, qui a créé l’Agence Eu-LISA, lui confie la gestion opérationnelle des trois principaux systèmes d’information centralisés conçus par l’Union européenne pour la gestion des frontières et la sécurité intérieure, SIS II, VIS et Eurodac.
Ce règlement permet aussi de charger l’Agence, sous réserve de l’adoption des bases juridiques nécessaires, de missions de développement et de gestion opérationnelle de nouveaux dispositifs. Comme le souligne l’exposé des motifs du projet de loi, il pourrait notamment s’agir du « PNR », du système EES d’entrée/sortie et d’un éventuel programme de surveillance du financement du terrorisme.
Votre Rapporteur estime que cette extension des missions de l’Agence Eu-LISA est certes nécessaire, mais qu’elle ne permettra de remédier que très partiellement aux lacunes existantes.
Le système d’information Schengen (SIS) a d’abord été établi dans un cadre intergouvernemental, avant d’être intégré dans celui de l’Union européenne à la suite du traité d’Amsterdam. Le système actuel, dit « SIS II », a remplacé le SIS de première génération à compter de 2013. Sa gestation et sa mise en œuvre ont été très lentes. Le règlement européen relatif à l'établissement, au fonctionnement et à l'utilisation du SIS II avait en effet été adopté dès le 20 décembre 2006.
Selon des éléments communiqués par le Gouvernement, le SIS II compte aujourd’hui 64 millions de signalements de personnes ou d’objets, dont 5 millions en provenance de la France.
Les catégories de données recueillies sont les suivantes : personnes recherchées pour arrestation en vue d’extradition ou dans le cadre d’un mandat d’arrêt européen ; étrangers signalés aux fins de non-admission et d’interdiction de séjour ; personnes disparues ou à placer en sécurité ; témoins, personnes citées à comparaître ou devant faire l’objet d’une notification de décisions judiciaires ; personnes dites observées, faisant l’objet d’un contrôle discret ou spécifique ; données relatives aux objets recherchés aux fins de saisie ou de preuve dans une procédure pénale.
En ce qui concerne les personnes, le stockage des renseignements suivants est autorisé : les nom(s), prénom(s), nom(s) à la naissance, pseudonymes et signes physiques particuliers, le lieu et la date de naissance, le sexe, les photographies, les empreintes digitales, la ou les nationalité(s), l’indication que la personne concernée est armée, violente ou en fuite, le motif du signalement, l’autorité signalante, une référence à la décision qui est à l’origine du signalement, ainsi que le(s) lien(s) vers d’autres signalements introduits dans le SIS II.
La plupart des données stockées concernent des documents signalés ou perdus. On compte environ 800 000 personnes recherchées dans le SIS II, surtout pour refus d’entrée dans l’espace Schengen, 3,3 millions de véhicules et près de 500 000 armes à feu.
Les services de police, de gendarmerie, de douane et les autorités administratives chargées de la délivrance des titres de séjour, des visas ou de l’immatriculation des véhicules peuvent accéder à tout ou partie du SIS selon leurs besoins. On compte environ un demi-million de terminaux d’interrogation du SIS dans les 29 Etats connectés – les Etats de l’espace Schengen, ainsi que la Roumanie, la Bulgarie et le Royaume-Uni.
Il y a en France 15 000 postes d’interrogation dans les services de police et de gendarmerie, permettant d’interroger le SIS II par l’intermédiaire des fichiers nationaux – fichier des personnes recherchées (FPR), fichier des objets et véhicules signalés (FOVeS) et Système d’immatriculation des véhicules (SIV). Les services français effectuent 500 millions de requêtes annuelles dans le SIS, y compris dans le cadre des lecteurs automatisés de plaques d’immatriculation (LAPI), avec un total de 12 000 « hits » sur des signalements étrangers.
Chaque pays est chargé d’alimenter une base centrale, dite « SIS II Central », qui réactualise à son tour en temps réel les copies nationales (dites « N SIS II ») dans chaque pays.
A l’issue d’une période de transition pendant laquelle la Commission européenne était responsable de la gestion opérationnelle du « SIS II Central », l’Agence EU-Lisa a repris cette responsabilité ainsi que différentes tâches (supervision, sécurité, coordination des relations entre les États membres et le fournisseur) liées à l’infrastructure de communication. La cession de la gestion du SIS II à Eu-LISA a commencé au début de l’année 2013 et s’est achevée le 9 mai suivant.
Eu-LISA est également chargée d’assurer des missions de formation à l’utilisation du système.
Le système d’information sur les visas a été créé afin de simplifier les procédures de demande de visa, d’éviter le dépôt de demandes simultanées dans plusieurs Etats (le « visa shopping »), d’aider à lutter contre la fraude, de faciliter les contrôles aux frontières extérieures et sur le territoire des Etats membres, de contribuer à l’identification des personnes en séjour irrégulier et d’aider à prévenir des menaces de sécurité intérieure.
Les données suivantes peuvent être enregistrées dans le VIS :
– les données alphanumériques (nom, prénom, date de naissance) relatives au demandeur et aux visas demandés, délivrés, refusés, annulés, retirés ou prorogés ;
– les photographies ;
– les empreintes digitales ;
– les liens avec les demandes de visa précédentes et avec les dossiers de demande des personnes voyageant ensemble.
Les autorités chargées des visas peuvent consulter le VIS dans le cadre des décisions de délivrance, de refus, de prorogation, d’annulation, de retrait du visa ou de réduction de sa durée de validité. Les autorités chargées des contrôles aux frontières extérieures et sur le territoire des Etats membres sont également autorisées à consulter le VIS.
Par ailleurs, les autorités nationales et Europol peuvent demander l’accès aux données du système VIS aux fins de prévention, de détection et d’investigation d’infractions terroristes et pénales dans des cas prévus par la décision 2008/633/JAI. Ces consultations ont lieu par l’intermédiaire de points centraux d’accès qui vérifient la conformité des demandes avec la décision précitée.
Les postes consulaires et les points de passage aux frontières extérieures ont été progressivement connectés, depuis 2011, à la base de données centrale. Le déploiement a commencé par l’Afrique du Nord, le Proche-Orient et le Golfe. Il s’est achevé le 20 novembre 2015 pour ce qui concerne les services des visas à l’étranger et le 29 février 2016 pour les points de passage frontaliers de l’espace Schengen.
Depuis le 1er décembre 2012, l’Agence EU-Lisa est chargée de la gestion opérationnelle de la base de données centrale, dite « VIS Central », et des interfaces qui la relient au système national de chaque Etat membre. L’Agence est également chargée d’assurer l’infrastructure de communication, de veiller à ce que le système soit géré conformément aux règles en vigueur, s’agissant notamment des autorisations d’accès aux données, et d’assurer des tâches de formation à l’utilisation technique du VIS.
Le système Eurodac permet de comparer les empreintes digitales des demandeurs d’asile et de plusieurs catégories d’immigrants clandestins. Il vise ainsi à faciliter l’application du règlement dit « Dublin III », du 26 juin 2013, qui établit les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite par un ressortissant de pays tiers ou un apatride. Eurodac permet en effet de vérifier si un demandeur d’asile ou un ressortissant étranger en séjour irrégulier a déjà introduit une demande d’asile dans un autre Etat membre.
