Dotée par le Conseil de l'UE d'un mandat de négociation le 16 décembre dernier, la Commission européenne commencera à négocier avec les États-Unis, les 29 et 30 janvier à Washington DC, le 'Partenariat renforcé pour la sécurité des frontières', un nouveau programme de partage de données personnelles pour les voyageurs sans visas issus de l'UE, selon nos informations. Une seconde session de négociations devrait ensuite se tenir à Bruxelles en février.
Les États-Unis souhaitent subordonner le programme d'exemption de visa ('Visa waiver'), dont bénéficient actuellement 24 États membres, au fait de pouvoir lancer des requêtes ciblées sur des voyageurs européens franchissant leurs frontières extérieures ou déposant une demande de visa afin de déterminer si leur entrée « présente un risque pour la sécurité publique ».
La Commission avait discrètement adopté, en juillet dernier, une proposition de recommandation à ce sujet, où il figurait notamment que chaque État membre serait habilité à signer des accords bilatéraux avec Washington pour ouvrir l'accès à ses bases de données (EUROPE 13713/20).
Dans un document daté du 9 décembre dernier et qu'Agence Europe a pu consulter, le Conseil de l’UE a déjà fixé les lignes rouges et objectifs de la Commission pour les discussions à venir. Il appuie la nécessité d'« interdire un traitement systématique, généralisé et non ciblé des données de tous les voyageurs », en encadrant strictement les conditions permettant de déclencher une requête avec un État membre.
Le Conseil insiste sur le fait que l’échange devra être fondé sur « les principes de proportionnalité et de réciprocité », en veillant à une « limitation claire de la finalité » des traitements. Les données pourront, le cas échéant, être réutilisées pour lutter contre la migration irrégulière, la criminalité grave et le terrorisme, mais « uniquement lorsque cela est nécessaire et autorisé par un accord bilatéral », et dans le seul contexte de la gestion des frontières.
Le futur cadre reposerait sur l’échange de données d’identité figurant dans le document de voyage ainsi que des empreintes digitales, selon un modèle de requête‑réponse en deux temps. Une première réponse automatique ne pourrait contenir que des données « limitées au strict nécessaire pour identifier la personne », comme le nom ou la date de naissance, tandis qu’un second niveau permettrait de transmettre des informations supplémentaires « uniquement sur autorisation explicite de la partie requise, après une appréciation humaine ». Le volume et le type d’informations échangées « ne devront pas excéder le niveau d’échange entre États membres de l’UE ».
Sur le plan de la protection des données, le Conseil exige un niveau de garanties « essentiellement équivalent » à celui de l’UE, en alignant la définition des données personnelles et les principes sur le 'Règlement général de protection des données' (RGPD), la directive 'Police‑justice' et, plus largement, sur la Charte des droits fondamentaux. Les transferts vers des pays tiers ou organisations internationales « devront être interdits » et les autorités américaines tenues d’effacer sans délai les données qui ne sont plus nécessaires, ont été transmises à tort ou sont inexactes.
Enfin, le texte prévoit la mise en place d’un organe de gouvernance chargé de superviser l’application de l’accord, et des clauses permettant à l’UE de suspendre ou de résilier l’accord dans le cas où les États‑Unis ne respecteraient plus les principes négociés ou n’assureraient plus le niveau de protection exigé.
La Commission devra tenir informé le Groupe de travail sur l'échange d'informations dans le domaine des Affaires intérieures (IXIM) et consulter les États membres sur tout enjeu sensible apparaissant au cours des négociations. (Justine Manaud)