Lutte contre la criminalité et le terrorisme : un meilleur accès aux preuves électroniques, mais à quelles conditions ?

La proposition de la Commission européenne sur la preuve électronique a pour effet de priver les autorités publiques des Etats membres de leurs prérogatives régaliennes et de doter les fournisseurs de services de compétences quasi-judiciaires

Dans une tribune parue dans le journal Le Monde le 27 novembre dernier un collectif de procureurs européens a appelé les législateurs nationaux à adopter la proposition de la Commission européenne relative à la preuve électronique (e-evidence).

Le souhait émis par les cosignataires de la tribune est totalement légitime, s’agissant de représentants du ministère public qui agissent au nom de l’État et défendent ainsi les intérêts de la société : le développement du monde numérique dans tous les aspects de nos vies quotidiennes impose des ajustements dans tous les domaines, y compris celui de la justice. L’accès aux informations électroniques est devenu une nécessité incontournable dans la plupart des affaires pénales, qu’elles soient liées au terrorisme ou non, et cet accès dépend du lieu d’établissement du fournisseur de services. 

Accéder plus facilement aux fournisseurs de services doit-il cependant conduire à une remise en cause des principes fondamentaux sur lesquels reposent nos systèmes judiciaires nationaux ? C’est ce que semble penser la Commission, qui envisage dans sa proposition de règlement une coopération directe en matière pénale entre les autorités compétentes d’un Etat membre et un fournisseur de services établi ou représenté dans un autre Etat membre, sans même devoir informer les autorités compétentes de l’Etat sur lequel est établi ou représenté ce fournisseur de services.

Aujourd’hui dans l’Union européenne, définir le droit et rendre la justice relèvent des fonctions régaliennes des Etats, ce qui naturellement n’empêche pas la coopération judiciaire entre eux. L’article 82 du Traité sur le fonctionnement de l’Union européenne prévoit explicitement une telle coopération et précisent que les deux colégislateurs de l’UE, le Parlement européen et le Conseil adoptent notamment les mesures visant « à faciliter la coopération entre autorités judiciaires ou équivalentes des Etats membres dans le cadre des poursuites pénales et de l’exécution des décisions ».

Il s’agit bien d’une coopération entre autorités judiciaires ou équivalentes des Etats membres, et non d’une coopération entre ces autorités et des opérateurs privés, dont les objectifs sont de nature commerciale.

Or, non seulement la Commission envisage sur la base de l’article 82 précité une telle coopération entre autorités compétentes d’un Etat membre et fournisseur de services d’un autre Etat membre, mais elle n’hésite pas, en outre, à investir ce fournisseur de services de compétences quasi-judiciaires. Ainsi, l’article 9 par. 5 de la proposition de règlement prévoit-il la possibilité de ne pas exécuter une injonction de production des preuves électroniques quand il apparaît, sur la base des seules informations contenues dans l’injonction, que celle-ci « enfreint manifestement la Charte des droits fondamentaux de l’Union européenne » ou qu’elle est manifestement abusive.

Le même fournisseur de services peut également ne pas exécuter l’injonction quand il considère que le respect de celle-ci « serait contraire aux lois applicables d’un pays tiers interdisant la divulgation de données concernées au motif que cela est nécessaire pour protéger les droits fondamentaux des personnes concernées ou les intérêts fondamentaux du pays tiers en matière de sécurité ou de défense nationales ».

Le fournisseur de services n’est donc plus simplement une entité commerciale, qui poursuit des intérêts qui lui sont propres, mais par la grâce de la proposition de la Commission, il devient un véritable auxiliaire de justice, doté de compétences juridiques lui permettant d’apprécier la validité de l’injonction qui lui a été adressée.

Un accès plus facile aux données électroniques pour les autorités policières et judiciaires justifie-t-il un tel abandon des compétences exclusives des autorités publiques en matière pénale, et une telle confusion entre intérêt public et intérêts privés ? N’y a-t-il pas d’autres moyens pour faciliter la coopération judiciaire dans l’espace européen de liberté, de sécurité et de justice, au sein duquel précisément est consacré le principe de confiance mutuelle ?

En premier lieu, il convient d’analyser les motifs des difficultés que rencontrent aujourd’hui les autorités policières et judiciaires des Etats membres : les fournisseurs de services sont fréquemment des compagnies régies par le droit américain, ce qui supposerait que les autorités des Etats de l’UE sollicitent une assistance auprès des autorités américaines, alors même que l’affaire pénale à traiter a le plus souvent un caractère national. La solution juridiquement correcte devrait être trouvée dans l’amélioration des traités d’assistance judiciaire mutuelle qui existant déjà : un tel traité a déjà été adopté entre les USA et l’UE en 2003.

Ces traités d’entraide judiciaire sont critiqués en raison de la lenteur des procédures mises en place. Toutefois, dans le cadre des négociations actuellement en cours au Conseil de l’Europe sur le deuxième protocole additionnel à la Convention de Budapest sur la cybercriminalité, a été provisoirement adoptée une disposition spécifique sur la « demandes d’entraide judiciaire urgente ». Cette disposition prévoit une procédure qui soit la plus rapide possible pour les demandes d’entraide effectuées en situation d’urgence, définie comme une situation « présentant un risque significatif et imminent pour la vie ou la sécurité d’une personne physique ». Parmi les exemples donnés dans le rapport explicatif figure notamment le cas où « la localisation de la victime peut être déterminée au moyen de données stockées par le fournisseur ».

 Il semble donc possible d’envisager l’amélioration du fonctionnement actuel des traités d’assistance judiciaire, qui sont les seuls instruments susceptibles de régler les épineux problèmes de conflits de lois. A cet égard, force est de constater que la proposition de la Commission ne permet pas de résoudre de tels conflits, lorsque le fournisseur de services saisi d’une injonction de production est également soumis à la loi applicable d’un pays tiers : elle prévoit en revanche un mécanisme complexe de saisine d’une juridiction de l’Etat dont dépend l’autorité émettrice de l’injonction, ce qui paraît pour le moins étonnant dans le cadre d’un conflit qui est un conflit de nature territoriale, entre la loi de l’Etat sur le territoire duquel est établi -ou représenté- le fournisseur de services, et la loi de l’Etat tiers applicable à ce même fournisseur de services.

