Le 27 mai 2005, la France, l’Allemagne, l’Autriche, la Belgique, l’Espagne, le Luxembourg, les Pays-Bas signaient le traité de Prüm (du nom de la ville allemand où l’évènement a eu lieu), connu aussi sous le nom de « Schengen III ». Le 18 décembre dernier, la Commission Européenne a publié sa « Proposition pour un règlement du Parlement Européen et du Conseil relatif à l’échange automatisé de données pour la coopération policière » qui vise à permettre un échange de données plus rapide et plus facile entre les Etats Membres grâce notamment à l’utilisation de la reconnaissance faciale rétrospective.
Adopté le 23 juin 2008, dans le but de soutenir la coopération policière et judiciaire transfrontalière en matière pénale, le traité Prüm permet l’échange automatisé de données ADN, d’empreintes digitales et d’immatriculation des véhicules. Depuis son adoption, il a permis d’intensifier la lutte contre la criminalité et le terrorisme dans l’UE, mais la Commission Européenne estime qu’il existe encore des lacunes dans le domaine de l’échange d’informations et que des améliorations sont possibles, voire nécessaires.
Le Conseil Européen, de son côté, a souligné l’importance de l’échange de données rendu possible par le traité Prüm et a demandé à la Commission d’envisager des révisions afin d’élargir son champ d’application et de mettre à jour les exigences techniques et juridiques nécessaires.
Prüm II
La proposition envisage la création de 2 routeurs centraux : le routeur Prüm II et l’EPRIS, système d’index européen des casiers judiciaires, auxquels les Etats Membres pourront se connecter directement plutôt que de se connecter les unes aux autres, évitant ainsi de créer de nouveaux processus de données, d’élargir les droits d’accès ou de remplacer les bases de données nationales.
Cette approche hybride garantirait aux autorités répressives un accès rapide et contrôlé aux informations dont elles ont besoin pour accomplir leurs tâches, conformément à leurs droits d’accès.
Prüm II envisage l’échange automatisé de catégories de données supplémentaires, telles que les images faciales et les casiers judiciaires, essentielles, selon cette proposition, pour renforcer l’efficacité des enquêtes pénales et identifier les criminels.
Europol sera un élément essentiel de Prüm II : il sera possible aux États membres de vérifier automatiquement les données biométriques provenant de pays tiers que l’agence détient et cette dernière pourra, de son côté, comparer les données nationales des États membres.
La reconnaissance faciale, technique critiquée
Les systèmes de reconnaissance faciale questionnent sur les enjeux de protection des données et les risques d’atteintes aux libertés individuelles.
Le Parlement Européen a d’ailleurs adopté une résolution appelant à des règles strictes concernant leur utilisation dans le cadre de l’application de la loi, préconisant notamment l’interdiction des technologies de reconnaissance faciale dans les espaces publics. Au niveau national, La CNIL a lancé dernièrement une consultation publique sur l’utilisation des caméras intelligentes. De nombreuses ONG demandent à ce que les gouvernements cessent de les utiliser.
Prüm II s’appuiera sur la reconnaissance faciale rétrospective et non pas sur la surveillance en temps réel que permettent les caméras intelligentes. Les forces de police auront accès aux images fixes des caméras de vidéosurveillance, aux photos des médias sociaux, à celles de téléphone ou de photos d’identité. Elles pourront ensuite les comparer avec les photos de leurs bases de données concernant des personnes ayant eu maille à partir avec la justice.
European Digital Rights (EDRi), association représentant 44 organisations européennes de défense des droits et des libertés dans l’environnement numérique, a été invitée par la Commission Européenne à consulter les changements prévus par Prüm II. Elle a alors déclaré s’opposer fermement à l’extension du cadre Prüm aux images faciales dans les bases de données d’enquêtes criminelles des États membres et demandé à la CE de lancer un débat véritablement démocratique à l’échelle européenne.
Ella Jakubowska, conseillère politique d’EDRi, affirme qu’identifier les personnes à posteriori est tout aussi problématique qu’en temps réel, et déclare :
« Lorsque vous appliquez la reconnaissance faciale à des séquences ou à des images rétrospectivement, les dommages peuvent parfois être encore plus importants, en raison de la capacité de revenir, par exemple, sur une manifestation d’il y a trois ans, ou de voir qui j’ai rencontré il y a cinq ans, parce que je suis maintenant une opposante politique. »
Elle ajoute :
« Ce que vous créez est l’infrastructure de surveillance biométrique la plus étendue que je pense que nous n’ayons jamais vue dans le monde. »
Wojciech Wiewiorowski, contrôleur européen de la protection des données du CEPD qui a pour mission de garantir l’application cohérente du RGPD, a émis des critiques sur l’utilisation de la reconnaissance faciale pour Prüm II.
Il déclare :
« La recherche automatisée d’images faciales ne se limite pas aux seuls crimes graves, mais pourrait être effectuée pour la prévention, la détection et l’investigation de toute infraction pénale, même mineure. »
Il demande davantage de garanties pour la protection des droits à la vie privée des personnes. Le Parlement Européen et le Conseil Européen devraient prendre en compte ces considérations avant de légiférer.