L’Europe est-elle vraiment sur le point de livrer nos données biométriques aux États-Unis ?

L’Europe est-elle sur le point de céder nos données biométriques aux Américains ? La question est posée par l’ONG Statewatch : le 29 août dernier, l’association basée au Royaume-Uni s’alarmait de voir l’Europe « être sur le point de donner aux États-Unis un accès direct (à ses) bases de données policières et migratoires », une alerte relayée notamment en France par le blogueur et spécialiste de cybersécurité Bluetouff sur son compte X.

En pratique, Statewatch pointait du doigt une publication de la Commission européenne du 23 juillet dernier, que nous avons parcourue : il s’agit d’une proposition de mandat visant à négocier un contrat-cadre avec les États-Unis « dans le cadre des procédures aux frontières et des demandes de visa ».

De quoi s’agit-il ? Depuis 2022, Washington demande à tous les pays qui font partie de son programme d’exemption de visa (VWP) de conclure un nouveau « partenariat renforcé en matière de sécurité aux frontières » (« Enhanced Border Security Partnership » ou « EBSP » en anglais), avec le département américain de la sécurité intérieure.

Les citoyens de la majorité des pays européens – à l’exception de la Roumanie, de la Bulgarie et de Chypre – peuvent se rendre sur le territoire américain sans visa, pour une durée maximale de 90 jours. Mais désormais, les capitales européennes ont jusqu’au 31 décembre 2026 pour accepter « l’EBSP », le nouveau partenariat américain, sous peine d’être exclues du programme d’exemption de visa.

Une demande disproportionnée ?

Or, l’EBSP exige que les fonctionnaires américains aient directement accès aux bases de données nationales des États européens. Les empreintes digitales et les photographies des citoyens européens qui s’y trouvent pourraient ainsi être utilisées pour vérifier l’identité des arrivants sur le sol américain, et pour contrôler la sécurité aux frontières, mais pas seulement. Les données seraient aussi consultables pour traiter les demandes de visas ou dans un contexte d’immigration (demande d’asile).

La demande a inquiété les défenseurs des droits civils, car même entre les 27 pays de l’Union européenne, il n’existe pas d’accès mutuel (et automatique) aux bases de données de police des autres États. Le Conseil lui-même — la représentation des 27 États-membres – doutait de la compatibilité d’un tel accès avec le droit européen, comme le montrent deux documents datant de 2024 et 2023, révélés par la même ONG Statewatch.

Deux ans plus tôt, le Conseil écrivait : « L’EBSP soulève de nombreuses questions, telles que la protection des données, les modalités de la recherche biométrique (…) et l’absence de réciprocité totale des données à échanger. Les transferts de données requis dans le cadre de l’EBSP doivent être conformes à la législation européenne en matière de protection des données (RGPD et directive Police). Compte tenu des transferts continus et systématiques envisagés par les États-Unis, ceux-ci devraient être fondés sur un accord international ou un arrangement administratif garantissant des mesures de protection des données suffisantes ».

À lire aussi : CIA, FBI ou NSA : les demandes d’accès à nos données personnelles ont explosé

Après cette « recommandation de décision », quelle prochaine étape ?

Mais en juin 2024, les 27 pays de l’Union européenne demandent finalement que la Commission européenne présente une proposition de mandat, pour négocier un tel accord. Près d’un an plus tard, la Commission s’exécute, via la « recommandation de décision du Conseil » publiée fin juillet (2025) : c’est ce document qui a alerté l’ONG britannique, fin août. En pratique, Bruxelles demande aux 27 de l’autoriser officiellement à entamer les négociations de cet accord avec Washington, en s’engageant à suivre certains points décrits dans ses « directives de négociation », un document annexé à la recommandation.

Cette « recommandation de décision du conseil autorisant l’ouverture de négociations » constitue donc une des étapes préliminaires à un futur et potentiel accord avec Washington. Le dossier est désormais dans les mains du Conseil, qui devrait adopter – ou pas – une décision autorisant officiellement l’ouverture de ces négociations.

En quoi consisterait cet accord ?

