Frontex : le Contrôleur européen de la protection des données tire la sonnette d’alarme sur le traitement des données des migrants
La manière dont Frontex traite les données personnelles des migrants enfreint son propre mandat ainsi que le droit européen, peut-on lire dans une lettre du Contrôleur européen de la protection des données consultée par Euractiv.
La manière dont l’Agence européenne de garde-frontières et de gardes-côtes (Frontex) traite les données personnelles des migrants enfreint son propre mandat ainsi que le droit européen, peut-on lire dans une lettre du Contrôleur européen de la protection des données (CEPD), consultée par Euractiv.
Le conseil d’administration de Frontex a adopté des règles internes sur le traitement des données personnelles fin 2021. En juin 2022, le CEPD a émis deux avis non contraignants demandant à l’agence d’améliorer certaines dispositions pour se conformer à son propre mandat et au cadre de protection des données de l’UE.
Des règles internes sont en cours d’élaboration pour clarifier l’application du règlement relatif à Frontex lors des opérations sur le terrain. Cependant, bien que les deux avis aient été pris en compte, le CEPD estime que le projet de règles qui sera bientôt adopté n’est pas conforme au règlement puisqu’il décrit des activités que l’agence frontalière de l’UE n’est pas autorisée à exercer.
En août, le Contrôleur européen a envoyé une lettre, obtenue par Euractiv via une demande de liberté d’information, au directeur de Frontex, Hans Leijtens. Dans cette lettre, il souligne que certaines recommandations n’ont pas été appliquées et que des éléments ne sont pas conformes aux normes européennes en matière de protection des données.
« La manière dont toutes les activités de traitement des données menées par Frontex sont englobées dans le [projet de] règles générales, a un impact négatif sur une répartition claire des responsabilités en matière de protection des données », indique la lettre, signée par Wojciech Rafał Wiewiórowski, Contrôleur européen de la protection des données depuis décembre 2019.
« En particulier, plusieurs dispositions sont rédigées d’une manière qui crée un manque de clarté quant à la portée exacte de ces activités, notamment en ce qui concerne les données qui peuvent être collectées et traitées ultérieurement, dans quel but et en vertu de quel cadre de protection des données applicable », a-t-il ajouté.
M. Wiewiórowski écrit également que le projet de règles permet à l’agence « de traiter un large éventail de catégories de données à caractère personnel dans le cadre des opérations conjointes [les déploiements de personnel et de matériel pour apporter une assistance aux États membres confrontés à des difficultés aux frontières extérieures de l’UE] » et ce « sans préciser à quelle fin et dans quel rôle [responsable du traitement ou sous-traitant des données] Frontex peut traiter chaque catégorie de données ».
Le manque de clarté sur le rôle de Frontex lors de la collecte et du traitement de données personnelles, voire sensibles, crée un problème de définition de la « base juridique » de son activité sur le terrain.
Un porte-parole de Frontex a expliqué à Euractiv que l’agence « maintient un dialogue continu avec le Contrôleur européen de la protection des données concernant le traitement des données personnelles ».
« L’agence s’engage à mener toutes ses activités conformément aux règlementations sur la protection des données et dans le respect des droits fondamentaux », a-t-il ajouté.
Un problème persistant
Le CEPD avait déjà exprimé ses inquiétudes sur le modus operandi de Frontex en ce qui concerne le traitement des données, notamment en mai 2023 lorsqu’il a publié les résultats d’une visite du Contrôleur au siège de Frontex effectuée en octobre 2022.
Il avait alors été révélé que la collecte de données personnelles sur le terrain lors des entretiens avec les migrants (la principale source de données de Frontex lors des opérations conjointes) présente différents problèmes, tels que la nature non volontaire des entretiens et le manque de protection de l’identité des personnes interrogées.
En outre, l’organisme a constaté que Frontex partageait directement les rapports de débriefing avec d’autres agences répressives de l’UE — l’Agence de l’UE pour la coopération des services répressifs (Europol) et l’Agence de l’UE pour la coopération judiciaire en matière pénale (Eurojust) — et les autorités des États membres sans évaluer la nécessité d’un tel partage. Cette pratique enfreint la législation européenne, affirme le CEPD, qui a ouvert une enquête sur le sujet en juin dernier.
Profilage de suspects
Le CEPD insiste également sur le fait que Frontex n’est pas un service répressif et ne peut donc pas « procéder à une analyse criminelle à ses propres fins, comme le font les autres services répressifs de l’UE ».
Pour cette raison, le CEPD considère comme problématique la possibilité pour Frontex de désigner légalement certaines personnes comme étant « suspectes » ainsi que le transfert de ces données aux autres agences de l’UE et aux autorités nationales chargées de l’application de la loi, le tout rappelons-le sans évaluer si un tel transfert est vraiment nécessaire.
En outre, il n’est pas clair si l’identification des suspects par l’agence des frontières de l’UE « est basée sur des faits ou sur une évaluation personnelle », souligne la lettre. Le même problème subsiste en ce qui concerne la définition juridique des « témoins », des « contacts » et des « associés » des suspects.
Catégories de données spécifiques
Le Contrôleur européen de la protection des données a noté dans la lettre que la « base juridique » sur laquelle Frontex traite des catégories spéciales de données, telles que les opinions politiques, les croyances religieuses et l’orientation sexuelle, n’est pas assez solide.
D’autres préoccupations sont liées à la prise en compte des données collectées sur les navires et les avions, qui, selon Frontex, ne sont pas considérées comme des données personnelles, alors que le CEPD soutient qu’elles le sont.
Le Contrôleur a également pointé du doigt le manque de clarté quant à l’utilisation, la portée et la protection lorsqu’il s’agit de collecter des données « dans le but d’enquêter sur une violation des droits fondamentaux ». Ces données peuvent être des enregistrements vocaux, des images par exemple, que le Contrôleur définit comme « particulièrement sensibles ».
Le CEPD pourrait poursuivre Frontex devant la Cour de justice de l’UE (CJUE) pour les violations présumées de la loi sur la protection des données si aucune mesure corrective n’est rapidement mise en œuvre, mais seulement en dernier recours.
[Édité par Anne-Sophie Gayet]