En deuxième lieu, indépendamment d’une amélioration éventuelle des traités d’assistance judiciaire mutuelle, l’objectif visé par la Commission pourrait être atteint sans remise en cause des principes de base concernant les compétences souveraines des Etats membres : il suffit pour cela de rétablir le canal classique de coopération entre autorités judiciaires des Etats membres, en impliquant activement les autorités de l’Etat sur le territoire duquel se trouve le fournisseur de services (autorités d’exécution). Le rapport du Parlement européen, préparé par Mme Sippel, propose un mécanisme de notification de l’Etat sur le territoire duquel l’injonction devra être exécutée, simultanément à l’envoi de celle-ci au fournisseur de services. L’examen juridique de l’injonction et son exécution éventuelle relèveront de la seule appréciation de l’autorité d’exécution.  Le cas échéant, dans les cas-rares- où la personne concernée par la procédure ne réside ni sur le territoire de l’Etat d’émission, ni sur celui d’exécution de l’injonction, celle-ci devra être également adressée aux autorités du lieu de résidence de la personne, à condition naturellement que ce lieu de résidence soit connu.

Une telle notification, conforme aux prérogatives régaliennes des Etats membres aux dispositions de l’article 82 du TFUE, n’est pas antinomique avec la recherche d’efficacité de la procédure : le rapport du Parlement prévoit le même délai de 10 jours dans lequel les fournisseurs de services devront répondre aux demandes. Le respect de ce délai suppose bien entendu la pleine application du principe de confiance mutuelle, sur lequel se fonde précisément la coopération judiciaire dans l’espace européen. Une telle confiance ne peut concerner que les autorités publiques des Etats membres entre elles, et non avec des compagnies privées, que celles-ci soient vertueuses ou non.

La lutte contre la criminalité et le terrorisme à l’ère numérique peut et doit continuer à s’exercer dans un cadre juridique conçu pour assurer le plein respect des droits fondamentaux.

UK/EU Security Cooperation After Brexit: the UK Government’s Future Partnership Papers

ORIGINAL PUBLISHED ON EU LAW ANALYSIS

Professor Steve Peers

The Prime Minister’s big speech in Florence has received the most attention in recent weeks, but it’s also worth looking at the UK government’s recent papers on its planned EU/UK close partnership after Brexit.  I’ll look here at the papers on two aspects of security – external security (foreign policy and defence) on the one hand, and internal security (police and criminal law cooperation) on the other. Both of them are impacted in the short term by the Florence speech, since the Prime Minister called for the current UK/EU security arrangements to apply for a period of around two years, followed by a comprehensive EU/UK security treaty. Assuming that such a transition period is agreed, the issue is what happens after that. In other words, what will be the content of that future comprehensive security treaty?

External security: Foreign policy and defence

The UK government’s foreign policy paper devotes much of its space – the first 17 pages – to explaining the UK’s major commitments in this field, including via its EU membership. A Martian reader would assume that the UK was applying to join the Union. Only the last few pages discuss the government’s preferred policy – which is both rather vague and highly resembles EU membership.

In short (although there’s no long version), the government seeks to maintain a relationship with the EU in this field that’s closer than any other non-EU country – although without offering many specifics. The government does, however, state that it wants to contribute to EU defence missions and to align sanctions regimes with the EU. The point about sanctions is particularly relevant, since the UK provides intelligence to justify their imposition and some of the individuals concerned have placed their assets in the UK.

For instance, in the recent ECJ judgment in Rosneft (discussed here), which followed a reference from the UK courts, the sanctioned company tried to reopen the case to argue that the referendum result already meant that EU sanctions ceased to apply in the UK. The ECJ simply replied that the Russian company had not explained how the Brexit vote altered the jurisdiction of the Court or the effect of its judgments.

Of course, the legal position will certainly change from Brexit Day: the UK government plans to propose a new Bill regulating post-Brexit sanctions policy in the near future, following a White Paper on this issue earlier this year (see also the government response to that consultation). One key question will be whether that Bill already attempts to regulate the UK’s post-Brexit coordination with the EU on sanctions, or whether that will be left to the Brexit negotiations to address.

This brings us to the issue of the ECJ, which is a difficult question as regards many aspects of the Brexit talks. In principle, in the area of foreign policy and defence, Brexit talks should not be too complicated by ECJ issues, since the Court has only limited jurisdiction. However, as the case of Rosneft illustrates, it does have jurisdiction over sanctions issues. In fact, there are frequent challenges to EU sanctions and many challenges are successful, so there will be a risk of divergence between EU and UK policy after Brexit that may need to be discussed. Such divergence could lead to a knock-on complication with capital movement between the UK and EU.

The paper also covers development and external migration policy, where the UK again seeks something which is both vague and much like membership – collaboration on coordinating policy. While the EU has its own development policy, Member States are free to have their own policies, subject to loose coordination – which is what the UK is aiming for as a non-member.

This was, perhaps, a missed opportunity here to touch on the most difficult issue in the talks: the financial liabilities upon leaving in the EU. Some of the EU’s spending in these areas is not part of the ordinary EU budget (as the ECJ has confirmed), although it is part of the EU negotiation position. So the UK could have addressed that issue to move talks along and to make links between ‘upfront’ and ‘future’ issues to get around sequencing problems in the Brexit talks. (The Prime Minister’s subsequent speech in Florence did not explicitly mention these funds). Furthermore, the UK government could have used this paper to reassure some febrile people that it will have a veto on what it chooses to participate in, as well as on the ECJ.

Internal security: Criminal Law and Policing

In many ways, the government paper on criminal law matters is similar to the foreign policy paper. It also starts out by saying how useful the current relationship is, for instance as regards data on wanted persons and stolen objects uploaded into the Schengen Information System, the use of the European Arrest Warrant for fast-track extradition, and the EU police intelligence agency, Europol.

What happens after Brexit? The UK paper correctly points out that the EU already has agreements in this area with many non-EU countries, particularly as regards the exchange of policing data but also as regards some forms of criminal justice cooperation. But as with foreign policy and defence, the UK wants a distinctive relationship after Brexit, given the existing close links.

Again, however, the actual content of what the UK wants is vague. Which of the current EU laws in this field which the UK has signed up to (for a summary of those laws, see my referendum briefing here) would it still like to participate in? The only clear point is that the government doesn’t want direct ECJ jurisdiction. In principle, that should be fine for the long term, since the EU27 negotiation position only refers to the ECJ during a transition period. There’s no insistence on using it afterward, which is consistent with EU treaties in this field with non-EU countries.

