Question :
En mai 2018, EUobserver a révélé que le Royaume-Uni avait copié illégalement des données personnelles classifiées figurant dans le système d’information Schengen (SIS), y compris des photographies et des empreintes digitales. Le Royaume-Uni, qui ne fait pas partie de l’espace Schengen, bénéficiait depuis 2015 d’un accès restreint à cette base de données. Ces copies ont également été rendues accessibles à des entreprises américaines recrutées par le gouvernement britannique .
Le 24 juillet 2019, le commissaire KING a déclaré que le Royaume-Uni avait pris des «mesures pratiques» pour remédier à cette situation et qu’un certain nombre d’États membres «[avaient] des difficultés à résoudre dans ce domaine» .
- La Commission reconnaît-elle qu’il s’agit là d’une violation très grave, qui ébranlera la confiance des citoyens dans l’Union européenne, et qu’une enquête exhaustive, détaillée et rapide s’impose, dont il conviendra de présenter les conclusions au Parlement?
- La Commission s’est-elle demandée si les autorités américaines avaient peut-être, au titre du CLOUD Act et du Patriot Act américains, contraint ces entreprises américaines à divulguer des données sur des citoyens de l’Union issues de ces copies illégales du SIS? Peut-elle également préciser en quoi consistent les «mesures pratiques» susmentionnées?
- La Commission compte-t-elle engager des procédures d’infraction à l’encontre des États membres qui enfreignent les règles relatives au SIS et font peser des risques graves et immédiats sur l’intégrité et la sécurité des données du SIS et celles des citoyens de l’UE?
Réponse de la Commission
À la suite de l’inspection, aux fins de l’évaluation Schengen, qui avait eu lieu au Royaume?Uni en novembre 2017, la Commission a adopté le rapport d’évaluation Schengen et l’a transmis, en mai 2018, au Parlement européen, conformément aux règles relatives à la transmission et au traitement des informations classifiées. Les rapports d’évaluation Schengen sont toujours classifiés EU RESTRICTED/UE RESTREINT. La Commission n’est donc pas en mesure de commenter publiquement le contenu du rapport.
De manière plus générale, la législation qui régit le système d’information Schengen (SIS) autorise les États membres à conserver une copie nationale des données du SIS, à des fins de consultation. Les États membres peuvent collaborer avec des prestataires extérieurs pour toute tâche liée au SIS, y compris l’hébergement, à condition de respecter toutes les dispositions de la législation, en particulier celles relatives à la sécurité, à la confidentialité et à la protection des données. Ils ne peuvent toutefois confier la gestion opérationnelle complète d’une copie technique à des entreprises ou organisations privées. Les données traitées dans le SIS ne peuvent être transférées à des pays tiers ou à des organisations internationales, ni être mises à leur disposition.
La Commission rappelle que le mécanisme d’évaluation et de contrôle de Schengen créé par le règlement (UE) n° 1053/2013[1] sert à vérifier l’application des dispositions du droit de l’Union qui constituent l’acquis de Schengen — y compris les règles de fonctionnement du SIS — dans tous les pays où l’acquis est appliqué. Le mécanisme d’évaluation et de contrôle de Schengen repose sur une coopération étroite entre la Commission et les États membres et il est sans préjudice du pouvoir général de la Commission de surveiller l’application du droit de l’Union, sous le contrôle de la Cour de justice de l’Union européenne, au moyen des procédures d’infraction.
[1] JO L 295 du 6.11.2013, p. 27.