Le traité de Prüm facilite, depuis 2008, l'échange de plaques d'immatriculation, d'empreintes génétiques et digitales entre les polices de l'UE. La Commission européenne vient de présenter un « code de coopération policière de l'UE » qui veut l'élargir aux photos de visages et casiers judiciaires des suspects.
D'après l'évaluation de la menace que représente la grande criminalité organisée dans l'UE, réalisée par Europol en 2021, près de 70 % des réseaux criminels sont actifs dans plus de trois États membres, et environ 65 % des réseaux criminels présents dans l’UE comprennent des membres de plusieurs nationalités.
La Commission européenne a présenté la semaine passée un « code de coopération policière de l'UE » censé renforcer la coopération entre les services répressifs des États membres, et fournir aux policiers de l'UE des outils plus modernes pour l'échange d'informations.
La FAQ afférente rappelle que les États membres ont en effet mis en place entre eux « au moins 60 accords de coopération bilatéraux et multilatéraux, tous différents les uns des autres ». Or, si cette stratégie permet aux États membres de tenir compte des spécificités régionales, elle a également entraîné une fragmentation et des obstacles à la coopération :
« À titre d'exemple, dans les petits pays ou les pays sans littoral, les agents des services répressifs peuvent devoir suivre jusqu'à sept réglementations différentes lorsqu'ils mènent des poursuites transfrontalières dans les pays voisins. »
De plus, et d'un point de vue pratique, les équipements de communication sécurisés utilisés entre différents États membres ne sont pas toujours compatibles, ce qui signifie qu'un policier menant des poursuites transfrontalières dans un autre pays peut ne pas être en mesure de communiquer avec des collègues de son pays ou d'un pays voisin une fois la frontière franchie.
En outre, les États membres ne disposent pas toujours des structures ou des ressources nécessaires pour échanger efficacement des informations avec d'autres États membres. Et il n'existe pas de canal unique pour l'échange d'informations, ce qui entraîne une duplication des demandes, des retards indus et, occasionnellement, des pertes d'informations.
L'actuel cadre juridique de l'UE, estime la Commission, « crée de l'incertitude et engendre un manque de clarté quant aux règles que les agents de police doivent respecter » lorsqu'ils interviennent dans un autre État membre.
Les termes du traité de Prüm seraient « dépassés »
L'UE avait cela dit mis en place des règles pour les échanges automatisés au titre du traité de Prüm de 2005 sur « le renforcement de la coopération transfrontalière, notamment dans la lutte contre le terrorisme, la criminalité transfrontalière et l'immigration illégale ».
Depuis 2008, il permet en effet aux forces de police des États membres de l'UE d'échanger des données relatives à l'ADN, aux empreintes digitales et à l'immatriculation des véhicules à des fins de prévention et de détection des infractions pénales et d'enquêtes.
Par exemple, explique la Commission, les empreintes digitales trouvées sur le lieu d'un crime dans un État membre de l'UE peuvent être comparées de manière automatisée aux profils figurant dans les bases de données d'autres États membres de l'UE :
« Si des données concordent, l'État membre requérant reçoit une notification. Cette notification ne comprend pas de données permettant d'identifier la personne ayant donné lieu à la concordance. Une fois que les ensembles de données concordantes ont été vérifiés par un expert en criminalistique, l'État membre requérant peut obtenir davantage d'informations, y compris des données permettant d'identifier la personne concernée. »
Dans le cas de données relatives à l'immatriculation des véhicules, les données supplémentaires sont « immédiatement envoyées » dès l'obtention d'une concordance.
Or, si ce cadre s'est avéré être un outil efficace pour la coopération en matière répressive, contribuant à la résolution des infractions, « plusieurs problèmes entravent l'échange d'informations en temps utile ».
Certaines règles relatives aux spécifications techniques des requêtes, aux mesures de sécurité et à la communication seraient ainsi « dépassées ». Et les différences entre les règles et procédures nationales de suivi après une « concordance » peuvent également entraîner des « retards importants » dans l'échange d'informations.