Les données suivantes peuvent être enregistrées dans Eurodac :
– les empreintes digitales et la date à laquelle elles ont été relevées ;
– le sexe de la personne concernée ;
– l’État membre d'origine, le lieu et la date de la demande de protection internationale ;
– la date à laquelle les données ont été transmises au système central ;
– le cas échéant, la date d'arrivée de la personne à la suite d'un transfert, la date à laquelle elle a quitté le territoire d’un État membre ou en a été éloignée, la date à laquelle la décision d'examiner la demande a été prise.
Les Etats membres ont l’obligation d’enregistrer les empreintes digitales des demandeurs de protection internationale dans Eurodac. Elles sont comparées automatiquement avec les données déjà présentes dans le système et conservées pendant 10 ans. Les Etats membres ont également l’obligation de relever les empreintes digitales des ressortissants de pays tiers ou des apatrides interpellés à l’occasion du franchissement irrégulier d’une frontière extérieure de l’Union européenne. Ces données sont conservées pour une durée de 18 mois. Les empreintes digitales d’un étranger séjournant illégalement sur le territoire d’un Etat membre peuvent également être transmises (5), mais elles ne sont comparées qu’avec celles des demandeurs d’asile et ne sont pas conservées dans le système Eurodac.
Sous certaines conditions, les services répressifs des Etats membres sont autorisés à accéder à Eurodac pour réaliser des comparaisons aux fins de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves et des enquêtes en la matière. Ces services répressifs ne peuvent toutefois demander de comparaison avec les données enregistrées dans Eurodac que dans des « cas précis », ce qui signifie que des consultations systématiques ne peuvent pas être effectuées, et lorsqu’il existe des motifs raisonnables de penser que la comparaison apportera une contribution significative. Autre condition, la comparaison n’est possible que si celle avec les bases nationales de données dactyloscopiques, avec le système Prüm et avec le VIS s’est révélée infructueuse pour déterminer l’identité de la personne concernée.
Votre Rapporteur estime qu’un droit d’accès à Eurodac plus simple et plus large devrait être reconnu aux services répressifs. On peut également s’interroger sur la durée de conservation très limitée – seulement 18 mois – des données relatives aux étrangers interpellés lors du franchissement irrégulier d’une frontière extérieure de l’Union européenne.
Le système Eurodac repose très classiquement sur une base de données centrale et une infrastructure de communication avec les États membres. Il revient à ces derniers d’assurer la sécurité des données avant et pendant leur transmission au système central, ainsi que la sécurité des données qu’ils ont reçues. L’Agence Eu-LISA, quant à elle, est chargée de veiller à ce que le système central soit géré conformément aux dispositions du règlement Eurodac. Elle doit notamment prendre les mesures nécessaires pour assurer sa sécurité. Comme pour le SIS II et le VIS, l’Agence est également chargée de missions de formation à l’utilisation technique du système.
Outre les systèmes d’information SIS II, VIS et Eurodac, qui viennent d’être présentés, l'Agence Eu-LISA pourrait être chargée de développer de nouveaux dispositifs et de prendre en charge leur gestion opérationnelle. Il s’agit en particulier du système relatif aux données des dossiers passagers (dit « PNR »), qui vient enfin d’être adopté mais reste à mettre en œuvre, du système d'entrée/sortie dit « EES » et d’un mécanisme européen de surveillance du financement du terrorisme, encore assez hypothétique compte tenu de l’état d’avancement des travaux au plan européen.
La mise en place de ces nouvelles bases de données permettrait de remédier à une partie des lacunes actuelles en matière de gestion des frontières et de sécurité intérieure. Un ensemble cohérent et complet de systèmes d’information est un corollaire indispensable de la liberté de circulation dans l’espace Schengen. La suppression des contrôles aux frontières intérieures impose en effet que les services répressifs puissent accéder rapidement et efficacement à toutes les informations pertinentes en provenance des autres Etats membres. Comme l’a souligné une récente communication de la Commission européenne, on est malheureusement encore très loin du compte.
1. Les nouveaux systèmes d’information dont l'Agence Eu-Lisa pourrait prendre en charge le développement et/ou la gestion opérationnelle
De nouveaux systèmes d’information pourraient être confiés à l'Agence Eu-Lisa, comme le permet la directive de 2011 précitée.
Le Parlement européen a finalement adopté le 14 avril dernier la directive relative à l'utilisation des données des dossiers passagers (dites « données PNR »), après avoir longtemps bloqué ce texte. Il permettra de recueillir et de traiter des informations utiles pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.
Conformément à la directive, publiée au Journal officiel de l'Union européenne du 4 mai 2016, les Etats membres sont tenus de créer leur système national PNR dans un délai de deux ans. Ils seront en charge, par le biais de leur plateforme nationale ou UIP (Unité Informations Passagers), d'exploiter les données PNR qu'ils auront collectées auprès des transporteurs aériens et d'échanger les données pertinentes ou le résultat de leur traitement avec les autres Etats membres et Europol.
La directive ne concerne que les vols extra-européens, mais permet aux Etats membres d'appliquer également le dispositif aux vols intra-européens, d'un Etat membre à un autre sans escale dans un pays tiers. Le Conseil européen des 17 et 18 décembre 2015 a rappelé l'engagement des Etats membres à y veiller.
La contribution de l'Agence Eu-LISA à la mise en place du PNR européen n'est pas encore précisément connue. Il n'y aura pas de constitution d'une base de données centrale, à la différence des systèmes retenus pour le SIS, le VIS et Eurodac. Les Etats membres et la Commission européenne n'y étaient pas favorables. L'Agence pourrait néanmoins apporter un support technique aux Etats membres, notamment afin que la mise en œuvre des systèmes nationaux PNR soit techniquement normalisée.
La Commission européenne a proposé de créer un quatrième système d'information centralisé pour la gestion des frontières et la sécurité intérieure, aux côtés du SIS II, du VIS et d'Eurodac. Selon les propositions révisées que la Commission a présentées en avril dernier, l'EES enregistrerait les franchissements de frontières de tous les ressortissants de pays tiers qui se rendent dans l'espace Schengen pour un court séjour, qu'ils soient soumis à une obligation de visa ou qu'ils en soient exemptés, ou pour des séjours au titre du nouveau visa d'itinérance proposé par la Commission européenne.
L'EES enregistrerait l'identité des voyageurs, y compris leurs empreintes digitales et une image faciale, ainsi que les données figurant dans les documents de voyage. La valeur ajoutée est manifeste par rapport à l'actuel système, qui date d'une autre époque. L'EES remplacerait en effet l'apposition de simples cachets sur les documents de voyage pour indiquer les dates d'entrée et de sortie. Cela permettrait de renforcer l'automatisation aux points de passage frontaliers, de mieux détecter les dépassements de la durée de séjour autorisée, de renforcer la lutte contre la fraude documentaire et de faciliter l'identification des étrangers en situation irrégulière, grâce aux données biométriques conservées lors d'un passage aux frontières. Le système EES présente aussi un intérêt pour la lutte contre le terrorisme et d'autres formes graves de criminalité, en simplifiant la reconstitution des déplacements et l'identification des personnes.