However, some of those treaties refer to taking account of each other’s case law, and dispute settlement or (in some treaties) possible termination in the event of judicial or legislative divergences. The UK paper gives no idea of how it will tackle those issues, whereas the recent paper on the parallel issue of civil litigation (discussed here) at least indicated a willingness to require UK courts to take account of relevant ECJ rulings.

Comments

The contrast between the importance of these issues and the vagueness with which they are treated is striking. Imagine a television viewer aching to watch Tenko or Broadchurch – but having to settle for Last of the Summer Wine.  It is fair to assume that the government has more detailed plans than this but doesn’t want to release them; but presumably anything more specific would have opened division in the cabinet or run the perceived risk of making the government look awkward by disclosing an ultimately unsuccessful negotiation position (what the government refers to as undermining negotiations). Increasingly these papers look like an attempt to respond to poor polls about negotiations rather than a contribution to the talks.

The government does have a point, however: the UK and EU have significant shared interests in this area, and the UK has a lot to offer, in terms of its defence contribution, supply of intelligence and round-up of fugitives from other Member States, for instance. Of course, the UK benefits in turn from having swifter access to other countries’ intelligence, as well as fast track extradition and transfer of criminal evidence.  The Brexit process might also be an opportunity to address the civil liberties concerns that sometimes arise about these measures, but there is no detailed discussion of that.

It will likely be awhile before these issues are discussed in detail in the talks, and it remains to be seen how interested the EU27 side is in the UK government’s position. But at first sight, it seems possible that the future of the EU/UK relationship on security issues will not be vastly different from the present.

Counter-terrorism and the inflation of EU databases

Original published on Statewatch (*) on May 2017

By Heiner Busch (@Busch_Heiner) and Matthias Monroy (@matthimon)  (Translation from DE by Viktoria Langer)

The topic of counter-terrorism in Europe remains closely linked to the development and expansion of police (and secret service) databases. This was the case in the 1970s, after 11 September 2001 and has also been the case since 2014, when the EU Member States started working on their action plans against ‘foreign terrorist fighters’.

The first effect of this debate has been a quantitative one: the amount of data in the relevant databases has increased explosively since 2015. This can be seen by looking in particular at available data on the Europol databases, like ‘Focal Points’ (formerly: Analytical Work Files) of the Europol analysis system. Since 2015 they have become one of the central instruments of the European Counter Terrorism Centre (ECTC) which was established in January 2016. ‘Hydra’, the ‘Focal Point’ concerning Islamist terrorism was installed shortly after 9/11. In December 2003 9,888 individuals had been registered, a figure that seemed quite high at the time – but not compared with today’s figures. [1] In September 2016 ‘Hydra’ contained 686,000 data sets (2015: 620,000) of which 67,760 were about individuals (2015: 64,000) and 11,600 about organisations (2015: 11,000).

In April 2014 an additional ‘Focal Point’, named ‘Travellers’, was introduced, which is exclusively dealing with “foreign terrorist fighters” (FTF). One year later ‘Travellers’ included 3,600 individuals, including contact details and accompanying persons. In April 2016 the total number increased by a factor of six. Of the 21,700 individuals registered at the time, 5,353 were “verified” FTFs. In September 2016, of 33,911 registered individuals, 5,877 had been verified as FTFs.

Since 2010 Europol and the USA have operated the Terrorist Finance Tracking Programme (TFTP), which evaluates transfers made via the Belgian financial service provider SWIFT. Until mid-April 2016 more than 22,000 intelligence leads had been arisen out of that programme, of which 15,572 since the start of 2015. 5,416 (25%) were related to FTFs.

In contrast to Europol’s analytical system, the Europol Information System (EIS, the registration system of the police agency) can be fed and queried directly from the police headquarters and other authorities of EU Member States. Here, more than 384,804 ‘objects’ (106,493 individuals) were registered at the start of October 2016, 50% more than the year before. The increase is partly due to the growing number of parties participating in the EIS. In 2015 13 Member States were connected; in 2016 19 Member States. Some of the EU States, like the UK, also let their national secret services participate in the system. 16 Member States currently use automatic data uploaders for input. The number of third parties involved has also increased (in 2015 there were four, in 2016 there were eight). Interpol, the FBI and the US Department of Homeland Security are some of them.

Europol has reported further growth in the number of “objects” linked to terrorism in the EIS. According to the Slovak Presidency of the Council of the EU’s schedule for the improvement of information exchange and information management, in the third quarter of 2016 alone these grew another 20% to 13,645. [2] The EIS includes 7,166 data sets about individuals linked to terrorism, of which 6,506 are marked as FTFs or their supporters, or are assumed to be so. For May 2016 the CTC stated a figure of 4,129. [3] The increase in terrorism linked data can also be seen in the Schengen Information System (SIS) – in the alerts for “discreet checks or specific checks” following Article 36 of the SIS Decision. According to this, suspect persons are not supposed to be arrested. However, information about accompanying persons, vehicles etc. are recorded to provide insight into movements and to keep tabs on the contacts of the observed person. At the end of September 2016 the number of such checks by the police authorities (following Article 36(2)) was 78,015 (2015: 61,575, 2014: 44,669). The number of alerts of the national secret services based on Article 36(3) was 9,516 (2015: 7,945, 2014: 1,859). “Hits” on such alerts and additional information are supposed to be sent directly to the alerting authorities and not as usual to national SIRENE offices (which deal with the exchange of supplementary information regarding alerts in the SIS). This option was only introduced in February 2015.

The Schengen states used the instrument for discreet surveillance or specific checks very differently. On 1 December 2015 44.34% of all Article 36 alerts came from authorities in France, 14.6% from the UK, 12.01% from Spain, 10.09% from Italy and 4.63% from Germany. [4] How many of these alerts actually had a link to terrorism remains unclear; a common definition has not yet been found. However, the Council Working Party on Schengen Matters agreed on the introduction of a new reference (“activity linked to terrorism”) for security agencies’ alerts. According to Federal Ministry for the Interior, German alerts are marked with this reference when concrete evidence for the preparation of a serious act of violent subversion (§§129a, 129b Penal Code) can be presented. [5]

‘Unnoticed in the Schengen area’ Continue reading

Worth Reading: Justice against sponsors of terrorism (JASTA and its international impact)

European Parliament Research Service (EPRS)  Briefing published on October 2016

SUMMARY

On 27 September 2016, the United States Congress overrode the presidential veto to pass the Justice Against Sponsors of Terrorism Act (JASTA), the culmination of lengthy efforts to facilitate lawsuits by victims of terrorism against foreign states and officials supporting terrorism. Until JASTA, under the ‘terrorism exception’ in the US Foreign Sovereign Immunities Act, sovereign immunity could only be denied to foreign states officially designated by the USA as sponsors of terrorism at the time or as a result of the terrorist act. JASTA extends the scope of the terrorism exception to the jurisdictional immunity of foreign states so as to allow US courts to exercise jurisdiction over civil claims regarding injuries, death or damages that occur inside the USA as result of a tort, including an act of terrorism committed anywhere by a foreign state or official.