La proposition de recommandation du Conseil relative à la coopération policière opérationnelle entend ainsi permettre aux policiers de travailler plus facilement dans d'autres pays de l'UE. Elle propose en effet une liste commune des infractions pour lesquelles des poursuites transfrontalières et une observation transfrontalière seraient possibles et sans plus de limites géographiques ou temporelles pour de telles opérations.
Les policiers devraient, par exemple, être en mesure d'effectuer des contrôles d'identité lors d'opérations conjointes ou de porter leur arme de service et d'arrêter les suspects après une poursuite transfrontalière, « dans l'attente de l'arrivée des policiers nationaux ».
Les États membres devraient en outre donner aux policiers opérant dans d'autres pays de l'UE un accès à distance et sécurisé à leurs propres bases de données et aux bases de données de l'UE, ainsi qu'à des outils de messagerie sécurisée pour communiquer directement avec leurs collègues de l'État membre d'accueil.
Un « routeur central » pour fluidifier le partage de données
La proposition de directive relative à l'échange d'informations de la Commission permettrait de son côté aux agents de police de mettre les informations pertinentes à la disposition de leurs homologues d'autres États membres.
Les règles révisées relatives à l'échange automatisé de données au titre du cadre Prüm, pour leur part, « amélioreront, faciliteront et accéléreront l'échange de données » grâce à « un routeur central » auquel les bases de données nationales pourraient se connecter, remplaçant la multitude de connexions bilatérales entre les bases de données nationales.
Les policiers pourraient en outre partager les images faciales des suspects et des criminels condamnés et les casiers judiciaires au titre du cadre Prüm (en plus des données ADN, des empreintes digitales et des données relatives à l'immatriculation des véhicules, comme c'est déjà le cas actuellement), ce qui permettrait d'accroître « considérablement » les possibilités d'identification des criminels et de résoudre les affaires pénales.
La Commission justifie cet élargissement au motif que l'échange d'images faciales (c'est-à-dire de photos) et de casiers judiciaires entre les États membres se fait « actuellement manuellement, sans qu'aucune procédure efficace » ne soit en place pour les comparer avec des images stockées dans les bases de données d'autres États membres, ou pour déterminer si des informations pertinentes sur les casiers judiciaires existent dans la base de données d'un autre État membre.
Or, dans les enquêtes pénales, l'image d'un suspect (provenant, par exemple, d'une caméra de sécurité voisine) est souvent « le seul indice disponible sur le lieu du crime ».
La comparaison de cette image non seulement avec des images stockées dans les bases de données nationales, mais également avec des images stockées dans les bases de données d'autres États membres « augmentera considérablement » les possibilités d'identification du criminel.
Elle pourrait également révéler différentes identités utilisées ou différents crimes commis par la même personne dans d'autres États membres.
L'ajout d'images faciales de suspects et de criminels condamnés à l'échange automatisé de données permettrait en outre aux policiers d'accéder plus rapidement et de manière plus fiable aux informations, ce qui augmenterait là encore « considérablement » les possibilités d'identification des criminels.
De même, l'ajout des casiers judiciaires à l'échange automatisé de données fournirait aux autorités répressives des informations supplémentaires susceptibles de contribuer à la résolution des affaires pénales.
Vérifier automatiquement les données biométriques
De plus, Europol disposerait d'un rôle accru afin de soutenir plus efficacement les États membres en lui permettant de participer au cadre Prüm :
« Les États membres seront en mesure de vérifier automatiquement les données biométriques provenant de pays tiers et détenues par Europol et Europol pourra comparer les données provenant de pays tiers avec celles des bases de données des États membres, ce qui permettra d'identifier les criminels connus par des pays tiers, dans le respect des solides garanties en matière de protection de la vie privée et des droits fondamentaux établies dans le mandat d'Europol et dans les accords de coopération d'Europol avec les pays tiers. »
La FAQ de la Commission s'épanche longuement sur ces garanties et protections. Elle précise ainsi qu'une recherche à partir de l'image d'une personne inconnue associée à un acte criminel (prise par une caméra de vidéosurveillance par exemple) ne pourrait être effectuée « que dans le cadre d'une enquête pénale spécifique », et « après qu'une infraction a été commise » :
« Seules les images faciales de suspects ou de criminels condamnés peuvent être échangées. Aucune mise en correspondance entre des images faciales et la population en général ne sera réalisée. Il n'est pas non plus envisagé d'utiliser l'intelligence artificielle pour établir une comparaison entre des images faciales. »
Si la recherche débouche sur une liste de candidats potentiels, cette dernière sera « examinée par un opérateur humain » dans l'État membre demandeur, qui se prononcerait sur toute correspondance potentielle.