Les propositions révisées de la Commission pour l'établissement du système EES se sont notamment nourries d'un rapport de l'Agence Eu-LISA sur les résultats techniques de projets pilotes menés par une dizaine d'Etats membres en 2015, sous la responsabilité de l'Agence. Le développement de la base de données centrale, d’une interface nationale uniforme et d'un dispositif assurant l'interopérabilité du système avec le VIS serait en outre confié à l'Agence. Elle en assurerait ensuite la gestion opérationnelle.
L’exposé des motifs du projet de loi évoque aussi la possibilité de confier à l’Agence Eu-LISA des missions de développement et de gestion opérationnelle d’un éventuel programme européen de surveillance du financement du terrorisme, s’il était décidé de le créer.
Il faut d’abord rappeler qu’un accord a été conclu en 2010 entre l’Union européenne et les Etats-Unis pour régir le traitement et le transfert de données de la messagerie financière SWIFT, société de droit belge en situation quasi-monopolistique, dans le cadre du programme américain de surveillance du financement du terrorisme dit « TFTP » (« Terrorist Finance Tracking Program »), conçu au lendemain des attentats du 11 septembre 2001. Les données sont transmises aux services américains, qui se sont engagés à mettre à la disposition des services répressifs européens toute information utile qui aurait été obtenue dans le cadre du TFTP. Les services des Etats membres peuvent également demander au Trésor américain d'effectuer des recherches dans les données SWIFT.
La création d’un équivalent européen du TFTP permettrait de lutter plus efficacement contre le financement du terrorisme sans dépendre d’une coopération avec les Etats-Unis dans ce domaine. La Commission européenne a néanmoins estimé, à l’issue de plusieurs études d’impact, que la mise en place d’un tel programme de surveillance ne serait ni proportionnée ni porteuse de valeur ajoutée dans la mesure où le suivi des transactions internationales fonctionne déjà de manière efficace en application de l’accord de 2010.
Dans sa communication du 2 février 2016 relative à un plan d’action pour renforcer la lutte contre le financement du terrorisme, la Commission européenne a malgré tout annoncé qu’elle examinerait la nécessité de mécanismes européens qui pourraient compléter le TFTP, sans chercher à le remplacer. Il s’agirait de tracer les transactions auxquelles l’accord de 2010 ne s’appliquerait pas, notamment les paiements en euros à l’intérieur de l’UE.
La mise en place prochaine du PNR européen et la création, encore à confirmer, d’un système d’entrée/sortie et d’un programme européen de surveillance du financement du terrorisme permettraient de combler une partie des lacunes actuelles en matière de gestion des frontières et de sécurité intérieure. Mais les défaillances vont bien au-delà de la question des bases de données manquantes : des fonctionnalités cruciales font défaut dans les systèmes d’information existants ; ces systèmes ne sont utilisés que de manière incomplète ; ils sont souvent mal alimentés en données par les Etats membres ; leur manque d’interopérabilité limite aussi leur efficacité.
Outre les trois systèmes d’information qui viennent d’être présentés, le PNR, le système EES et le TFTP européen, la Commission européenne a souligné dans une communication du 6 avril dernier, relative à « des systèmes d’information plus robustes et plus intelligents au service des frontières et de la sécurité », la nécessité de combler d’autres lacunes.
– La première concerne le manque d’informations préalablement à l’arrivée de ressortissants de pays tiers exemptés de l’obligation de visa. Des données seront certes collectées en application de la directive PNR si ces personnes arrivent par la voie aérienne, mais aucune information ne sera disponible avant le franchissement des frontières terrestres. Outre que plusieurs pays voisins de l’Union européenne sont déjà dispensés de l’obligation de visa, des dialogues sont en cours avec d’autres pays en la matière.
Un système européen d’information et d’autorisation des voyages (ETIAS) pourrait donc être envisagé, sur le modèle des dispositifs mis en place par les Etats-Unis, le Canada ou encore l’Australie. La Commission européenne a indiqué dans la communication précitée qu’elle examinerait l’utilité, la faisabilité technique et la proportionnalité d’un tel système avant la fin de l’année 2016.
– Une seconde lacune concerne la disponibilité en temps réel des données policières existant dans l’ensemble des Etats membres. Un système d’index européen des registres de police (EPRIS), envisagé par la Commission européenne, faciliterait et accélérerait l’accès aux informations conservées dans les bases de données des services répressifs nationaux.
Une recherche dans l’index permettrait en effet d’indiquer si un individu fait l’objet d’une inscription dans les registres de police ou d’une enquête en cours dans un ou plusieurs autres Etats membres. En cas de concordance, des données à caractère personnel supplémentaires seraient échangées en empruntant les canaux habituels de la coopération policière.
– Les vérifications aux frontières extérieures dans le cadre du système d’information Schengen sont effectuées sur la base du nom et de la date de naissance, les empreintes digitales ne pouvant être utilisées que pour vérifier et confirmer l’identité d’une personne déjà identifiée grâce à son nom. Afin d’éviter que des personnes faisant l’objet d’un signalement échappent à une concordance dans le SIS en utilisant de faux documents, un système automatisé d’identification des empreintes digitales doit impérativement être mis en place. Les travaux engagés pour remédier à cette faille de sécurité ne devraient pourtant pas aboutir avant 2017 ou 2018.
S’agissant du SIS, la Commission européenne explore en outre la possibilité d’ajouter les fonctionnalités suivantes : l’utilisation des images faciales aux fins d’identification biométrique, en complément des empreintes digitales ; la création de signalements sur les migrants en situation irrégulière faisant l’objet d’une décision de retour ; la transmission automatisée d’informations en cas de réponse positive à l’issue d’une vérification ; la création d’une nouvelle catégorie de signalement relative aux personnes inconnues recherchées, pour lesquelles il peut exister des données de police scientifique dans les bases de données nationales. Votre Rapporteur estime qu’il convient d’avancer au plus vite sur ces différents sujets.
– La Commission européenne a également proposé d’étendre l’utilisation d’Eurodac au-delà de la seule mise en œuvre du règlement de Dublin. Eurodac pourrait en effet aider à renforcer la lutte contre l’immigration irrégulière si toutes les données relevées étaient conservées dans le système et comparées, toutes catégories confondues (6). Cela permettrait d’améliorer l’identification des migrants, de mieux apprécier les risques de fuite et de renforcer l’effectivité et la rapidité des procédures de retour et de réadmission.
Une autre défaillance majeure concerne l’utilisation des systèmes d’information.
Europol n’utilise que très marginalement le droit d’accès qui lui a été accordé aux principales bases de données centralisées. Les travaux destinés à établir sa connexion aux systèmes VIS et Eurodac ne sont même pas achevés. S’agissant du SIS, Europol n’utilise que très peu son accès aux fins de recoupement et d’analyse. En 2015, l’Agence n’a procédé qu’à 740 consultations sur la base des articles 26 (personnes recherchées pour arrestation) et 36 (personnes observées, faisant l’objet d’un contrôle discret ou spécifique) de la décision SIS du 12 juin 2007. La fonctionnalité de consultation sur la base de l’article 38 (données relatives aux objets recherchés aux fins de saisie ou de preuve dans une procédure pénale) n’est pas encore développée. Par ailleurs, Europol n’utilise qu’un procédé manuel de consultation.
