La sécurité digitale à l’heure des crises migratoire et terroriste, le noeud gordien de l’interconnexion des fichiers

La situation que connaît actuellement l’Union européenne n’aura échappé à personne. Qu’il s’agisse de la crise migratoire ou de la crise terroriste générée par les attentats à répétition en 2015 et en 2016, le remède préconisé par les États membres par la voix du Conseil et du Conseil européen, consiste à vouloir sécuriser davantage les frontières extérieures de l’Union européenne.

La protection renforcée de celles-ci constitue l’enjeu majeur de la lutte menée contre le phénomène terroriste, dont l’agenda converge désormais clairement avec la politique européenne en matière migratoire, comme l’atteste la communication de la Commission du 6 avril 2016 intitulée « des systèmes d’information plus forts et plus intelligents pour les frontières et la sécurité ». Le texte affirme à cet égard très clairement une « interconnexion dynamique » entre police, migration et gestion des frontières.

La crainte actuelle est, en particulier, le phénomène des combattants de l’État islamique venant d’Irak et de Syrie. L’organe de coordination antiterroriste belge, l’OCAM, a d’ailleurs souligné, le 19 avril 2016, un risque considérable d’attentat de la part de ces combattants, des Européens partis faire le Jihad au Moyen-Orient et rentrant aguerris (phénomène dit des « returnees »).

Nouveaux défis, mais anciennes solutions donc. L’observateur ne peut qu’avoir une impression de déjà-vu : les choix de ces derniers mois formulés par les chefs d’État et de gouvernement, inspirant les orientations contenues dans cette communication, ressemblent, à bien des égards, à ceux des Conseils européens de Laeken de 2001, de Séville de 2002 ou encore de Thessalonique 2003. À l’époque, l’Union était déjà confrontée aux problématiques du terrorisme et d’échouage de migrants sur les côtes européennes. Les agendas antiterroriste et migratoire se mêlaient alors autour de la sécurisation des frontières extérieures pour éviter toute intrusion possible d’agents d’Al-Quaïda dans l’UE, dissimulés dans les colonnes de migrants, jetant ainsi les fondations du projet des frontières électroniques (smart borders).

Anciennes solutions, mais nouveaux défis néanmoins. La communication du 6 avril 2016, accompagnée d’une proposition de règlement instituant le « Système Entrée-Sortie » (correspondant à une révision du précédent projet présenté en 2013, jugé trop onéreux par les États membres), marque un nouvel épisode dans la création des frontières électroniques européennes. Elle s’inscrit dans le contexte d’enjeux très actuels : la protection des frontières extérieures au prisme de la lutte antiterroriste a trait à deux problèmes distincts, celui des « combattants étrangers » (1) et celui de la fraude documentaire (2).

Dans le premier cas, il s’agit de contrôler les flux de voyageurs sortants pour empêcher ces « combattants étrangers » (foreign fighters), c’est-à-dire les jeunes Européens désireux de partir faire le Jihad au Moyen-Orient. Dans le deuxième cas, il s’agit de contrôler les flux de population, pour la plupart fuyant la guerre dans cette région. En réalité, ces deux problématiques se recoupent car la fraude documentaire concerne le contrôle des titre de voyage dont sont porteurs les flux de voyageurs, y compris les migrants irréguliers rassemblés dans les hotspots. Elle a trait aussi à l’identification des « combattants étrangers » franchissant les frontières Schengen avec de faux papiers. Les solutions apportées concernent, dans un cas comme dans l’autre, un meilleur déploiement des fichiers et une plus grande interconnexion de ceux-ci (3).

Analyser la manière dont l’Union s’efforce de répondre à ces deux problématiques distinctes mais sécantes est instructif. Cette réponse s’exprime de façon commune, le recours à la sécurité digitale, c’est-à-dire l’utilisation accrue des systèmes d’information et de communication et ce, en écho au phénomène de digitalisation de la vie sociale observable dans d’autres secteurs à l’ère du Big Data, tels que la santé digitale. Les problématiques secondaires, fraude documentaire et combattants étrangers, se trouvent au cœur de la résolution des crises migratoire et terroriste, elles-mêmes étroitement imbriquées. Il s’opère à ce propos un phénomène d’intrication immigration-terrorisme dans un contexte où s’échafaudent des capacités de gestion de crise horizontale, c’est-à-dire de polycrises.