The bill has generated significant debate within and outside the USA. State or sovereign immunity is a recognised principle of customary international law and, for that reason, JASTA has been denounced as potentially violating international law and foreign states’ sovereignty; some countries have already announced reciprocal measures against the USA. The terrorism exception to state immunity was already a controversial concept, with only the USA and Canada having introduced legislation on the matter.

In this briefing:
What is JASTA?
The law on state immunity and the terrorism exception
Debate in the United States
Reactions in third countries
Considerations for the European Union
The European Union’s approach to victims’ rights
Main references

What is JASTA?

The Justice Against Sponsors of Terrorism Act (JASTA) represents an attempt by the US Congress to reduce the number of obstacles faced by victims of terrorism when bringing lawsuits in the USA against foreign states and officials supporting terrorism. The bill amends the federal judicial code (USC) to expand the scope of the terrorism exception (Title 28 USC, section 1605A) to the jurisdictional immunity of a foreign state. It will give US courts jurisdiction over civil claims regarding injuries, death, or damages that occur inside the United States as a result of a tort, including an act of terrorism, committed anywhere by a foreign state or official. It also amends the federal criminal code to permit civil claims (Title 18 USC, section 2333) sought by individuals against a foreign state or official for injuries, death or damages from an act of international terrorism (unless the foreign state is immune under the Foreign Sovereign Immunities Act, as amended by JASTA). Additionally, the bill authorises federal courts to exercise personal jurisdiction over, and impose liability on, a person who commits, or aids, abets, or conspires to commit, an act of international terrorism against a US national (thus expanding the liability of foreign government officials in civil actions for terrorist acts). However, the foreign state will not be subject to the jurisdiction of US courts if the tortious act in question constitutes ‘mere negligence’. JASTA contains a stay of actions clause that can apply if the USA is engaged in good faith discussions with the foreign state or any parties as to the resolution of the claims. A stay can be granted for 180 days, and is renewable. JASTA will apply to any civil action ‘arising out of an injury to a person, property, or business, on or after September 11, 2001’.

The JASTA bill was approved by the US Senate in May 2016 (S. 2040) and by the House of Representatives in September 2016, but was vetoed by President Obama. The bill passed after Congress overrode the presidential veto on 27 September 2016. There are however indications that some changes to the law are already being considered by lawmakers. Several countries, including some EU Member States have expressed concern about the bill. The existing US terrorism exception to state immunity is already considered to be contrary to customary international law and is an isolated practice among other states.

The law on state immunity and the terrorism exception Continue reading

Systèmes d’information européens sécurité-immigration : lorsqu’ “interopérabilité” ne rime effectivement pas avec “interconnexion”

ORIGINAL PUBLISHED ON “EU Immigration and Asylum Law and Policy” BLOG

by Pierre BERTHELET

“Il convient d’exploiter toutes les possibilités offertes par d’éventuelles synergies entre les systèmes d’information nationaux et européens, sur la base de l’interopérabilité”. Ces propos ne datent pas des conclusions du dernier Conseil JAI sur ce thème, celles du 9 juin 2017, mais bien d’une communication de la Commission remontant au mois de mai 2005. La problématique de l’interopérabilité des bases de données JAI est par conséquent tout sauf neuve. Elle revêt néanmoins une acuité particulière à la lumière des efforts axés sur le renforcement de l’efficacité et de l’efficience de la gestion des données dans l’UE. Comme le fait remarquer une étude juridique de mai 2017, le volume des données échangées entre les Etats membres et stockées au sein des systèmes européens d’information s’est accru considérablement depuis les attaques de Paris de 2015.

L’interopérabilité s’insère ainsi dans l’optique d’une rationalisation d’informations désormais abondantes au niveau de l’Union. Elle constitue un chantier majeur de la construction européenne en matière de gestion des systèmes d’information. Plus exactement, l’interopérabilité – et l’interconnexion par ailleurs – peuvent être envisagées sous la forme de poupées russes : l’interconnexion est un élément de la réponse des institutions européennes apportée en matière d’interopérabilité qui, elle-même, constitue un volet de la réforme actuelle ayant trait à la gestion des systèmes européens d’information. Elle est un concept générique qui s’inscrit dans le cadre de travaux interinstitutionnels visant à améliorer les mécanismes d’échange et de traitement de l’information, en toile de fond du développement considérable qu’ont connu ces systèmes cette dernière décennie. Son caractère ambigu tient au fait qu’elle renvoie autant au projet lui-même qu’à l’objectif porté par ce projet. Or, force est de constater que, depuis 2016, le degré d’avancement du chantier entrepris dans le domaine de l’interopérabilité est déjà élevé (1). Quant à l’interconnexion, il s’agit, à la lumière des récents textes l’évoquant, d’un processus loin de recueillir l’assentiment unanime (2).

1. L’interopérabilité des systèmes, un degré d’avancement du projet déjà élevé

Bien qu’évoquée depuis plusieurs années, l’interopérabilité des systèmes est un projet ayant connu un regain d’intérêt récent. Elle correspond à un processus interinstitutionnel  initié il y a quelques mois seulement (a). L’objectif est de rendre la gestion de l’information dans le domaine de la sécurité, des frontières et des flux migratoires davantage performante (b).

a. Un processus interinstitutionnel initié il y a quelques mois seulement

Avant d’entrer de plain-pied dans l’analyse, il importe de préciser les termes employés, à savoir l’interopérabilité d’une part et l’interconnexion d’autre part. Une communication de novembre 2005, consacrée au renforcement de l’efficacité et de l’interopérabilité des bases de données européennes fournit un éclairage à ce sujet. Dans ce texte destiné, déjà à l’époque, à lancer un débat en profondeur sur la forme et l’architecture à long terme des systèmes d’information, la Commission définit la connectivité comme un terme générique renvoyant à la connexion de systèmes aux fins de transfert de données. En France, le Conseil d’État considère, dans une décision du 19 juillet 2010, l’interconnexion «comme l’objet même d’un traitement qui permet d’accéder à, exploiter et de traiter automatiquement les données collectées pour un autre traitement et enregistrées dans le fichier qui en est issu ».