Une autre série de difficultés concerne la consultation de la base SLTD d’Interpol, relative aux documents de voyage volés ou perdus, qui revêt une importance cruciale, notamment parce que les terroristes recourent fréquemment à de fausses identités. A ce jour, 166 pays alimentent cette base de données, dont les Etats membres de l’Union européenne. Le fichier contenait au 16 mai dernier plus de 58,4 millions de données (numéros de documents de voyage perdus, volés et invalidés), dont 1 639 127 données françaises. Pourtant, il reste à établir des connexions électroniques avec le SLTD à tous les points de passage des frontières extérieures.
S’agissant du cadre Prüm, qui permet l’échange de données relatives à l’ADN, aux empreintes digitales et à l’immatriculation des véhicules (7), les Etats membres suivants n’ont pas encore mis en œuvre leurs obligations :
– en matière de données ADN : Danemark, Grèce, Hongrie, Irlande, Italie et Royaume-Uni ;
– en matière d’empreintes digitales : Danemark, Grèce, Hongrie, Irlande, Italie, Portugal, Suède, Royaume Uni ;
– en matière de données liées aux véhicules : République Tchèque, Danemark, Grèce, Irlande, Italie, Portugal, Royaume Uni (8).
Les problèmes d’alimentation des systèmes d’information centralisés en données pertinentes et de qualité sont bien connus. La communication précitée de la Commission européenne propose que l’Agence Eu-LISA mette en place un mécanisme central de suivi de la qualité des données pour l’ensemble des systèmes relevant de sa compétence.
Si les données versées dans le VIS par les Etats membres sont jugées globalement de bonne qualité, il reste à alimenter de manière systématique et précise le SIS II. S’agissant d’Eurodac, certains Etats membres n’enregistrent pas systématiquement ou correctement les empreintes digitales.
L’architecture d’ensemble des systèmes d’information relatifs au contrôle des frontières et à la sécurité intérieure se caractérise par un degré élevé de fragmentation et de complexité. Des informations complémentaires sont stockées séparément dans des systèmes différents et rarement interconnectés, ce qui pose des difficultés pour accéder à des informations utiles et pour mettre en relation des données qui seraient fragmentaires.
Il conviendrait a minima de créer une interface de recherche unique permettant d’interroger simultanément plusieurs systèmes d’information et de produire des résultats combinés sur un seul écran, sans remise en cause des règles d’accès aux bases de données. Afin d’aller plus loin, l’interconnexion des systèmes permettrait aux données enregistrées dans un système d’être automatiquement consultées par un autre système. Le futur système EES est, par exemple, conçu pour communiquer directement avec le VIS au niveau central, ce qui dispensera les Etats membres de l’interroger lors des vérifications aux frontières.
Ces différents travaux relèvent clairement de la compétence technique de l’Agence Eu-LISA. Selon le Gouvernement, les priorités sont les suivantes : les travaux en cours pour rendre interopérables le SIS II et la base SLTD ; les projets d’interopérabilité entre le SIS II et les bases de données Eurodac et VIS, puis avec le futur système entrée/sortie EES. Sur le plan technique, ces projets dépendent de la réalisation d’une première étape, qui consistera à doter le SIS II d’un moteur de recherche et de comparaison d’empreintes digitales. L’échéance, on l’a dit, est vraisemblablement 2017/2018, ce que l’on pourra trouver assez lointain.
III. II. LE TEXTE SOUMIS À LA COMMISSION : UN ACCORD RELATIF AUX CONDITIONS D’INSTALLATION ET DE FONCTIONNEMENT DE L’AGENCE SUR LE TERRITOIRE FRANÇAIS
Le présent accord, conclu à Bruxelles le 5 décembre 2013, concerne le site technique principal de l’Agence Eu-LISA, installé à Strasbourg. Les principales règles de fonctionnement de l’Agence ayant été établies par le règlement européen précité de 2011, la portée du texte soumis à la Commission peut paraître quelque peu restreinte. L’accord de 2013 n’en est pas moins essentiel pour préciser les conditions d’installation et de fonctionnement d’Eu-LISA sur le territoire français.
L’Agence Eu-LISA a été créée par le règlement (UE) n° 1077/2011 du 25 octobre 2011. Il s’agissait de confier à une seule et même entité la gestion opérationnelle et le développement de plusieurs systèmes d’information centralisés au plan européen « de manière à bénéficier d’économies d’échelle, à atteindre une masse critique et à assurer le taux d’utilisation du capital et des ressources humaines le plus élevé possible ». La gestion opérationnelle du SIS II, du VIS et d’Eurodac était jusque-là confiée, à titre transitoire, à la Commission européenne.
Aux termes de l’article 1er du règlement, « la gestion opérationnelle comprend toutes tâches nécessaires pour que les systèmes d’information à grande échelle puissent fonctionner conformément aux dispositions spécifiques applicables à chacun d’entre eux ». L’article 2 charge l’Agence d’assurer le fonctionnement efficace, sécurisé et continu des systèmes d’information, leur gestion efficace et financièrement rationnelle, un service de niveau suffisamment élevé aux utilisateurs, ainsi qu’un niveau adéquat de protection des données et de sécurité physique, conformément aux dispositions applicables.
Jouissant d’une autonomie juridique, administrative et financière, l’Agence est dotée de la personnalité juridique et d’un budget propre.
L’article 32 du règlement de 2011 prévoit trois types de recettes : une subvention de l’Union européenne, inscrite au budget général de l’UE ; une contribution financière des pays associés à l’acquis de Schengen et aux mesures relatives à Eurodac ; des contributions financières des Etats membres. Pour 2016, le budget prévisionnel est d’environ 82,5 millions d’euros, dont 80,3 millions au titre de la subvention de l’UE et 2,24 millions au titre de la contribution financière des pays associés.
La structure de l’Agence suit un schéma très classique :
– un conseil d’administration, composé d’un représentant de chaque Etat membre et de deux représentants de la Commission européenne ;
– un directeur exécutif, chargé de gérer et de représenter l’Agence – il s’agit à l’heure actuelle de M. Krum Garkov, de nationalité bulgare, qui a pris ses fonctions à Tallinn le 1er novembre 2012 ;
– des groupes consultatifs relatifs aux différents systèmes d’information gérés par l’Agence.
Les pays associés à la mise en œuvre, à l’application et au développement de l’acquis de Schengen et aux mesures relatives à Eurodac participent aux activités de l’Agence. Chacun d’eux nomme un représentant et un suppléant au sein du conseil d’administration.
Le personnel de l’Agence se compose de fonctionnaires et d’agents temporaires ou contractuels ; la Commission et les Etats membres peuvent également détacher, à titre temporaire, des fonctionnaires ou des experts nationaux auprès d’Eu-LISA.
Les ressources humaines de l’agence fin 2015 sont présentées dans le tableau ci-dessous :
Parmi les 22 nationalités représentées au sein de l’Agence, la France compte 17 administrateurs et 9 assistants, ce qui correspond à 22,22 % des agents temporaires, et 3 agents contractuels, soit 25 % de cette catégorie. Il n’y a pas d’expert national français.