L’interopérabilité des systèmes d’information devient alors un enjeu central, crucial même, car de son succès dépend la protection effective de l’Union. La sécurité digitale, expression archétypale du solutionnisme technologique, constitue un nœud gordien au sens où le sort de lutte antiterroriste dépend de la réussite de l’interopérabilité des systèmes d’informations, qu’ils soient à finalité sécuritaire ou migratoire, l’une et l’autre apparaissant désormais mêlées.

1. Verrouiller les frontières pour résoudre le problème des combattants étrangers

La principale mesure venant d’emblée à l’esprit en matière de contrôle des combattants étrangers, car emblématique de l’action européenne menée dans ce domaine, est la proposition de directive visant à incriminer la sortie du territoire pour faire le Jihad, de même que l’aide apportée à cette sortie. La Commission a présenté cette proposition à ce sujet, le 2 décembre 2015, soit moins d’un mois après les attentats du Bataclan et du Stade de France, constatant que 5 000 Européens étaient venus grossir les rangs des combattants de l’État islamique. En parallèle, les États membres sont invités à transmettre au tout nouveau Centre européen de lutte contre le terrorisme (ECTC) d’Europol, les informations ayant trait aux combattants étrangers. En complément, des mesures opérationnelles devraient être prises d’ici juin 2016 pour une meilleure utilisation du Système d’information Schengen de deuxième génération (SIS II) dans la problématique des foreign fighters.

L’endiguement du flux de jeunes européens partant faire le Jihad au Moyen-Orient est néanmoins une question ayant fait l’objet de mesures de la part des ministres de l’Intérieur bien avant les attentats de Paris et de Bruxelles. On l’oublie trop souvent, mais ces ministres, sur base des rapports d’Europol sur la situation du terrorisme TE-SAT 2013 et 2014, ainsi que ceux du Coordinateur pour la lutte antiterroriste, avaient adopté, les 5 et 6 juin 2014 d’importantes conclusions préconisant, outre la poursuite du projet relatif aux frontières intelligentes, une plus grande utilisation par les gardes-frontières des bases de données nationales et européennes.

Or, la question d’un meilleur filtrage des flux de voyageurs lors du franchissement de la frontière a été soulevée après les attentats de Charlie Hebdo de janvier 2015. Les chefs d’État et de gouvernement, réunis le 14 février 2015, ont demandé de revoir les règles ayant trait au contrôle aux frontières extérieures : d’abord l’élaboration d’orientations opérationnelles par la Commission afin de réaliser « sans délai des contrôles systématiques et coordonnés » des jeunes européens suspects, le but étant à cet effet d’établir des indicateurs communs de risque ; ensuite une « modification ciblée du code frontières Schengen » pour effectuer des contrôles permanents sur tous les citoyens, suspects ou non.

Cette stratégie à double détente s’explique pour des raisons politiques et juridiques. Politiquement, la refonte de la gouvernance Schengen est complexe, car une révision du Code Frontières Schengen avait déjà eu lieu en 2013. Échaudés par la complexité du sujet et la sensibilité du dossier, ni la Commission, ni certains États n’étaient enclins à rouvrir le dossier, d’où la suggestion d’une « modification ciblée » du Code. Juridiquement ensuite, les dispositions du Code n’autorisaient pas le contrôle systématique des citoyens européens sortants. La première étape consistait donc à élaborer des indicateurs communs par la Commission avec l’appui de Frontex, d’Europol, d’Interpol, du Service européen d’action extérieure et des experts nationaux. Rapidement mis en place, puisqu’élaborés en mai-juin 2015, ces indicateurs ont été accompagnés de la rédaction par la Commission d’un document à l’attention des garde-frontières relatif au modus operandi des documents de voyage saisis (à noter en parallèle un nombre important d’alertes émises en vertu de ces indicateurs et un accroissement sensible de celles-ci au fil du temps, puisque début 2016, 66000 alertes ont eu lieu pour des contrôles spécifiques, soit une augmentation de 300% comparée à l’année 2015).

La deuxième étape consistait à réaliser la révision du Code frontière Schengen proprement dite. La Commission a présenté le 16 décembre 2015 une proposition de directive visant à opérer un contrôle systématique des voyageurs sans analyse préalable de risque. Le processus de négociation est allé très vite puisqu’un accord politique a été obtenu le 25 février parmi les 28 ministres de l’Intérieur.