Tirant cette définition d’un document élaboré par l’European Interoperability Framework (qui est la concrétisation du plan d’action eEurope approuvé par le Conseil européen de Séville de 2002, et visant promouvoir les services publics en ligne), l’interopérabilité signifie, selon cette communication de novembre 2005, la « capacité qu’ont les systèmes d’information et les processus opérationnels dont ils constituent le support d’échanger des données et d’assurer le partage des informations et des connaissances ».

Ceci étant dit, les travaux actuels trouvent leur origine dans une communication de la Commission du 6 avril 2016 visant à lancer un débat sur l’existence de lacunes ainsi que de défaillances systémiques au sujet des bases de données JAI. Plus exactement, il s’agit d’œuvrer dans l’amélioration de l’architecture de gestion des données de l’UE concernant le contrôle aux frontières et de la sécurité intérieure. Le périmètre est ainsi réduit à un pan de l’ELSJ, et ce, même si la dimension judiciaire est évoquée ponctuellement à travers le projet d’interconnexion des casiers judiciaires européen. En outre, il est étendu partiellement aux systèmes d’information nationaux, l’objectif étant d’assurer une fluidité de l’information à la fois au niveau horizontal (les systèmes européens) et au niveau vertical (entre les systèmes européens et les systèmes nationaux).

Pour mener à bien cette réflexion, la Commission a réuni le mois suivant sa communication d’avril 2016, un « groupe d’experts de haut niveau sur les systèmes d’information et l’interopérabilité ». Ce groupe d’experts, qui a mené ses travaux conformément aux prescriptions d’une feuille de route sur l’échange d’information et l’interopérabilité, approuvée par le Conseil JAI du 10 juin 2016, a rassemblé des représentants des Etats membres (y compris les pays Schengen non membres de l’UE), ceux des agences européennes (Frontex, eu-LISA, Europol, EASO et FRA), le Coordinateur pour la lutte antiterroriste et le CEPD (et ont été associés aux travaux, le secrétariat général du Conseil et celui de la commission LIBE du Parlement européen au titre d’observateur). L’objectif de ce projet relatif à l’interopérabilité, précise le Conseil, vise à appuyer les investigations opérationnelles, notamment dans le domaine de la lutte antiterroriste, et d’apporter rapidement aux autorités nationales de terrain (garde-frontières, policiers, agents de l’immigration et procureurs notamment) toutes les informations nécessaires en temps et en heure pour mener à bien leurs missions.

Les travaux du groupe ont trouvé un soutien politique fort émanant à la fois du président de la Commission, Jean-Claude Juncker, ainsi que du Conseil européen. Le premier, dans son discours sur l’état de l’Union en septembre 2016, peu avant la tenue du Conseil européen informel de Bratislava, a souligné l’imminence de la présentation par la Commission, du système européen d’information et d’autorisation concernant les voyages (ETIAS). Le second, dans des conclusions de décembre 2016, a appelé « à poursuivre les efforts en matière d’interopérabilité des systèmes d’information et des bases de données » (point 9). Ce groupe à haut niveau a rendu son rapport final le 11 mai 2017, dont le contenu a nourri l’analyse de la Commission dans l’élaboration de son septième rapport publié une semaine plus tard, sur les progrès accomplis dans la mise en place d’une union de la sécurité réelle et effective. Enfin, le Conseil, jugeant l’interopérabilité comme essentielle à la sécurité, a approuvé, le 9 juin 2017, les conclusions précitées dans lesquelles il approuve les solutions dégagées par le groupe d’experts et ce, en vue d’une gestion de l’information davantage performante.

b. Une gestion de l’information se voulant davantage performante

L’importance de l’interopérabilité des systèmes d’information est clairement rappelée par la Commission dans ce septième rapport. En réalité, ce constat est dressé quelques mois plus tôt, dans sa communication d’avril 2016, qui elle-même, fait suite à différentes conclusions du Conseil. Ainsi, concernant le seul SIS II, dans celles d’octobre 2014, le Conseil a envisagé une connexion entre ce système et la base de données « faux documents » d’Interpol (SLTD), de manière à ce que les utilisateurs finaux aient accès simultanément aux deux systèmes lors d’une même recherche. Dans celles approuvées peu avant, en juin 2014, il a invité les États membres utiliser pleinement le SIS II dans le cadre de la lutte contre le terrorisme, invitation répétée au demeurant dans la déclaration commune de Riga, adoptée après les attaques contre le journal Charlie Hebdo. Quant aux conclusions du 20 novembre 2015, approuvées après les attaques du Bataclan et la fuite consécutive de Salah Abdeslam avec l’aide de deux complices venus de Belgique, le Conseil a souligné l’importance d’une consultation systématique du SIS II lors des contrôles frontaliers.

À cette fin, la Commission, en se référant à certains de ces textes ainsi qu’à la déclaration commune sur les attentats terroristes du 22 mars 2016 à Bruxelles préconisant de renforcer l’interopérabilité, a présenté dans sa communication d’avril 2016, dans laquelle elle identifie un ensemble d’incohérences et de dysfonctionnements, parmi lesquelles, des fonctionnalités non optimales des systèmes européens d’information et un problème de la qualité des données auquel s’ajoute des lacunes dans l’architecture de l’UE en matière de gestion des données liée notamment à l’absence pure et simple d’une série de systèmes d’information. Quant à ceux existants, leur fonctionnement doit être amélioré. C’est le cas du SIS II, dont Europol n’a pas encore fait pleinement usage, alors même que l’agence dispose d’un droit d’accès à celui-ci. En outre, certains systèmes existent partiellement, mais ils ne sont pas encore pleinement opérationnels. C’est le cas des systèmes nationaux mis en place dans le cadre des décisions dites « de Prüm » et pour lesquelles plusieurs États membres ne remplissent toujours pas leurs engagements. Le paysage européen des systèmes d’information se caractérise donc par une multiplicité de dispositifs, des niveaux d’achèvement différents et des modes de fonctionnement distincts. Il en résulte une mosaïque complexe, car ces systèmes sont soumis à des régimes juridiques variables, rendant l’ensemble difficilement intelligible.