Conformément à l’article 20 du règlement de 2011, le directeur exécutif et le personnel de l’Agence sont soumis au statut et aux règles adoptés conjointement par les institutions de l’Union européenne pour son application. Le protocole sur les privilèges et immunités de l’Union européenne s’applique également à l’Agence.
L’Agence Eu-LISA est implantée sur trois sites répartis entre l’Estonie, la France et l’Autriche. On peut s’étonner d’une telle dispersion géographique, a priori peu compatible avec les principes d’économies d’échelle et de synergies qui ont présidé à la création de cette Agence.
Le site technique principal d’Eu-LISA est implanté à Strasbourg, où sont exécutées les tâches de gestion opérationnelle et de développement technique des systèmes. Le choix de Strasbourg s’imposait de manière logique, car les systèmes centraux du SIS II et du VIS y étaient préalablement implantés, dans un centre de données appartenant à la France et géré par elle. Eurodac était en revanche implanté dans les locaux de la Commission européenne à Luxembourg (9).
C’est pourtant la ville de Tallinn, en Estonie, qui a été choisie pour accueillir le siège de l’Agence. Y sont effectuées les tâches relatives à la gouvernance et à la stratégie d’Eu-LISA, ainsi qu’à la conception des programmes. L’Estonie s’étant portée candidate avec la France pour accueillir l’Agence sur son territoire, un accord politique a finalement été trouvé pour séparer le siège du site technique principal.
Un site technique de sauvegarde, destiné à permettre le fonctionnement des systèmes d’information en cas de défaillance sur le site technique principal, est implanté en Autriche, à Sankt Johann im Pongau. Ce site possède les mêmes infrastructures et fonctionnalités que celui de Strasbourg. La séparation entre le site technique principal et le site de secours est plus compréhensible que celle du siège. Du reste, les sites de secours du SIS II et du VIS étaient déjà localisés en Autriche.
S’agissant des dispositions relatives aux implantations de l’Agence, en particulier les prestations fournies par les États d’accueil et la question des privilèges et immunités, le règlement précité de 2011 renvoie logiquement à trois accords distincts.
L’accord relatif au siège de l’Agence, à Tallinn, a été signé le 19 décembre 2014, puis ratifié par le Parlement estonien le 18 février 2015. L’Estonie s’est engagée à construire de nouveaux locaux, le personnel étant installé depuis 2012 dans des espaces de bureau temporaires. Un budget de 8,4 millions d’euros a été prévu par le Parlement estonien pour la création du nouveau siège.
L’accord relatif au site de sauvegarde a été signé le 27 mai 2013. Il est entré en vigueur dès le 13 octobre suivant. Eu-LISA est locataire d’une surface au sein d’un centre de secours national appartenant à l’Autriche.
L’accord relatif au site technique principal, à Strasbourg, a été signé le 5 décembre 2013. Le conseil d’administration de l’Agence l’ayant d’ores et déjà ratifié, il revient maintenant à la France de l’approuver. Tel est l’objet du présent projet de loi.
L’accord conclu entre Eu-LISA et la France pour son site technique principal a deux objectifs principaux : définir les modalités selon lesquelles le Gouvernement met à la disposition de l’Agence des locaux et d’autres formes de soutiens ou de facilités ; préciser les privilèges et immunités accordés à l’Agence ainsi qu’au personnel employé à Strasbourg.
Les négociations ont commencé le 31 janvier 2012 et se sont poursuivies jusqu’au mois de septembre de l’année suivante. Cette durée s’explique notamment par des divergences sur l’étendue des privilèges et immunités. La France ne souhaitait pas aller au-delà des dispositions prévues par le protocole sur les privilèges et immunités de l’Union européenne, alors que l’Agence voulait les décliner de manière plus complète au bénéfice de son personnel.
Le périmètre du site est défini à l’article 4, qui renvoie à l’annexe A de l’accord. Le site comprend les locaux, les bâtiments, les terrains et le parking du site central du système d’information Schengen, déjà occupé par l’Agence, le parking non sécurisé attenant, ainsi qu’un terrain contigu de 50 ares.
Leur propriété a été transférée par l’Etat à l’Agence le 9 mai 2013, par un acte de vente d’un montant d’un euro.
Le terrain de 50 ares est destiné à accueillir une extension des locaux de l’Agence. D’une valeur estimée à 500 000 euros, il a été offert par la communauté urbaine de Strasbourg.
La desserte de ce terrain sera assurée par la création d’une nouvelle voie publique ; en attendant, une servitude de passage permet d’assurer l’accès.
L’Agence jouit du droit exclusif d’utilisation du site, sous réserve de clauses relatives à un pylône qui y est installé. Ce pylône fait partie de la plaque INPT – Infrastructure Nationale Partageable des Télécommunications – de Strasbourg.
L’INPT est un réseau radio régalien à couverture nationale, organisé en plaques regroupant plusieurs relais. Il est ouvert aux unités de la police, des pompiers et, sous certaines conditions, des polices municipales, de la douane et de l’administration pénitentiaire. Le pylône supporte une antenne omnidirectionnelle utilisée en relais radio, ainsi que des antennes GPS. L’équipement doit être prochainement complété par au moins un faisceau hertzien.
En vertu du bail précité, l’Etat conserve l’accès permanent au pylône et à son local technique jusqu’au 30 avril 2023, pour en assurer le maintien en conditions opérationnelles. Durant cette période, l’Agence ne peut ni modifier l’antenne ni intervenir sur elle sans un accord écrit préalable des autorités françaises.
L’Etat devra rendre le terrain libre à la fin du bail et prendra donc à sa charge exclusive les travaux liés au démantèlement du pylône, du local technique et des installations liées.
Le texte soumis à la Commission comporte des stipulations classiquement prévues par les accords de siège en matière de privilèges et d’immunités.
L’accord garantit l’inviolabilité des locaux de l’Agence, de ses archives, de sa correspondance et de ses autres communications officielles, ainsi que de tout document destiné à un usage officiel lui appartenant ou en sa possession (article 6).
Les locaux de l’Agence ne peuvent pas faire l’objet de perquisition, réquisition, confiscation ou expropriation ; ses biens et avoirs ne peuvent faire l’objet d’aucune mesure de contrainte administrative ou judiciaire sans une autorisation de la Cour de justice de l’Union européenne (article 7).
L’article 8 garantit la confidentialité des communications de l’Agence, qui bénéficie en la matière du même traitement que les missions diplomatiques.
Le régime fiscal de l’Agence est déterminé par les articles 8 à 12. Elle est exonérée d’impôts directs sur ses avoirs, revenus et biens. Elle bénéficie d’une remise ou du remboursement du montant des droits indirects et des taxes à la vente sur les achats destinés à son usage officiel. L’Agence est exonérée de tous les droits de douane, prohibitions et restrictions d’importation et d’exportation à l’égard des articles destinés à son usage officiel, ainsi qu’à l’égard de ses publications. Les biens achetés ou importés par l’Agence en exemption de taxes et droits ne peuvent être cédés sur le territoire français qu’avec l’accord préalable des autorités françaises ou après acquittement des droits et taxes.