Les résultats de la recherche seraient renvoyés à l'État membre demandeur, qui procéderait à leur vérification et confirmerait une éventuelle correspondance. L'accès aux données serait en outre réservé exclusivement au personnel dûment autorisé sur la base du « besoin d'en connaître » (« Need to know », en VO).
La Commission précise en outre que le règlement ne propose pas la création d'une base de données centralisée pour les images faciales dont dispose la police, mais qu'il permet uniquement aux États membres de rechercher les images faciales de suspects et de criminels condamnés dans leurs bases de données respectives.
L'ajout d'images faciales n'entraînerait pas le stockage de nouvelles catégories de données car les États membres collectent déjà ces données en vertu de leur droit interne et les stockent déjà dans des bases de données nationales.
Les données permettant d'identifier le suspect ou le criminel condamné ne seraient partagées que si une recherche aboutit à un résultat positif :
« La recherche revêt un caractère rétroactif; la proposition n'implique pas la reconnaissance faciale en direct ni l'identification biométrique à distance de grands groupes de personnes dans les espaces publics. »
L'analyse d'impact de la proposition de règlement estime que la somme des coûts d'investissement, au niveau national, serait de 4,4 millions d'euros en coûts ponctuels et de 882 000 euros sur une base annuelle. Au niveau de l'UE, la somme des coûts d'investissement serait de 17,17 millions d'euros en tant que coûts ponctuels, et de 4,1 millions sur une base annuelle.
La Commission estime que ces coûts seront « compensés par des économies budgétaires obtenues grâce à l'utilisation du routeur central au lieu de de nombreuses connexions nationales pour chaque État membre ». Ses estimations indiquent que les économies budgétaires accumulées au niveau national « pourraient compenser l'investissement initial à la fois au niveau central et national sur une période de 2 ans ».
Le nouveau système devrait être opérationnel à l’horizon 2027, selon la Commission.
Le problème des « faux positifs », notamment chez les Noirs
Dans un article publié en décembre 2020 sur abountintel.eu, site de réflexion sur les questions de surveillance en Europe, Niovi Vavoula, qui conseille régulièrement le Parlement européen, la Commission, l'Agence des droits fondamentaux et des ONG sur des questions relatives aux mécanismes d'échange d'informations et au droit de la vie privée et de la protection des données, qualifiait cette évolution à venir de « très problématique ».
Ce cadre juridique révisé de Prüm interviendrait en effet « avant que tous les États membres ne mettent en œuvre une base de données d'images électroniques et un logiciel de reconnaissance faciale au niveau national ». Or, la création de bases de données contenant des images faciales deviendrait dès lors « obligatoire » :
« Cette pratique consistant à établir des bases de données nationales par la porte dérobée, c'est-à-dire avec un débat et un contrôle parlementaires limités, par laquelle les États membres exportent les questions nationales afin qu'elles soient réglementées au niveau de l'UE, est courante, mais très problématique. »
Niovi Vavoula soulignait également les limites inhérentes à la reconnaissance faciale, et rappelait que les recherches du National Institute for Standards and Technology (NIST) démontrent que les algorithmes de reconnaissance faciale produisent des taux élevés de faux positifs chez les Noirs notamment, en particulier les femmes noires :
« Par conséquent, les personnes de couleur peuvent se trouver disproportionnellement troublées par les autorités policières. »
