Avec les liens
http://numerolambda.wordpress.com/2009/12/05/fichiers-europol-remake-edvige/

5 décembre 2009

Au moment où le feuilleton Edvige entre dans sa “saison 2″, avec nouvelle pétition et nouveaux recours devant le Conseil d’Etat, les 27 membres de l’UE préparent une inquisition policière numérique tout aussi préoccupante. Si le gouvernement a abandonné l’idée, la mort dans l’âme, de ne plus enregistrer de données relatives à la santé et la sexualité, voilà qu’elles reviennent par la fenêtre par la grâce d’une discrète réforme d’Europol, l’office de coopération policière de l’UE qui doit changer de statut au 1er janvier 2010, dix ans après sa naissance. Le pire, c’est que cette réforme s’opère — un peu comme en France — malgré l’opposition unanime du Parlement européen, alors que le nouveau Traité de Lisbonne, qu’on nous a forcé à avaler, aurait pu l’éviter !

C’est l’Association européenne des défense des droits de l’homme (AEDH), une ONG installée à Bruxelles et affiliée à la Fédération internationale FIDH, qui met les pieds dans le plat dans une note du 2 décembre. En gros et pour résumer, le Conseil — émanation des 27 gouvernements — a adopté une série de règlements sur l’avenir d’Europol le 30 novembre 2009, soit la veille de l’entrée en vigueur du Traité de Lisbonne. Car si funeste soit-il, ce traité garantie le principe de “codécision” entre pouvoirs exécutif et parlementaire, et avec lui la réforme au forceps d’Europol n’aurait pas été possible.

Bref, « les Etats de l’Union [ont] imposé un traité dont ils tentent de détourner les règles dans les heures qui précèdent sa mise en application », accuse l’AEDH qui poursuit :

« Le Conseil est-il à ce point inquiet des garanties qu’exigeaient légitimement les parlementaires concernant les
activités, la constitution et le traitement des fichiers, et le contrôle d’Europol ? Est-ce respecter le processus démocratique que de déposer pour avis quatre projets de décision le 24 juillet 2009 au moment de l’installation du nouveau Parlement ne permettant la saisine de la Commission Justice, Liberté et Sécurité qu’au mois d’octobre, pour aboutir enfin à un contournement du traité de Lisbonne ? »

Le Parlement a bien voté une résolution qui rejette en bloc la proposition du Conseil (628 voix contre, 13 pour, 9 abstentions). L’AEDH ne donne pas pour autant l’absolution aux députés, qui « ne se sont pas montrés hostiles à la création du nouvel office Europol, ils ont seulement marqué leurs inquiétudes et souligné les graves insuffisances de contenu et de règles des projets de décision du Conseil. »

Ces inquiétudes sont pourtant lourdes de conséquences pour les libertés fondamentales. Elles portent sur :

« les modalités de constitution des fichiers de données personnelles et leurs contenus, l’octroi d’accès aux fichiers à d’autres organismes européens ou internationaux ainsi qu’à des pays tiers, les interconnexions entre fichiers et leur interopérabilité, l’insuffisance des règles de protection des données, les restrictions apportées pour l’accès à leurs données par les personnes concernées ainsi que le déficit de mesures de contrôle.  »

Il faut fouiller dans les nombreux documents de travail de cette réforme, qui a débuté en 2006, pour arriver à comprendre l’ampleur du désastre. Difficile de discerner exactement ce qui relève des nouvelles missions d’Europol. Mais les fichiers de cette agence — appelés finement « fichiers de travail à des fins d’analyse » (sic) — seront aussi bien fournis, si ce n’est plus, que ceux de toutes les polices politiques nationales. Seront en effet permis :

« le traitement de données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, ainsi que le traitement de données concernant la santé ou la sexualité ».

Exactement comme dans l’esprit du fichage à la mode Edvige, ces traitements concernent autant des personnes « suspectées » que « condamnées », et plus largement celles qui « pourraient commettre des infractions pénales » (article 12 du nouveau règlement Europol, avril 2009, .pdf en anglais). On est donc bien dans le cadre de “fichiers de présomption”.