S’il existe déjà des accords autorisant les transferts de données personnelles entre les États-Unis et l’Europe, à l’image du « Data Privacy Framework » ou DPF, le nom de l’accord transatlantique sur les données personnelles contesté par des défenseurs de droits – il est ici question de données qui seraient échangées dans un contexte particulier de contrôle d’identité aux frontières – et peut-être plus largement de traitement des demandes de visa. Au vu des data concernées (les données particulièrement sensibles d’identité), la Commission estime qu’il faut un nouvel accord entre Bruxelles et Washington.

À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains

« Le transfert de données à caractère personnel (…) ainsi que le transfert de données génétiques, de données biométriques aux fins de l’identification d’une personne physique de manière unique (…) ne devraient être autorisés que s’ils sont strictement nécessaires et proportionnés, dans des cas particuliers, pour prévenir ou combattre les infractions pénales, dont le terrorisme, visées dans l’accord-cadre, et sous réserve de garanties appropriées (…) », rappelle la Commission.

Jusqu’à présent, les agences américaines pouvaient déjà consulter certaines bases de données des pays adhérents au programme d’exemption des visas.

Cet accès leur permet de vérifier que les personnes qui arrivent sur le territoire américain n’ont pas été impliquées de près ou de loin dans des actes de crimes graves ou de terrorisme, rappelle Bruxelles. Mais cette fois, il s’agirait d’élargir ce périmètre à des crimes (tout court), même si le périmètre en question reste flou. « L’objectif de l’échange d’informations (…) est potentiellement plus large, car il concerne également les domaines de la gestion des frontières et de la politique des visas », écrit la Commission. Mais à quel point est-il plus large ? C’est toute la question.

Quels garde-fous ?

Dans ses recommandations, la Commission prévoit d’inclure dans le futur accord des garde-fous, des lignes rouges à ne pas dépasser. L’une d’entre elles vise à « empêcher les requêtes sur des personnes dans tous les cas, sans suspicion préalable ». « Il devrait être exclu de pouvoir lancer, de manière routinière et systématique, une requête concernant toutes les personnes voyageant entre l’UE et les États-Unis », préconise Bruxelles. Dans ses directives de négociation, l’exécutif européen répète d’ailleurs qu’il faut « empêcher un traitement systématique, généralisé et non ciblé des données », qui devront être précisément listées.

Les data concernées sont « (les) données d’identification (qui) figurent dans le document de voyage, (ainsi que) des empreintes digitales du voyageur. S’il y a lieu et sous réserve des garanties appropriées, les parties devraient également pouvoir échanger des informations supplémentaires sur la personne concernée », souligne la Commission, se bornant à préciser qu’il faudra « se limiter à ce qui est strictement nécessaire et proportionné pour atteindre le résultat voulu ».

Parmi les garanties à inclure dans le futur accord, la Commission liste les droits dont les Européens bénéficient, en Europe, lorsqu’il est question de leurs données personnelles, à l’image d’un « droit d’information, d’accès, de rectification et d’effacement ». Bruxelles évoque aussi la mise en place d’un « recours administratif et judiciaire à toute personne dont les données sont traitées en vertu de l’accord-cadre », en vue de « garantir des voies de droit effectives ».

Est aussi préconisée la mise en place d’un « système de surveillance, par un ou plusieurs organismes indépendants chargés de la protection des données aux États-Unis et investis de pouvoirs d’enquête et d’intervention effectifs, qui porterait sur l’utilisation de ces données à caractère personnel ». Autant d’éléments qui font partie de notre arsenal de protection des données en Europe depuis le RGPD, et qui ont été l’objet de grandes discussions lors de la négociation de l’accord américano-européen sur les données personnelles, le DPF. Tous ces sujets devraient à nouveau être des points d’achoppement entre Bruxelles et Washington, pendant la négociation du futur (et pour l’instant éventuel) accord.

À noter que l’autre grand objectif de la Commission dans ce dossier reste la réciprocité. Bruxelles souhaite que l’accès aux bases de données soit mutuel. Dit autrement, les autorités européennes doivent aussi avoir le droit d’entrer dans les bases de données du département de la Sécurité intérieure des États-Unis – ce qui n’est pas le cas aujourd’hui. Sur ce sujet, les Européens se voyaient toujours opposer une fin de non-recevoir. Au vu du contexte actuel, cette position ne devrait pas avoir bougé d’un iota.