Restent les obstacles matériels, car le passage au fichier destiné à détecter d’éventuels candidats au Jihad munis, le cas échéant, de faux documents doit être rapide, surtout en cas de flux importants de voyageurs. C’est la raison pour laquelle l’Union axe actuellement ses efforts dans deux directions : d’une part, l’équipement des postes en matériels plus performants (par exemple capables de lire rapidement et de manière fiable les pistes magnétiques des documents de voyage présentés au garde-frontière) et leur connexion aux bases de données centrales nationales, européennes et internationales, pour des réponses rapides à des requêtes informatiques de la part des agents préposés au contrôle des voyageurs à la frontière ; d’autre part, la synergie et l’interconnexion des systèmes d’information afin d’assurer les vérifications systématiques, portant respectivement sur les documents et sur les personnes.

La fraude documentaire est en effet source d’une vive préoccupation de la part de l’Union et de ses États membres à l’heure où des terroristes circulent munis de faux papiers. Selon un rapport cité par une communication de la Commission du 20 avril 2016, le ratio de returnees est important, puisqu’il constitue un tiers des combattants étrangers. Bien que n’étant pas tous dangereux et ne rentrant pas tous en Europe dans l’illégalité, la crainte est que certains d’eux pénètrent sur le sol de l’Union en passant inaperçus, grâce à des documents falsifiés fournis avec l’appui logistique de Daesh.

2. Recourir à la sécurité digitale pour répondre au défi de la fraude documentaire

Selon les déclarations du ministre d’Intérieur après les attentats de Paris de novembre 2015, Daesh disposerait de 200 000 faux documents d’identité. Quant au coordinateur européen pour la lutte antiterroriste, il juge, dans un rapport datant de mars 2016, « préoccupante » la question de la fraude documentaire. C’est la raison pour laquelle la détection des faux documents est une priorité, non seulement concernant les voyageurs sortants, mais aussi et surtout, au sujet de ceux désireux de s’introduire sur le territoire européen.

La fraude documentaire est un thème qui a gagné en importance un an avant les attaques de Paris. Frontex, très préoccupé par cette question depuis quelques années, ainsi que l’atteste le rapport Afic 2014, évalue à près de 20.000 le cas de fraude en 2014 (10.000 à l’entrée de l’espace Schengen et 10.000 lors du déplacement au sein de cet espace). Comme l’indique les conclusions du Conseil des 9 et 10 octobre 2014 sur le renforcement de l’utilisation de la base de données d’Interpol sur les documents de voyage volés ou perdus (SLTD), « la stratégie de l’UE pour la gestion intégrée des frontières nécessite également que soit pleinement mis en œuvre un outil tel que celui qui a été mis au point par Interpol pour réduire les risques que des criminels franchissent les frontières de l’UE, ce qui a un effet direct sur la sécurité intérieure de l’UE, y compris les risques liés au terrorisme ». Cette focalisation porte plus particulièrement sur la fraude documentaire. Dans son rapport datant du 29 février 2016, la Commission note que le recours à ce type de fraude est de plus en plus répandu chez les personnes qui entrent et circulent illégalement à l’intérieur de l’espace Schengen.

L’enjeu consiste dès lors à repérer les faux passeports et à identifier leurs porteurs. Pour ce faire, différents moyens sont mis en œuvre : le déploiement d’agents spécialisés dans les hotspots grecs et italiens (c’est le cas des experts en documents (ALDO) de Frontex chargés de contribuer aux procédures d’identification en collaboration avec les équipes de filtrage nationales), les contrôles opérés par du personnel de l’agence Europol, et surtout le recours accru aux bases de données européennes. Il s’agit en effet de procéder à des vérifications systématiques des migrants dans les différentes bases existantes : les fichiers nationaux de police, le SIS II, le VIS, Eurodac, le Système d’information Europol, Prüm et le FADO (Faux documents et documents authentiques en ligne) qui est une base de données européenne recensant les documents d’identité et de voyage. Dans les conclusions des 5 et 6 juin 2014 précédemment évoquées, le Conseil avait jugé prioritaire l’accès octroyé aux services répressifs aux bases de données ayant trait à l’asile et à la migration. C’est dans cette optique que l’Agence européenne pour la gestion opérationnelle des systèmes d’information (EU-LISA) a octroyé en juillet 2015, date de l’entrée en vigueur du règlement modificatif de 2013, aux services répressifs des États membres la possibilité d’accéder à Eurodac.

