Comment est-ce que le partage de données biométriques entre Etats Membres illustre les défis entre demandes et contraintes de la coopération européenne ?
Cette question est amplement abordée par Guy de FELCOURT dans son cinquième article de la série BEST OF TRUSTECH.
Les pays européens se font ils assez confiance pour l’échange des informations biométriques ?
Pour renforcer la sécurité des Entrées Sorties à ses frontières et accroître l'interopérabilité entre plusieurs de ses systèmes d'information, l'UE met en place un service partagé de correspondance des données biométrique (sBMS) qui sera opérationnel à partir de 2022.
Vers un nouveau cadre pour le partage des données biométriques au sein de l’UE ?
En ce qui concerne la circulation des personnes physiques, nous avons assisté ces dernières années à l’adoption par l’Union de nouvelles règles, établissant un cadre d’interopérabilité entre les systèmes d’informations des pays européens dans les domaines des visas et frontière (Règlement (EU) 2019/817) ainsi qu’en matière de police et de coopération judiciaire, d’asile et des migrations (Règlement (EU) 2019/818). Ce cadre qui vise une implémentation en 2023 prévoit entre autres pour le futur, un mécanisme d’interface pour les gabarits de certaines données biométriques partagées (SBMS pour Shared Biometric Matching Service).
Si, par leur finalité, ces mesures peuvent contribuer à lutter contre le terrorisme ou à mieux détecter l'immigration illégale, elles sont aussi intéressantes « en soi » en ce qui concerne les formats des gabarits biométriques considérés et dans l’accentuation de la coopération entre les États membres sur le partage de gabarits biométriques.
Considérons le règlement général sur la protection des données (RGPD). Le règlement encourage d’un côté la libre circulation des données personnelles au sein de l’UE mais nous savons aussi que ce même règlement, confère aux données biométriques un caractère sensible, et exige pour cette catégorie spéciale de données une base légale pour leur utilisation, en plus du consentement de la personne concernée et des analyses d’impact ajustées aux situations.
Dans ce contexte, dans quelle mesure cette coopération a-t-elle été efficace jusqu'à présent en Europe ?
Pour le savoir, nous nous sommes penchés sur le degré de réalisation et de mise en place des mécanismes de lecture des données biométriques (image faciale, empreintes digitales ou d’iris) dans les passeports électroniques européens, depuis une quinzaine d’années puisqu’entamés entre 2004 et 2019.
Si l’accès à l’image faciale du détenteur est obligatoire pour des raisons d’interopérabilités à l’échelle mondiale, l’OACI encourage – tout en ne spécifiant pas comment - les Etats à restreindre et contrôler l’accès aux autres données biométriques stockées sur la puce électronique, soit en appliquant un Contrôle d’Accès Etendu (CAE), soit en chiffrant ces données sauvegardées. Il était de facto légitime qu’entre les pays de l’UE (zone Schengen) ce partage fut autorisé et réalisé, après accord sur les spécifications communes de la mise en œuvre du CAE/EAC.
Quelles leçons tirer de la mise en œuvre sur les données des passeports ?
Lors de TRUSTECH 2019, grâce à la double intervention de Francis Deschrijvere [1]et de Antonia Rana[2] lors de la conférence sur le smart travel, l’audience a pu mieux saisir les mesures de restriction et de contrôle de l’accès aux empreintes digitales, la configuration des mécanismes de communication et de sécurité cryptographiques et les paramétrages nécessaires à la reconnaissance des systèmes d’inspection des Etats Membres.
Les leçons que l’on a pu retirer de la réalisation de ce projet, ont été par exemple la nécessité d’effectuer les tests de conformité et d’interopérabilité entre toutes les parties (un pays A peut lire les empreintes du passeport du pays B et vice-versa), le fait de s’accorder sur les délais de réponse en matière de qualité de service et le processus conduisant à accepter une solution commune satisfaisant la majorité plutôt qu’une implémentation nationale.
La mise en œuvre de la lecture partagée des données biométriques des passeports n’est pas encore à 100% parmi les pays de l’UE. Comment expliquer ce temps long ? D’après les conférenciers, la réponse à apporter à cette question se doit d’être nuancée.
La réalisation de longue haleine de ce projet a reflété d’abord la somme de contraintes et d’exigences sur le plan organisationnel et technique à laquelle il a fallu ajouter les considérations éthiques quant au partage de ces données sensibles.
Ensuite dans l’appropriation, les 26 pays de la zone Schengen conservent leur souveraineté pour décider à quel niveau (front, deuxième ligne) mettre en œuvre cet accès aux empreintes digitales dans le contrôle frontalier.
Enfin, même s’ils ont tous développé la capacité technique d’inspecter un passeport émis par un autre Etat Membre, la priorisation de la mise en œuvre de cette mesure a pu varier d’un Etat à l’autre.
Des exigences de confiance dans la durée
La mise en place de l’interopérabilité entre les Etats Schengen de la lecture des données biométriques dans les passeports constitue un exemple de confiance mutuelle, dans le respect des sensibilités nationales, qui ne progresse que dans la durée.
L'introduction du mécanisme de partage des données biométriques aux frontières devrait être plus facile, car celui-ci cible les demandeurs de pays tiers. L'expérience de coopération depuis 2004 met cependant en évidence la nature rigoureuse et complexe du défi - non seulement en termes de partage de données biométriques entre les systèmes de visas et de contrôle aux frontières, mais aussi et surtout en l'étendant aux politiques de coopération judiciaire, d'asile et de migration.
[1] Commission européenne – Direction Générale Ressources Humaines et Sécurité
[2] CCR– Centre Commun de Recherche de la Commission Européenne
Pour aller plus loin :
- Le règlement 2252/2004 sur les normes pour les sécurités documentaires et données biométriques pour les passeports et documents d’identités des Etats Membres de l’UE, à l’origine du projet https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004R2252:EN:HTML
- Le rapport de faisabilité de EU-LISA sur le mécanisme d’interface pour les données biométriques partagées https://www.eulisa.europa.eu/Publications/Reports/Shared%20Biometric%20Matching%20Service%20sBMS%20-%20Feasibility%20Study.pdf
- La fiche d’information de la commission européenne sur les systèmes d’informations utilisées aux frontières de l’Espace Schengen et de l’UE
https://ec.europa.eu/home-affairs/sites/homeaffairs/files/what-we-do/policies/european-agenda-security/20190416_agenda_security-factsheet-eu-information-systems-security-borders_en.pdf
Vous souhaitez prendre la parole à TRUSTECH 2021?
Vous êtes expert dans les domaines de l’Identification, du Paiement ou de la Sécurité et souhaitez intervenir à TRUSTECH ?