Le directeur exécutif, le personnel statutaire – défini à l’article 2 comme comprenant les fonctionnaires et agents temporaires ou contractuels employés par l’Agence – et les experts détachés bénéficient de facilités en matière d’entrée et de séjour (article 15). Les membres de leur famille vivant à leur foyer en bénéficient également.
Seuls les membres du personnel statutaire, et non les experts détachés, bénéficient d’une immunité de juridiction pour les actes accomplis en leur qualité officielle, même après la cessation de leurs fonctions ; il en est de même pour le droit d’importer et de réexporter leur mobilier et leurs effets, y compris un véhicule affecté à leur usage personnel (article 16).
Les membres du personnel statutaire de l’Agence, soumis à un impôt communautaire retenu à la source, sont exempts d’impôt sur le revenu en France (article 17). Dans la mesure où ils sont couverts par le régime des prestations sociales applicables aux fonctionnaires et autres agents de l’Union européenne, les membres du personnel de l’Agence sont exempts de l’ensemble des cotisations obligatoires du régime de sécurité sociale français, de même que les experts détachés pour autant qu’ils soient couverts par le régime de sécurité sociale de leur Etat d’origine (article 13).
Il faut souligner que l’accord comporte des dispositions anti-abus. Aux termes de l’article 26, l’Agence doit coopérer avec les autorités compétentes afin de prévenir tout abus des privilèges, immunités et facilités prévus par l’accord. Le directeur de l’Agence est tenu de lever l’immunité des membres du personnel statutaire et des experts détachés dans tous les cas où son maintien entraverait le cours de la justice et dans la mesure où il estime que la levée de l’immunité ne nuirait pas aux intérêts de l’Agence. Le conseil d’administration de l’Agence a la même obligation à l’égard de ses propres membres et du directeur exécutif.
Les articles 19 à 21 précisent les responsabilités des deux parties en matière de sécurité.
L’article 19 rappelle que l’Agence est responsable de la sécurité et du maintien de l’ordre dans les bâtiments et les locaux ainsi que sur les terrains qu’elle occupe, conformément au règlement précité de 2011. Elle peut en particulier refuser l’accès à ses locaux ou décider d’en expulser toute personne jugée indésirable. L’Agence consulte les autorités françaises pour l’établissement de ses règles et procédures de sécurité interne.
L’article 21 permet à l’Agence de recruter des gardes de sécurité et des gardes du corps autorisés à porter des armes à feu dans le site.
Aux termes de l’article 20, la France est chargée d’assurer la sécurité et le maintien de l’ordre aux abords immédiats des locaux et terrains occupés par l’Agence. Les agents chargés par la loi de la sécurité et du maintien de l’ordre ne peuvent pénétrer dans le site de l’Agence qu’à sa demande ou avec son autorisation. En cas d’incendie ou de toute situation d’urgence réclamant des mesures de protection immédiate, cette autorisation est présumée.
Les modalités pratiques de l’assistance et de la coopération entre la France et l’Agence en matière de sécurité sont déterminées dans un plan de protection externe établi conjointement.
Outre les clauses relatives à la mise à disposition du site et aux privilèges et immunités, le soutien de la France se traduit par les engagements suivants :
– faciliter l’accès de l’Agence à tous les services publics nécessaires à l’accomplissement de ses missions ;
– offrir les meilleures solutions possibles pour la scolarisation des enfants du personnel, notamment l’accès à l’Ecole européenne de Strasbourg ;
– s’efforcer d’offrir aux membres du personnel des liaisons de transport appropriées, les locaux de l’Agence devant être situés à une distance raisonnable de lignes de transport ;
– instituer un point de contact unique pour orienter l’Agence dans ses démarches administratives.
Une procédure de règlement des différends est prévue à l’article 27. En l’absence de règlement à l’amiable ou d’échec d’une médiation, selon une procédure établie par le même article, tout différend sur l’interprétation ou l’application de l’accord est porté devant la Cour de justice de l’Union européenne.
Aux termes de l’article 28, la responsabilité de la France n’est pas engagée pour les activités exercées sur le territoire de la République par l’Agence, ni pour les actes ou omissions de son directeur exécutif ou de son personnel dans le cadre de leurs attributions.
L’article 29 précise les modalités de modification de l’accord. Les annexes en font partie intégrante (article 30). L’accord entre en vigueur trente jours après que les parties se sont mutuellement notifié l’accomplissement des procédures internes nécessaires (article 31).
Votre Rapporteur vous invite à approuver le présent projet de loi, qui autorise l’approbation de l’accord conclu en 2013 entre la France et l’Agence Eu-LISA pour l’implantation de son site technique principal à Strasbourg.
On peut regretter la dispersion des sites de cette Agence entre l’Estonie, la France et l’Autriche. Ce choix semble en effet peu compatible avec les principes d’économies d’échelle et de synergies qui ont présidé à la création d’Eu-LISA. Seule l’implantation à Strasbourg se justifiait rationnellement, car les systèmes centraux du SIS II et du VIS, dont l’Agence a repris la charge, y étaient préalablement implantés.
Néanmoins, cela ne doit pas empêcher de soutenir Eu-LISA. Les systèmes d’information dont elle assure la gestion opérationnelle jouent en effet un rôle essentiel en matière de gestion des frontières et de sécurité intérieure.
D’autres systèmes dont le développement et/ou la gestion opérationnelle sont appelés à être confiés à cette même Agence méritent aussi l’appui de l’Assemblée nationale. Il s’agit en particulier du PNR européen, qui vient enfin d’être adopté par le Parlement européen et qu’il importe maintenant de mettre en œuvre sans tarder, mais aussi des projets de création du système d’entrée/sortie EES et d’un plus hypothétique programme de surveillance du financement du terrorisme.
Ces dispositifs sont les bienvenus car ils permettront de remédier à une partie des lacunes qui persistent dans le recueil et la mise à disposition des données auxquelles tous les services répressifs doivent pouvoir accéder au plan européen en contrepartie de la suppression des contrôles aux frontières intérieures dans l’espace Schengen.
De nombreuses failles de sécurité resteront cependant à traiter en urgence : d’autres systèmes d’information utiles sont encore manquants ; des fonctionnalités essentielles font défaut dans les systèmes d’information existants ; ces derniers sont utilisés de manière incomplète par les Etats membres et par Europol ; ils sont souvent mal alimentés en informations ; ils souffrent aussi d’un manque d’interopérabilité qui est à l’origine de nombreux angles morts.
C’est dire l’ampleur des travaux qui restent à confier impérativement, sur le plan technique, à l’Agence Eu-LISA, après avoir veillé à les lancer en donnant les impulsions politiques nécessaires.
La commission examine, sur le rapport de M. Pierre Lellouche, le projet de loi, adopté par le Sénat, autorisant l'approbation de l'accord relatif au site technique de l'Agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice entre le Gouvernement de la République française et l'Agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice, au cours de sa réunion du mercredi 25 mai 2016 à 16 heures 30.
M. Paul Giacobbi, président. Nous examinons, sur le rapport de M. Pierre Lellouche, le projet de loi autorisant l’approbation de l’accord relatif au site technique de l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (n° 3575).