La lutte contre la fraude documentaire implique donc un accès plus large des bases de données migratoires aux services répressifs, ainsi qu’une réforme des outils existants pour permettre de répondre aux enjeux actuels. C’est le cas du SIS II, qui requiert d’être adapté pour disposer, d’ici mi-2017, d’une fonction « fichier automatisé d’empreintes digitales » (FAED). Deux des trois kamikazes morts au Stade de France étaient porteurs de passeports provenant d’un lot de 3 800 documents vierge qui avaient été volés en Syrie. La difficulté constatée par le Coordinateur pour la lutte antiterroriste consiste à identifier les individus pénétrant sur l’espace Schengen sans document ou en possession des documents contrefaits. Le seul moyen consiste alors à prendre leurs empreintes digitales afin de vérifier qu’ils ne soient pas déjà fichés comme criminels, voire comme terroristes.

Cependant, il n’existe pas de système à l’échelle de l’Union permettant d’opérer une vérification de l’identité à partir des empreintes digitales. En vertu des dispositions du règlement instituant le SIS II, ce dernier permet de confirmer l’identité d’une personne, mais uniquement dans le contexte d’une comparaison entre les empreintes de la personne et celles figurant dans le système. Il n’est donc pas possible de rechercher l’identité d’une personne sur le fondement des empreintes figurant dans le SIS. Juridiquement, la création d’un dispositif permettant d’identifier une personne sur la seule base de ses empreintes digitales est envisageable. Il est donc possible d’opérer à droit constant la création d’un fichier automatisé d’empreintes digitales (FAED) à l’image de ceux existant dans le VIS (2,7 millions d’empreintes digitales) et Eurodac (20 millions d’empreintes). Le rapport du 29 février 2016 précité fondé sur une étude menée par le Centre commun de recherche (JRC) confirme la disponibilité de la technologie du FAED et préconise l’introduction d’une fonctionnalité de FAED dans le SIS. Le processus est actuellement engagé par la Commission, EU-LISA, le groupe SIRENE du Conseil et les États membres. Il s’agit de préciser les spécifications techniques de cette fonctionnalité, l’architecture du système informatique retenu, ainsi que le calendrier de mise en œuvre.

L’établissement d’une telle fonctionnalité est à relier à la modification du règlement d’ici fin 2016 afin de permettre aux services répressifs d’identification de personnes recherchées à partir des données relatives aux étrangers déclarés indésirables, et de générer des alertes à partir de l’usage d’images biométriques du visage (morphing). Les progrès technologiques, stimulés par les avancés en matière d’intelligence artificielle (deep learning), décuplent les possibilités offertes par l’usage des systèmes d’information tels que le SIS. Pourtant, afin de les rendre pleinement efficaces, il convient que de tels systèmes soient interconnectés et l’urgence sécuritaire, découlant de la menace terroriste, est de nature à fournir l’argument manquant pour justifier cette interconnexion.

3. Assurer l’interconnexion de tous les systèmes d’information pour lutter contre le terrorisme

La réforme des systèmes d’information européens apparaît comme un impératif pour lutter contre la fraude documentaire et plus largement, pour faire face au défi que constitue le terrorisme. Pour ce qui est de l’exploitation pleine et entière des possibilités offertes par ces systèmes d’information, les conclusions du Conseil d’octobre 2014 sur le renforcement de l’utilisation de la base de données d’Interpol sur les documents de voyage volés ou perdus, estiment que l’utilisation de la base de données « faux documents » d’Interpol (SLTD) par les services aux frontières n’est pas suffisante (pour mémoire, la base SLTD a été instaurée en 2002, après les attentats du 11 septembre 2001, pour lutter contre la fraude documentaire. Au 1er mars 2015, plus de 45 millions de cartes d’identité, passeports et visas déclarés volés ou perdus étaient enregistrés dans cette base gérée par Interpol, visant non seulement à protéger les frontières, mais aussi à lutter contre la criminalité organisée et surtout contre le terrorisme).

L’importance de la connexion de cette base avec celles existantes avait d’ailleurs été rappelée par les conclusions du Conseil du 20 novembre 2015, adoptées dans la foulée des attaques de Paris. SLTD n’est relié ni avec les fichiers des documents volés ou perdus des États membres, ni avec les systèmes européens, notamment le SIS II (alors même que selon le rapport publié par EU-LISA sur le SIS II, ce dernier contenait en 2014 près d’un million de documents vierges et 13 millions de documents délivrés). Certes, les services nationaux peuvent avoir accès au SIS II et à cette base SLTD en une même recherche, conformément aux conclusions du Conseil des 9 et 10 octobre 1014 précédemment évoquées. Néanmoins, il convient que les services utilisateurs soient en mesure d’interroger les différentes bases rapidement. Il importe donc qu’en pratique, ils disposent de connexions internet à haut débit, qu’ils disposent de lecteurs de documents de voyage performants, et qu’ils possèdent accès centralisé à ces systèmes, via, par exemple, une interface spécifique. Ensuite, il convient de pouvoir recouper les informations contenues dans les fichiers. C’est tout le défi de l’interopérabilité des bases de données.