Cette superposition de systèmes conduit à une architecture européenne fragmentée au sujet de la gestion des données. Chacun système fonctionne en silo, faisant que les informations contenues sont peu interconnectées. Ce compartimentage des données a des conséquences problématiques concrètes. Ainsi, l’auteur de l’attaque terroriste de Berlin de décembre 2016, Anis Amri, a eu recours à pas moins de quatorze identités différentes. Ces fausses identités ont permis à ce ressortissant tunisien de se déplacer aisément en Allemagne, puis de prendre la fuite hors du pays avant d’être abattu à Milan. Or, comme le fait observer le quatrième rapport de la Commission sur la sécurité, ses déplacements auraient pu être détectés si les systèmes employés étaient dotés d’une fonctionnalité permettant une recherche simultanée dans plusieurs d’entre eux, au moyen d’identificateurs biométriques.

L’interopérabilité apparaît dès lors comme une réponse aux défis sécuritaires, en particulier terroristes, pour lesquels le recours aux systèmes d’information est un élément indispensable de la réponse à fournir.

La réforme de la gestion de l’information est effectuée au moyen d’une approche horizontale, via les travaux du groupe d’experts de haut niveau. Elle s’effectue aussi de manière sectorielle, à travers l’adoption de textes instituant des systèmes d’information (ou modifiant ceux existants).

En premier lieu, des systèmes sont en projet ou en cours de réalisation. Peuvent être mentionnés la proposition présentée en janvier 2016, étendant aux ressortissants de pays tiers le Système européen d’information sur les casiers judiciaires (ECRIS-TCN), la proposition révisée établissant le système d’entrée/sortie (EES) et présentée en avril 2016 (en parallèle à une modification du règlement de mars 2016 relatif au Code Frontières Schengen), la proposition de règlement instituant l’ETIAS présentée quant à elle en novembre 2016, ou le système d’index européen des registres de la police (EPRIS) dont l’ébauche correspondrait au projet auquel la France prend part et dénommé ADEP (Automated Data Exchange Process).

En deuxième lieu, d’autre systèmes existent, mais ils doivent être réformés. Il s’agit en particulier d’Eurodac (une proposition de règlement, présentée en mai 2016, permettant notamment de stocker l’image faciale, est en cours de discussion entre le Conseil et le Parlement européen), et du SIS II (un paquet législatif, présenté en décembre 2016, composé de quatre propositions de règlement est également en cours de discussion, prévoyant l’obligation pour les États membres d’émettre des alertes concernant des personnes liées à des infractions terroristes).

Or, le processus de refonte opéré des différents systèmes (et la création de ceux n’existant pas encore) est pensé dans la perspective de l’interopérabilité et même de l’interconnexion. Par exemple, concernant le SIS II, une disposition de la proposition de règlement créant l’ETIAS, prévoit que l’unité centrale ETIAS puisse opérer des recherches dans le SIS II. De prime abord, l’interconnexion des systèmes est, au vu de cet exemple, effective, ou du moins, en voie de l’être. Or, ce n’est pas cas en réalité et il s’agit plutôt de l’exception qui confirme la règle.

2. L’interconnexion des systèmes, un projet suscitant peu l’enthousiasme institutionnel

L’interconnexion est une option visant à atteindre le stade de l’interopérabilité des systèmes d’information. Cependant, il s’agit d’une option parmi d’autres (a), et qui ne reçoit qu’un accueil institutionnel pour le moins prudent (b).

a. L’interconnexion, une option parmi d’autres

L’interconnexion, au sens défini ci-dessus, apparaît seulement comme une option parmi celles avancées par la Commission dans sa communication d’avril 2016. Plus exactement, le texte en présente quatre aux fins de parvenir à une situation d’interopérabilité : l’interface de recherche unique, le service partagé de mise en correspondance de données biométriques, le répertoire commun de données d’identité et enfin l’interconnexion des systèmes d’information proprement dite.

Dans le premier cas, l’interface de recherche unique, il s’agit de permettre à une autorité nationale d’interroger plusieurs systèmes d’information de manière simultanée. Ce système, qui existe en France avec l’application COVADIS (Contrôle et vérification automatiques des documents sécurisés), permet au service interrogeant d’obtenir sur un seul écran les résultats des requêtes, ceci dans le respect des droits d’accès propre à ce service. Cette hypothèse de l’interface unique a, au demeurant, reçu l’assentiment des ministres français et allemand dans le cadre de leur « initiative sur la sécurité intérieure en Europe » du 23 août 2016.

Le service partagé de mise en correspondance de données biométriques vise, quant à lui, à proposer au service utilisateur, une interrogation des systèmes à partir des identifiants biométriques. Pour l’heure, chaque système européen dispose de son propre dispositif d’identification. L’objectif est, au moyen de ce service partagé, d’effectuer des recherches dans les différents systèmes d’information et de mettre en évidence les coïncidences, par exemple sous forme de hit/no hit, entre ces données.

Le troisième cas a trait à l’établissement d’un répertoire commun de données d’identité en tant que module central dans lequel figure un portefeuille de données (nom, prénom, date et lieu de naissance par exemple). Ces données constituent un socle commun à tous les systèmes, les autres données étant, quant à elles, stockées au sein de modules spécifiques à chacun d’eux. Comme le précise le rapport du Sénat du 29 mars 2017 consacré à l’espace Schengen, la proposition de règlement créant l’ETIAS envisage ce dispositif, du moins entre ce système et l’EES.

