Dans un contexte croissant d’échanges de données, l’Union européenne envisage de permettre aux États-Unis l’accès à des bases de données biométriques européennes (empreintes digitales, visages, opinions politiques et religieuses) afin de préserver l’exemption de visa pour les voyageurs européens vers les Etats Unis. Cette décision soulève d’importants enjeux pour la souveraineté numérique, la protection des données et les droits fondamentaux des citoyens de l’UE.

En 2022, Washington a exigé que l’exemption de visa pour les pays de l’UE soit conditionnée à l’accès direct des  autorités américaines,  aux bases de données biométriques européennes. Ce programme, appelé « Enhanced Border Security Partnerships » (EBSP), exclut la Roumanie, la Bulgarie, Chypre, le Danemark et l’Irlande pour des raisons spécifiques.

En décembre, la Commission européenne concernées  a reçu un mandat de négociation de la part des capitales européennes sans controverse politique. Les discussions commenceront cette année, puis chaque pays négociera un accord bilatéral avec les États-Unis sous l’encadrement de l’UE. L’accord fixe les catégories de données accessibles ; l’étendue de l’accès sera décidée par chaque gouvernement avec Washington.

Selon le droit européen, notamment le RGPD, toute exportation de données personnelles vers un pays tiers exige des garanties strictes et un niveau de protection équivalent à celui de l’UE (article 44). L’accord EBSP concerne des données sensibles (biométriques, ethniques, opinions, etc.) qui bénéficient d’une protection renforcée (articles 9 et 10 RGPD, Charte des droits fondamentaux, CJUE). L’accord impose que le transfert soit « strictement nécessaire et proportionné » à la lutte contre la criminalité, mais plusieurs points restent flous concernant la mise en œuvre, la finalité, la conservation des données et le contrôle des accès.

La CJUE a souligné que des garanties formelles ne suffisent pas si le pays tiers n’assure pas la protection effective des droits fondamentaux (arrêts Schrems I et II). Les annulations des accords « Safe Harbor » et « Privacy Shield » avec les États-Unis montrent que la surveillance de masse et l’absence de recours pour les citoyens européens sont incompatibles avec les normes européennes.

La protection des données va au-delà des infrastructures, posant un défi à la souveraineté numérique européenne. L’ouverture des bases biométriques aux autorités étrangères limite la capacité des États membres à protéger leurs citoyens, surtout face aux usages non contrôlés des données sensibles. La dépendance envers les États-Unis affaiblit l’UE, d’autant que la réciprocité fait défaut : les bases américaines restent fermées, imposant une extraterritorialité juridique jamais reconnue par l’Europe.

Le transfert envisagé concerne des données extrêmement sensibles telles que les empreintes digitales et caractéristiques faciales, qui facilitent l’authentification et le profilage à grande échelle. L’ajout d’informations ethniques, politiques ou religieuses accentue les risques de discrimination et d’abus. Les garanties proposées (limitation des finalités, durée de conservation, contrôle a posteriori) semblent insuffisantes au regard des lois américaines sur la surveillance. La « nécessité et proportionnalité » reste floue, et le recours effectif des citoyens européens aux États-Unis est peu assuré. De plus, la multiplication des accès par diverses agences augmente les risques de fuite ou de détournement.

La vie privée, garantie par l’article 8 de la Charte des droits fondamentaux de l’UE et de la Convention européenne des droits de l’homme, est menacée par le transfert massif de données biométriques sans contrôle. La demande américaine de cinq ans d’historique de réseaux sociaux pour les visiteurs accentue ce risque.

La jurisprudence européenne exige des dérogations exceptionnelles, strictement encadrées, mais le débat public et la consultation ont été négligés dans ce cas.

À Bruxelles, le Contrôleur européen de la protection des données a souligné que l’EBSP serait un précédent dans le transfert de données vers une autorité étrangère et a plaidé pour un cadre strict. La plupart des gouvernements européens ont approuvé l’accord sans débat parlementaire ni garanties supplémentaires, soulevant des questions sur la transparence. Interrogées sur les réserves concernant l’accès de l’administration américaine, la présidence du Conseil et la Commission n’ont pas répondu.

L’accord EBSP s’inscrit dans la tendance mondiale d’échange de données à des fins sécuritaires. Contrairement à l’Australie ou au Canada, il prévoit un accès direct aux bases nationales, ce qui présente deux risques : créer un dangereux précédent pour d’autres États et rapprocher progressivement les normes européennes de pratiques extraterritoriales, au détriment de l’autonomie de l’UE. Chaque concession accentue le risque de voir les standards européens fragilisés face à de futures demandes étrangères.

Un débat public et transparent est nécessaire sur les conditions et garanties des transferts de données sensibles, impliquant parlements et société civile. Les responsables politiques doivent préserver la souveraineté numérique et les droits fondamentaux face aux pressions diplomatiques, en privilégiant des garanties juridiques et des contrôles indépendants. L’UE doit rester vigilante quant aux pratiques américaines de surveillance et n’accepter aucun accord sans garanties vérifiables, afin de ne pas devenir un simple fournisseur de données à des intérêts étrangers.

Colette Bouckaert

Secrétaire générale iDFrights