Or, l’interopérabilité des systèmes d’information est ambiguë, car elle signifie deux choses différentes. Elle signifie avoir accès à différentes bases de données à partir d’une interrogation unique grâce à des moyens techniques (par exemple une interface spécifique). Elle signifie aussi la possibilité de croiser les fichiers. C’est l’enjeu actuel qui, en réalité, tend à se dédoubler. En premier lieu, il s’agit de réformer les systèmes actuels pour leur octroyer de nouvelles finalités, par exemple inclure la finalité antiterroriste concernant Eurodac. En deuxième lieu, il est question de réfléchir à une architecture générale des systèmes d’information européens existants.

La Commission s’était déjà interrogée sur cette question dans une communication en 2012. Elle avait estimé qu’il ne fallait pas créer de nouveaux systèmes, mais rationner ceux existants et, pour ce faire, il convenait d’améliorer leur interopérabilité. Le Conseil de l’Union était allé dans le même sens dans les lignes directrices à la Stratégie européenne de sécurité intérieure pour la période 2015-2020. Il faut dire que l’interopérabilité apparaît comme un leitmotiv depuis le programme de Stockholm de 2009, voire depuis celui de La Haye de 2004, consacrés à l’espace de liberté, de sécurité et de justice. La stratégie européenne de sécurité intérieure 2010-2015 note à ce sujet « il faut qu’un des objectifs stratégiques soit l’interopérabilité des différents systèmes et technologies utilisés par les agences ou services, afin que les équipements ne soient pas une entrave à la coopération entre États membres pour le partage d’informations ou la réalisation d’opérations Communes ». Les conclusions du Conseil instaurant une stratégie actualisée de gestion de l’information pour la sécurité intérieure de l’UE, adoptées les 4 et 5 décembre 2014, soulignent dans le même registre que « l’objectif stratégique de la future stratégie de sécurité intérieure de l’UE renouvelée qui consiste à renforcer une approche globale et cohérente dans la lutte contre la criminalité transnationale et le terrorisme, notamment par l’accès à l’information, la disponibilité et l’échange d’informations, sera soutenu en visant davantage l’interopérabilité des systèmes ». Sans surprise, cette idée a été reprise dans les conclusions du Conseil du 16 juin 2015 instaurant la stratégie européenne de sécurité intérieure 2015-2020.

Pour donner un exemple concret, Europol héberge à l’heure actuelle le réseau informatique des cellules de renseignement financier (CRF.NET) auquel prend part en France TRACFIN. Le CRF.NET, rattaché au Centre européen de la lutte contre le terrorisme d’Europol inauguré le 26 janvier 2016, relie les cellules nationales. L’objectif est de leur permettre de s’échanger de manière sécurisée, les informations relatives au blanchiment et au financement du terrorisme. L’office européen de police est par ailleurs compétent lui-même sur ces questions de blanchiment et de financement du terrorisme. Il peut, à ce titre, alimenter ses propres bases de données, en premier lieu le Système d’information Europol (SIE), mais il ne peut pas croiser les données communiquées via le CRF.NET dans la mesure où celui-ci n’est pas connecté aux bases de données d’Europol. À ce propos, et conformément à la communication du 6 avril 2016 précitée, un groupe d’experts devrait rendre ses conclusions d’ici fin mai sur l’interopérabilité des systèmes d’information.

Cela étant, l’interconnexion des différents systèmes d’information n’est pas sans soulever des questions ayant trait à la protection de la vie privée, alors même que la directive PNR, ayant vu s’affronter les partisans et les opposants d’une sécurité digitale accrue, a été approuvée par le Parlement européen le 14 avril 2016, tout comme la directive sur la protection des données dans le secteur de la police et de la justice, approuvé par lui également le même jour. Nul doute que l’interopérabilité des systèmes d’information, en tant que nœud gordien d’une lutte antiterroriste imbriquée aux questions migratoires, suscitera d’âpres débats sur le terrain de la légalité. On peut imaginer que les deux camps fourbissent d’ores et déjà leurs armes juridiques.