Enfin, la dernière option a trait précisément à l’interconnexion des systèmes d’information. L’avantage est de permettre la consultation automatique des données figurant dans un système, par l’intermédiaire d’un autre système. L’interconnexion, ajoute ce rapport du Sénat, présente l’intérêt d’assurer un contrôle croisé automatique des données, limitant ainsi le volume d’informations circulant au sein des réseaux. À cet égard, la proposition de règlement relatif à l’EES envisage une interconnexion avec le VIS. Cette option est évoquée, mais elle va être, dans une large mesure du moins, délaissée.

b. L’interconnexion, une option en grande partie délaissée

Sans pour autant être totalement écartée (en particulier dans la proposition de règlement relatif à l’EES), l’interconnexion ne rencontre pas un franc succès et c’est le moins que l’on puisse dire. D’abord, elle n’a pas l’assentiment du groupe d’experts de haut niveau. Dans leur rapport intermédiaire, remis en décembre 2016, celui-ci avait considéré l’interconnectivité des systèmes comme une solution ponctuelle. Le rapport final consacre ce point de vue en rejetant l’idée d’une généralisation de l’interconnexion et il privilégie trois solutions qui font écho aux autres options avancées par la Commission, à savoir un portail de recherche européen, un service partagé de mise en correspondance de données biométriques et un répertoire commun de données d’identité. Plus exactement, l’interface de recherche unique est préférée à l’interconnexion, ce qui va dans le sens de la position du Conseil qui, dans sa feuille de route sur l’échange d’informations, s’était déclaré pour cette solution de l’interface unique. Reste que si cette dernière avait les faveurs du Conseil et ce, au regard des autres options, les experts ont, pour leur part, conservé l’idée d’un répertoire commun de données et la mise en correspondance de données biométriques comme des pistes exploitables à court terme, et non à moyen et long termes comme le suggérait la feuille de route.

Ensuite, l’interconnexion ne trouve pas non plus un écho favorable auprès de la Commission. Celle-ci fait sienne, à cet égard, les recommandations figurant dans le rapport du groupe d’expert, en se bornant à préciser que des réunions tripartites Conseil-Parlement-Commission au niveau technique devraient avoir lieu en automne 2017, en vue de dégager une vision commune avant la fin de l’année 2017, ceci afin de parvenir à cet objectif d’interopérabilité des systèmes à l’horizon de l’année 2020. La Commission reprend donc à son compte les options retenues par le groupe à haut niveau, en se bornant à fixer cette date-butoir, étant entendu par ailleurs que celle-ci correspond à l’échéance à laquelle l’EES devrait être opérationnel. À cette fin, une proposition législative sur l’interopérabilité devrait être présentée, en parallèle à une proposition de révision du VIS, à une proposition sur l’ECRIS, ainsi qu’à une autre visant à renforcer le mandat de l’agence européenne eu­LISA.

Au final, concernant les systèmes d’information européens sécurité-immigration, l’interopérabilité ne rime pas avec l’interconnexion. Cette lapalissade reflète parfaitement la volonté des institutions européennes préférant à la centralisation, la synergie ainsi que l’avaient souligné en leur temps, la déclaration de mars 2004 sur la lutte contre le terrorisme, le programme de La Haye et la déclaration du Conseil de juillet 2005 suite aux attentats de Londres. La voie choisie par ces institutions est bien résumée par le Commissaire à la sécurité, Sir Julian King, qui avait déclaré le 29 mai 2017 dans une allocution devant les députés de la commission LIBE, « ce que l’on ne propose pas, c’est une base de données gigantesque où tout serait interconnecté ».

Legislative Tracker : an interinstitutional agreement on the new EU “Entry-Exit” system is approaching …

by Beatrice FRAGASSO (Free-Group trainee)

On 6 April 2016 the European Commission put forward the Smart Borders Package, a set of measures intended to provide a more effective and modern external border management. One of the proposals consists in the introduction of the Entry/Exit System (EES), a centralized information system based on biometrics that would be interconnected with VIS and focus on third-country nationals.

The creation of the european Entry-Exit system will require the adoption of  two draft Regulations, one (COM/2016/0194) setting up the EES and amending Regulation (EC) No 767/2008 and Regulation (EU) No 1077/2011, the other (COM/2016/0196) amending Regulation (EU) 2016/399 (Schengen Borders Code) to embody this new system. The proposals has been accompanied by an Impact assessment.

The introduction of the EES aims at speeding up and reinforcing border check procedures for non-EU nationals travelling to the EU, by improving the quality and efficiency of controls as well as the detection of document and identity fraud.  The new texts replace the proposals presented by the European Commission in February 2013 and for which the co-legislators had voiced technical, financial and operational concerns.

The European Parliament defined its negotiating mandate on the latest Commission Proposals  on 27 February 2017: the LIBE Committee adopted his reports (on establishing EES and amending 2016/399) and decided to enter into negotiations with the Council on the basis of these mandates.

The rapporteur Agustín Dían De Mera García Consuegra stated before the LIBE Committee (11 May 2017) that progresses have been made during the “trilogue” negotiations and that the good cooperation between delegations will probably allow to come to a political agreement by the end of the summer. Two “political” trilogues as well as nine technical meetings have already taken place and a third political “trilogue” is scheduled for 31 May 2017. Needless to say no public recording is accessible on the debates which took place during these trilateral meetings

Further information on other aspects of the procedure is accessible on the European Parliament Research Service site HERE.

The scope of the Entry-Exit System (EES)

The EES will apply to non-EU nationals crossing the external borders of the Member States of the EU for a short stay (maximum 90 days period in any period of 180 days), both those that require a visa and those that are exempted.

How it will work

The introduction of the EES aims to:

  1. address border check delays and improve the quality of border checks for third-country nationals;
  2. ensure systematic and reliable identification of “overstayers”;
  3. reinforce internal security and the fight against terrorism and serious crime.

The system is intended to register the name, type of travel document, biometrics (four fingerprints and a visual image) and the date and place of entry and exit.

These actions will facilitate the border crossing of bona fide travelers, detect over-stayers and identify undocumented persons in the Schengen area. The system will also record refusals of entry.

Currently, the only possibility for national authorities to calculate the duration of stay of a third-country national in the Schengen area (and to verify their potential overstay), is the stamping of their travel document with the dates of entry and exit. This method is deemed to be slow and error-prone, since the entry/exit stamps may be unreadable or counterfeit. Under the new proposal, the current system of manual stamping of passports would be replaced by registration in a database and most of the data will be automated.

By using self-service systems and e-gates, third country national travelers would have their data verified, their picture or fingerprint taken and a set of questions asked. While using the self-service system, all mandatory checks would be triggered in the security databases (SIS, Interpol Stolen and Lost Travel Documents database). By the time the traveler is guided towards a border control lane, all his information would have reached the border guard, who may ask additional questions before granting the passenger access to the Schengen area.

The automation of the preparatory steps is expected to reduce the workload of border guards. This would mean that that Member States would not have to hire extra border guards to accommodate the growing traveler flows. It is also expected to reduce the long queues before passengers reach the border checkpoint.