Cet accord concerne des outils essentiels pour la gestion des frontières européennes. Derrière l’aspect technique, il y a un enjeu auquel nous devrions porter plus d’attention que nous ne le faisons en général.
M. Pierre Lellouche, rapporteur. Ce texte, d’apparence technique, est extrêmement important pour la protection des frontières extérieures de l’Union. Je constate pourtant qu’il y a davantage de migrants aux portes de l’Europe que de députés intéressés par cette question.
L’accord a été conclu le 5 décembre 2013. Il devait faire l’objet d’une procédure d’examen simplifiée, mais j’ai souhaité que nous saisissions cette occasion pour faire un point sur les systèmes d’information. Nous rejoignons ainsi d’autres travaux menés dans le cadre du groupe de travail de la commission sur les migrations et dans celui de la commission d’enquête sur le terrorisme. M. Patrick Calvar, le directeur général de la sécurité intérieure, que nous recevions hier dans le cadre de cette commission d’enquête, a d’ailleurs évoqué ces sujets. Ils ne sont pas techniques, mais extrêmement importants dans la lutte contre le terrorisme.
Cet accord est relatif à l’Agence Eu-LISA, qui est chargée de trois systèmes d’information essentiels : le système d’information Schengen de deuxième génération, dit SIS II, le système d’information sur les visas, le VIS, et le système Eurodac, qui rassemble les empreintes digitales des demandeurs d’asile et de certaines catégories d’étrangers en situation irrégulière.
Outre ces systèmes d’information, le règlement qui a créé l’Agence Eu-LISA, en 2011, permet de lui confier le développement et/ou la gestion opérationnelle de nouveaux dispositifs. Ce sera notamment le cas du PNR européen, tant attendu, qui vient enfin d’être adopté par le Parlement européen et qu’il faudra mettre en œuvre sans tarder. Il pourrait également s’agir du système d’entrée/sortie EES, qui devrait remplacer une pratique d’une autre époque, à savoir l’apposition manuelle de cachets sur les documents de voyage. Compte tenu du nombre de faux, il faut passer à la biométrie. A cela pourrait s’ajouter un programme important aux Etats-Unis, le TFTP, relatif à la surveillance du financement du terrorisme, qui est inexistant en Europe.
L’accord en lui-même appelle peu de commentaires. Il s’agit d’un accord de siège assez classique, comportant cinq types de clauses relatives au site où l’Agence est implantée, à Strasbourg, aux privilèges et aux immunités, à la sécurité du site, aux prestations et facilités accordées par la France, et enfin au règlement des différends, aux possibilités de modification de l’accord et à ses conditions d’entrée en vigueur.
S’agissant du site où l’Agence est implantée, je signalerai trois éléments. La propriété du site a été transférée par l’Etat à l’Agence pour le montant symbolique d’un euro, le 9 mai 2013. Le site comporte un terrain de 50 ares qui est destiné à accueillir une extension des locaux de l’Agence. Enfin, l’Agence jouit du droit exclusif d’utilisation du site, sous réserve de clauses relatives à un pylône de communication.
L’étendue des privilèges et immunités peut naturellement prêter à discussion, surtout lorsqu’il s’agit d’une Agence européenne et de son personnel. Les négociations ont d’ailleurs été assez longues. Elles se sont étendues du 31 janvier 2012 au mois de septembre de l’année suivante. La France ne souhaitait pas aller au-delà des dispositions prévues par le protocole sur les privilèges et immunités de l’Union européenne, alors que l’Agence voulait les décliner de manière plus complète au bénéfice de son personnel. Les privilèges et immunités consentis par la France sont assez classiques : inviolabilité des locaux, protection des communications, régime fiscal favorable, immunité de juridiction pour le personnel.
L’Agence est responsable de la sécurité et du maintien de l’ordre à l’intérieur du site. C’est un sujet important car il s’agit de données extrêmement sensibles. L’Agence peut notamment recruter des gardes portant des armes à feu. La France, quant à elle, se contente d’assurer la sécurité et le maintien de l’ordre aux abords immédiats. Il me semble que l’on pourrait s’interroger sur le bien-fondé de cette clause. Les forces de l’ordre ne peuvent pénétrer dans le site qu’à la demande ou avec l’autorisation de l’Agence, sauf situation d’urgence.
Les prestations et facilités accordées par la France concernent en particulier l’accès de l’Agence aux services publics, la scolarisation des enfants du personnel et les liaisons de transport.
Ces différentes clauses ne me paraissent pas poser de difficultés particulières, hormis en matière de sécurité. Mes réserves se situent sur deux autres plans. D’abord, je trouve d’abord assez ubuesque que l’Agence soit dispersée sur trois sites, dans trois pays différents. Ensuite, je tiens à souligner l’existence de nombreuses failles dans les systèmes d’information. Elles sont manifestes après les attentats que nous avons subis.
Tout d’abord, l’implantation de l’Agence dans trois Etats européens différents me paraît relativement étrange. Le site technique principal est situé à Strasbourg, le siège en Estonie, à Tallinn, et le site de secours en Autriche, alors que cette Agence était censée permettre des économies. En réalité, seule l’implantation à Strasbourg s’imposait logiquement. Les systèmes centraux du SIS II et du VIS y étaient déjà abrités, dans les locaux désormais transférés à l’Agence. Mais l’Estonie s’est portée candidate en même temps que la France pour accueillir Eu-LISA et il a fallu trouver un accord politique. Le siège a donc été séparé du site technique principal.
Ma deuxième réserve concerne le fonctionnement et l’architecture des bases de données, ce qui est bien plus important. La mise en place d’un ensemble complet et cohérent de systèmes d’information est un corollaire indispensable de la liberté de circulation dans l’espace Schengen. La suppression des contrôles aux frontières intérieures impose en effet que les services répressifs puissent accéder rapidement et efficacement à toutes les informations pertinentes en provenance des autres Etats membres. On est malheureusement très loin du compte.
Tout d’abord, plusieurs systèmes d’informations nécessaires sont encore manquants. J’ai évoqué le PNR, qui reste à mettre en place, ainsi que le système d’entrée/sortie EES et l’éventuel programme de surveillance du financement du terrorisme. Mais il manque encore d’autres dispositifs.
S’agissant des ressortissants de pays tiers exemptés de l’obligation de visa, il n’y a pas d’information disponible préalablement à leur arrivée par les frontières terrestres. D’où l’utilité d’un système européen d’information et d’autorisation des voyages, sur le modèle de l’ESTA américain ou des systèmes canadien et australien.
Une seconde lacune concerne la disponibilité en temps réel des données policières existant dans l’ensemble des Etats membres de l’UE. Un index européen des registres de police, envisagé par la Commission, permettrait de faciliter et d’accélérer l’accès aux informations conservées dans les bases de données des services répressifs européens.
En second lieu, des fonctionnalités essentielles sont absentes dans les systèmes d’information existants. On ne peut pas faire de recherche dans le SIS II sur la base des empreintes digitales d’une personne, mais seulement à partir de son nom et de sa date de naissance. Il faudrait donc mettre en place très rapidement un moteur de recherche et de comparaison de données biométriques. Des centaines de milliers de faux documents sont en circulation. Il y a maintenant un proto-Etat, Daech, qui produit des faux papiers.
