Les analyses des risques de Frontex seraient fondées sur des informations peu fiables
L’agence de gestion des frontières de l’UE, Frontex, produirait des analyses des risques douteuses sur la migration en raison de « la faible fiabilité des données collectées », selon le Contrôleur européen de la protection des données (CEPD).
L’agence de gestion des frontières de l’UE, Frontex, produirait des analyses des risques douteuses sur la migration en raison de « la faible fiabilité des données collectées », selon le Contrôleur européen de la protection des données (CEPD).
Au terme d’une enquête publiée mercredi (31 mai), le CEPD — dont le rôle est de superviser le traitement des données des organes de l’UE — a remis en question la méthodologie utilisée par Frontex pour intégrer les entretiens réalisés sur le terrain dans les analyses des risques.
Le Contrôleur a notamment dénoncé « l’absence d’une cartographie claire et d’une vue d’ensemble exhaustive du traitement des données à caractère personnel », considérées comme insuffisamment protégées.
Le caractère volontaire des entretiens eux-mêmes n’est pas non plus garanti, selon le rapport, car ils « sont menés dans une situation de privation (ou de limitation) de liberté » et visent à « identifier des suspects sur la base du témoignage de la personne interrogée ».
Les principales préoccupations concernent « l’utilisation d’informations peu fiables pour la production d’analyses des risques et ses implications pour certains groupes qui peuvent être indûment ciblés ou représentés dans les produits des analyses des risques ».
Cela pourrait avoir « des répercussions négatives sur des individus et des groupes dans le cadre d’actions opérationnelles et du processus de prise de décision politique », a déclaré l’organisme de surveillance de l’UE.
Cette nouvelle enquête résulte d’un travail de terrain effectué fin 2022 au siège de Frontex à Varsovie.
Ce n’est pas la première fois que l’organe soulève de sérieuses préoccupations concernant les pratiques de traitement des données d’une agence de l’UE. En 2020, le Contrôleur a lancé une enquête sur Europol, l’agence de police de l’UE, ce qui a conduit la Commission européenne à réviser le mandat de l’agence.
Manque de protection
Le rapport explique que Frontex utilise comme « principale source de collecte de données à caractère personnel » des entretiens qu’elle mène conjointement avec l’État membre dans lequel elle opère. Les entretiens sont menés sur une base ad hoc avec des personnes interceptées alors qu’elles tentaient de franchir une frontière « sans autorisation ».
L’agence européenne recueille des informations sur leur voyage, les causes de leur départ et toute autre information susceptible d’être utile à l’analyse des risques de l’agence.
Bien que Frontex mène des entretiens sans citer le nom des personnes, les informations contenues dans les échanges « permettraient d’identifier la personne interrogée et constituent donc des données à caractère personnel au sens de la législation sur la protection des données », indique le rapport du Contrôleur.
L’agence européenne de garde-frontières et de gardes-côtes recueille notamment des données personnelles sur des personnes soupçonnées d’être impliquées dans des crimes transfrontaliers, tels que le trafic d’êtres humains, et dont les données sont partagées avec Europol.
Selon le rapport, Frontex ne peut pas collecter « systématiquement » des informations sur les crimes transfrontaliers puisqu’elle « doit être strictement limitée » à Europol, Eurojust et aux « besoins identifiés » des États membres.
Cependant, les preuves fournies par le CEPD indiquent « que Frontex échange automatiquement les rapports de débriefing avec Europol sans évaluer la stricte nécessité d’un tel échange ».
Étant donné que cela constitue une violation des règles de Frontex elles-mêmes, l’autorité a déclaré qu’elle ouvrirait une enquête à ce sujet.
L’autorité de surveillance considère également que les dispositions qui devraient être mises en place lorsque les données sont collectées conjointement entre Frontex et les États membres sont « incomplètes ».
Selon le CEPD, il n’existe « aucun accord entre les contrôleurs conjoints pour la répartition de leurs obligations respectives en matière de protection des données concernant le traitement des données à caractère personnel des personnes interrogées ».
« Le rapport d’audit remet en question la légalité fondamentale des systèmes d’analyse des risques utilisés contre les personnes migrantes, et il souligne les graves préjudices qui découlent de leur utilisation », a confié à EURACTIV Caterina Rodelli, analyste politique de l’UE à l’ONG Access Now, qui défend les droits numériques des personnes et des communautés à risque.
Mme Rodelli considère le rapport du CEPD comme une « étape importante » pour fixer une limite au « pouvoir disproportionné » de Frontex et estime qu’il arrive à un moment charnière de l’évaluation des risques des outils de collecte de données concernant les flux migratoires.
L’autorité a envoyé à Frontex 32 recommandations, dont 24 doivent être mises en œuvre d’ici la fin de 2023.
Alina Clasen a contribué à la rédaction de cet article.
[Édité par Anne-Sophie Gayet]