Europol pourra aussi conserver des données sur des « contacts ou accompagnateurs », touchant donc à « l’environnement » de la personne visée au départ. Les textes ont beau nous rassurer sur le fait qu’Europol ne va pas marcher sur des missions de « sécurité publique » de chaque Etat membre, qu’on ne pourra toujours pas ficher quelqu’un seulement parce qu’il est syndicaliste ou militant de la cause homosexuelle, mais la brêche est béante.

On va tenter de résumer les catégories de données concernées, ça donne le tournis (les expressions sont originales – soulignées par nous) :

* a) Renseignements d’état civil (…), noms et prénoms des parents si nécessaire ; situation de famille ; pseudonymes ; surnom ; noms d’emprunt ou faux noms” ;

* b) Description et signalement physique ; signes particuliers (marques, cicatrices, tatouages, etc.).

* c) Moyens d’identification : pièces d’identité (passeports, CNI) ; numéro d’identification national/numéro de sécurité sociale ; photos ; informations médico-légales, telles que empreintes digitales, profil ADN (établi à partir de l’ADN non codant), empreinte vocale, groupe sanguin, denture.

* d) Profession et qualifications : emploi et activité professionnelle actuels et précédents ; formation (scolaire/universitaire/professionnelle) ; aptitudes, compétences (langues/autres).

* e) Informations financières (comptes et codes bancaires, cartes de crédit, etc.) ; avoirs liquides, actions ; données patrimoniales ; liens avec des sociétés ; contacts avec les banques ; situation fiscale ;…

* f) Informations relatives au comportement : mode de vie (par exemple, train de vie sans rapport avec les revenus) et habitudes ; déplacements ; lieux fréquentés ; armes et autres instruments dangereux ; dangerosité ; liens avec des membres de services répressifs ; traits de caractère ayant un rapport avec la criminalité ; toxicomanie ;

* g) Personnes servant de contacts et d’accompagnateurs, y compris type et nature du contact ou de l’association ;

* h) Moyens de communication utilisés, tels que téléphone (fixe/mobile), télécopieur, messageur, courrier électronique, adresses postales, connexion(s) sur l’Internet ;

* i) Moyens de transport utilisés (…) avec leurs numéros d’immatriculation ;

* j) Informations relatives aux activités criminelles relevant de la compétence d’Europol : condamnations antérieures ; participation présumée à des activités criminelles ; modi operandi ; moyens utilisés ou susceptibles de l’être pour préparer/commettre des infractions ; appartenance à des groupes/organisations criminel(le)s, position, rôle au sein du groupe ; zone géographique des activités criminelles ; objets recueillis lors des enquêtes (cassettes vidéo, photos) ;

* k) Indication d’autres bases de données stockant des informations sur la personne concernée (Europol, police/douane, autres services répressifs, organisations internationales, entités publiques ; entités privées).

* l) Renseignements sur des entreprises (liées aux points e et j). (…)

A propos des « accompagnateurs » (sic), on les définit gentiment ainsi :

… personnes pour lesquelles il y a lieu d’estimer qu’elles peuvent permettre d’obtenir des informations utiles à l’analyse sur les personnes [suspectes]. Les “personnes servant de contacts” sont des personnes qui ont des contacts sporadiques avec les personnes visées (…). Les “personnes servant d’accompagnateurs” sont des personnes qui ont des contacts réguliers [avec elles].

La durée de conservation est à l’avenant. Si l’on a bien décrypté les documents, elle serait effective à partir de 3 et 5 ans selon les cas. Trop cool, Europol : « la nécessité de conserver ces données est réexaminée si de nouvelles circonstances amènent à penser que ces données doivent être effacées ou rectifiées ».