La Commission européenne explore aussi la possibilité d’ajouter d’autres fonctionnalités qui sont aujourd’hui manquantes dans le SIS II : l’utilisation des images faciales pour l’identification des personnes ; la création de signalements sur les migrants en situation irrégulière faisant l’objet d’une décision de retour ; la transmission automatisée d’informations en cas de réponse positive à l’issue d’une vérification ; la création d’une nouvelle catégorie de signalement relative aux personnes inconnues recherchées, pour lesquelles il peut exister des données de police scientifique dans les bases de données nationales.
Je voudrais souligner que la gendarmerie française a intercepté Salah Abdeslam à Cambrai le 13 novembre au soir, mais n’a pas eu de réponse à temps du système Schengen. Il a ensuite fallu le laisser partir.
Troisième défaillance majeure, l’utilisation des systèmes d’information est très incomplète. Europol a le droit d’accéder aux systèmes SIS II, Eurodac et VIS, mais n’en fait quasiment pas usage. Europol n’a même pas établi de connexions techniques à Eurodac et au VIS. Et il n’y a eu que 740 consultations du SIS en 2015. S’agissant de la base SLTD, qui est relative aux documents de voyage volés ou perdus, ce qui est important pour lutter contre la fraude documentaire et le terrorisme, il reste notamment à établir des connexions électroniques à ce fichier à tous les points de passage des frontières extérieures. En ce qui concerne le cadre Prüm, qui permet l’échange de données relatives à l’ADN, aux empreintes digitales et à l’immatriculation des véhicules, je donne dans mon rapport écrit la liste des Etats membres qui n’ont pas rempli leurs obligations. Cela concerne au moins un tiers des membres de l’espace Schengen.
La quatrième grande faille est malheureusement bien connue. Les bases de données sont souvent mal renseignées par les Etats membres. Il reste à alimenter le SIS II de manière systématique et précise, ce que ne prévoient pas les lois nationales partout en Europe. Patrick Calvar nous disait hier que nos voisins belges ne nourrissent pas le SIS II, alors que la DGSI française a transmis nos 9 000 fiches S.
La Commission européenne a proposé que l’Agence Eu-LISA mette en place un mécanisme central pour suivre la qualité des données dans l’ensemble des systèmes relevant de sa compétence. Mais il faudrait aussi que les législations nationales nécessaires soient en place.
Un dernier problème vient de l’architecture très fragmentée et complexe des systèmes d’information. Des données complémentaires sont stockées séparément dans des bases différentes qui ne sont pas interconnectées. Cela conduit à des difficultés pour accéder aux informations utiles et pour mettre en relation des données fragmentaires.
Il conviendrait a minima de créer une interface de recherche unique pour pouvoir interroger simultanément plusieurs systèmes d’information et produire des résultats combinés sur un seul écran. Pour aller plus loin, il faudrait assurer l’interconnexion des systèmes. Cela permettrait aux données stockées dans un système d’être automatiquement consultées par un autre système. Il faut que les systèmes puissent communiquer entre eux pour éviter d’avoir à les consulter successivement. Les priorités concernent : l’interopérabilité entre le SIS II et la base SLTD, ainsi qu’entre le SIS II et les bases Eurodac et VIS, puis avec le futur système d’entrée/sortie EES. Tout cela reste à faire.
Ces travaux relèvent clairement de la compétence technique d’Eu-LISA. Mais il faudra d’abord une réelle impulsion politique pour que l’on se décide à avancer vraiment sur tous ces sujets à Bruxelles. L’Agence ne pourra pas le faire de sa seule initiative.
Malgré ces différentes réserves, je vous invite à adopter le projet de loi. Au-delà du soutien que nous devons apporter à l’Agence Eu-LISA, je vous demande de rester vigilant. Il reste beaucoup à faire dans l’intérêt de la lutte antiterroriste.
M. Paul Giacobbi, président. Je suis frappé par la façon dont l’Europe se noie dans l’incompétence et la bureaucratie sur des sujets aussi essentiels.
Je souhaiterais illustrer ce point par l’exemple de l’Inde. Ce pays, qui compte 1,2 milliard d’habitants, est parvenu à ce jour à ficher 984 millions de personnes au moyen d’un système d’identification unique qui comprend : une photographie, les empreintes digitales, l’identification de l’iris et trente pages d’informations d’ordre social, fiscal et électoral. On pourra d’ailleurs voter prochainement en s’identifiant de manière biométrique, sans avoir à présenter de carte électorale.
Malgré une population plus importante que celle de l’Union européenne, l’Inde est parvenue à atteindre un tel résultat très vite, entre 2009 et 2016. Ce système d’identification a été confié non pas à des technocrates sans compétence informatique mais à Nandan Nilekani, dirigeant à la retraite de la société Infosys, qui a travaillé bénévolement. Ce qu’a fait un pays lointain et censé appartenir au tiers monde suscite en Europe des difficultés que M. Lellouche a excellemment présentées.
M. Pierre Lellouche, rapporteur. Si nous voulons un espace de confort et de liberté de circulation à l’intérieur de l’Union européenne, il faut tenir les frontières extérieures. Or, nous ne les tenons ni physiquement, parce qu’il n’y a pas de Frontex en réalité, ni en identifiant sérieusement les gens et en croisant les fichiers. Il ne faut donc pas s’étonner que l’Europe soit une véritable passoire et qu’il y ait un problème très grave de terrorisme aujourd’hui. On est très loin d’avoir un FBI européen et on ne sait pas partager l’information. Nous sommes dans un espace de libre circulation des terroristes et des migrants, et non dans un système sérieux de contrôle. Si des mesures ne sont pas prises rapidement, je suis très pessimiste pour l’avenir de Schengen.
Suivant l’avis du rapporteur, la commission adopte le projet de loi (n° 3575) sans modification.
Néant
Article unique
Est autorisée l’approbation de l’accord relatif au site technique de l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice entre le Gouvernement de la République française et l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (ensemble deux annexes), fait à Bruxelles le 5 décembre 2013, et dont le texte est annexé à la présente loi.
NB : Le texte de l’accord figure en annexe au projet de loi (n° 3575).
1 () « Large Scale Information System Agency ».
2 () Cf. pp. 7-8.
3 () Ce règlement permet de déterminer l’Etat membre chargé de l’examen d’une demande de protection internationale.
4 () Source : communication de la Commission européenne du 6 avril 2016 « sur des systèmes d’information plus robustes et plus intelligents au service des frontières et de la sécurité ».
5 () Notamment si un ressortissant d’un pays tiers ou un apatride déclare qu'il a introduit une demande de protection internationale mais n'indique pas l'État membre dans lequel il l'a introduite, ou s’il fait en sorte d'empêcher son éloignement en refusant de coopérer à l'établissement de son identité.
6 () Pour les limites actuelles, cf. pp. 10-11 du présent rapport.
7 () Le traité de Prüm de 2005 a été intégré dans la législation de l’UE en 2008.
8 () Source : réponses aux questions écrites du Rapporteur.
9 () Source : rapport d’activité de l’Agence pour l’année 2012.