En en cas de relaxe ou d’acquittement, l’effacement reste au conditionnel : « Lorsqu’une procédure pénale engagée contre des personnes [fichées] se conclut par un jugement [indiquant que] la personne concernée n’a pas commis les actes en cause (…), les données affectées par cette décision sont effacées, sauf s’il existe des raisons sérieuses de croire qu’elles sont encore utiles pour les besoins du fichier. »

Un contre-pouvoir transparent

Inutile de dire que la Commission et le Conseil n’ont quasiment pas tenu compte des observations du Contrôleur européen de la protection des données (CEPD). Ça n’étonnera personne quand on sait à quoi sert la CNIL en matière de fichage policier. Peter Hustinx, qui dirige ce “machin” consultatif, avait rendu un rapport (.pdf) il y a déjà trois ans sur la réforme d’Europol et de ses fichiers. Il préconisait d’encadrer strictement les « interconnexion avec d’autres systèmes de traitement extérieurs à Europol », de faciliter le droit d’accès pour ceux qui « n’ont pas (encore) commis d’infraction », exigeait que le maintien des données « soit réexaminée chaque année », etc. Un rapport qui a eu autant d’effets que ses avis rendus sur les textes de type Hapodi.

L’AEDH pose les bonnes questions : « On ne peut que s’étonner que le délégué à la protection des données, membre du personnel d’Europol, n’ait pas plus d’indépendance ; que ne soit pas clairement établi les modes de désignation des autorités de contrôle nationales et par voie de conséquence de l’autorité de contrôle commune [ACC*]. Comment se fait-il que le CEPD n’ait aucun rôle de contrôle et d’évaluation ? Que le contrôle du Parlement soit réduit au contrôle budgétaire et à l’audition d’un rapport d’activité ? »

Le fameux « délégué », une blague, est un agent d’Europol, sans aucun statut indépendant. Et il existe en effet un organe de contrôle exclusif à Europol, l’ACC, mais il n’a pas plus de pouvoirs que le CEPD. Ses membres font partie des autorités nationales (la CNIL chez nous), mais ne sont pas désignés par cette autorité, c’est le gouvernent qui tranche, comme on peut le lire ici. En l’occurrence, le commissaire de la CNIL concerné est Georges de la Loyère, membre du Conseil économique et social, un ingénieur qui a fait toute sa carrière dans le BTP… No comment.

Rappelons tout de même que cette absence de contre-pouvoirs est inscrit dans les gènes de l’UE. Les règles de protection des données énoncées par la directive de 1995 (révisée depuis) ne s’appliquent pas pour des domaines qui relèvent, comme on dit en eurojargon, du « 3ème pillier », c’est à dire à ce qui touche à la sécurité, la justice ou l’immigration.

Ainsi, comme rappelé dans une dernière note sur la Forteresse Europe, l’UE cherche à centraliser ses trois fichiers pervers — et biométriques — de contrôles des frontières, VIS (demandeurs de visas), Eurodac (d’asile), SIS-2 (interdits de séjours de la zone Schengen). La proposition date du 24 juin dernier (décryptée ici avec les références).

Le sénateur Robert Badinter, fossoyeur de la peine de mort en France, a bien pondu un rapport (L’Union européenne et les droits de l’homme, mars 2009) qui soulève les lacunes de ce « 3ème pillier ». Il y a bien une harmonisation en cours, une décision-cadre adoptée en novembre 2008 qui « permettra d’établir des normes communes [de protection des données] dans le cadre de la coopération policière et judiciaire en matière pénale ». Mais il s’agit d’un accord a minima pourtant « sur le plus petit dénominateur commun ».

Ressources

* Ensemble des décisions du Conseil JAI des 30/11 et 1/12/2009, qui renvoi vers les derniers réglements Europol (.pdf en anglais) ;

* Document final du 23 novembre 2009 sur les de « fichiers de travail » d’Europol (« implementing rules for Europol analysis work files ») – (.pdf en anglais) ;

* Nous nous sommes servis d’un document préparatoire (23 juillet) de ce règlement (.pdf en français) ;

* Les derniers rapports de l’Autorité de contrôle commune (4eme rapport remis en décembre 2008).