Interoperability

The system would be interconnected with the Visa Information System (VIS) database, which would help reduce duplication of data processing, in accordance with the ‘privacy by design’ principle.

The European Parliament position (Libe Committee Debate)

The parliamentary debate showed that in the Commission proposal there are some controversial elements that the LIBE committee tried to address in the draft report approved on 27 February 2017.

The rapporteur Agustín Dían De Mera García Consuegra (EPP, Spain) presented the draft report before the LIBE Committee on 8 December 2016. According to him, establishing an EES will benefit travellers (they will spend less time waiting at borders), as well as border Member States and transit Member States, because of the speeding of the entire process. Border guards would carry on their tasks more easily. The aim of the draft report is to strike a balance between speeding up the process and guaranteeing security, protecting at the same time fundamental rights. In particular, one of the main concerns of the rapporteur is to ensure high standards for data protection: many of the amendments have been tabled in order to protect data in the system with reference to interoperability, data retention period and access to data by law enforcement authorities. According to the Rapporteur his amendments follow the indications given by the European Data Protection Supervisor (EDPS- Giovanni Buttarelli), in order to boost legal certainty in data protection area and to the role of EDPS and National Data Protection Authorities.[i] Another objective highlighted by the rapporteur is to guarantee more technical certainty, in order to know exactly who can access to the system as well as the circumstances of the access (logs). The procedure to follow in case of temporary failure, then, still has to be clarified. The rapporteur then pointed out the necessity to establish high standards for the procedure used to take facial images and fingerprints. Finally, it has been remarked the key-role played by Eu Lisa (here the Agency’s report on the Smart Borders Pilot Project), that will be responsible to manage the system.

The S&D “shadow rapporteur” Tanja Fajon (Slovenia) stated that she’s not convinced by the argument put forward by the Commission to justify the link between crime and border management. The purpose of the proposal is the border management, not the law enforcement and the proposal should clarify the way in which data will be processed in these two different situations. The difference between people who’s travelling legally and people who’s violating rules should be remarked, in order to guarantee fundamental rights. She criticized the retention period as disproportionate.

Mrs Fajon, then, pointed out that it’s necessary to better inform travellers about how the smart border system will change the current situation and which impact the regulation will have on their rights to enter and exit. People need to be aware about their rights and duties and about the consequences of possible infringments.  Finally, she stated that some measures risk to be unpractical in some Member States (as for example Slovenia) whose borders with non-Schegen countries are always busy, especially during summer.

The ECR “shadow rapporteur” Jussi Halla-Aho (Finland) stated that ECR supports an Entry/Exit System and that probably it was needed even before the abolition of internal controls. His group finds that law enforcement authorities should have a sufficient access to the database for a sufficient period of time. The amendments tabled by the rapporteur are well considered and balanced and ECR appreciate that the rapporteur has tried to make the instrument coherent with the existing tools, for example Eurodac: Regulations have to be harmonised and they have to work one with the others.

According to the ALDE shadow rapporteur Angelika Mlinar (Austria) the amendments improve the Commission proposal. But there are still some problematic issues to address, concerning the protection of fundamental rights and in particular the disproportionate and unjustified retention period that is equally applied to all the scope of the regulation. In addiction, the former 2013 proposal had one single purpose (speeding up border management procedures), while the current proposal has also an unjustified law enforcement purpose. Her political group presented amendments in order to:

– Limit and optimise the collection of biometrical data.
– Limit the law enforcement access to what is strictly necessary, ensuring safeguards.
– Reduce the data retention period.

Also the Greens’ shadow rapporteur Jan Philipp Albrecht (Germany) highlighted that the most controversial points are the long data retention period and the possibility for law enforcement authorities to access these data for other purposes. The risk is that the EES will create a huge (and very expensive) database with a long retention period that won’t be effective for the purpose of smart border management. Finally, the shadow rapporteur pointed out that data protection in EES should meet the same high standards in the data protection package recently adopted (and which should be transposed at national level for May 2018).

Where we are…

The LIBE Committee adopted the report establishing EES and the report amending 2016/399 on 27 February 2017 and the modifications proposed by the committee echo the parliamentary debate. Data should be stored for only two years, and not the five years proposed by Commission. MEPs also want to ensure that the text is in line with the provisions of the General Data Protection Regulation, for example by allowing the data subject the right to access his or her own data.

MEPs found that the purposes of data processing in the new system should also be clarified. Migration handling should be the first purpose and law enforcement an additional one. The two should be treated separately, as the conditions for the use and storage of the data are not the same.

The Council Position

According to a preparatory document of the Council (leaked by Statewatch, file 6572/17), it emerges that the most controversial issues concern the territorial scope of the EES (an issue linked to the question of the access to VIS for those Member States which do not yet fully apply the Schengen acquis but for which the verification in accordance with the applicable Schengen evaluation procedures has already been successfully completed) and the calculation of the duration of the short-stay.

A Guidance on these sensitive issues was then obtained at COREPER level on 1 February 2017. Concerning the territorial scope of application, COREPER gave clear guidance on the need to include into it all Member States that, while not applying the Schengen Acquis in full, meet nonetheless the cumulative conditions listed in Art. 60 of the draft EES Regulation (i.e.: have successfully completed the verification in accordance with applicable Schengen evaluation procedures, (ii) have put into effect the provisions of the Schengen acquis relating to SIS and (iii) to the VIS).

If these conditions are met, the Member State concerned can deploy the EES, with the consequences that such deployment implies, including with reference to the calculation of the duration of stay in its territory.  As a consequence, the automated calculator set out in Art. 10 of the EES draft Regulation will be a common one, covering the stays in any Member State operating the EES. According to the internal Council document, some delegations still oppose this solution on legal and practical grounds, notably because of its implications for other legal instruments and for the current practice in particular in the area of visa policy. However, the Presidency considers that the policy guidance given by Coreper, supported by a clear majority, should be followed.

MS Bilateral agreements with third Countries 

Another outstanding issue is whether the bilateral visa waiver agreements will be compatible with the EES (Art 54). At the trilogue meeting that took place on 29 September 2016 (file 12571/16), the Chair presented a drafting proposal by the Presidency that would set up a procedure which allows to keep those agreements into force while making the EES work. The Commission rejected the proposal because the proposal would comprehend only a few agreements, excluding those which provide for a stay less than 90 days, creating more problems than it was deemed to solve.

Secondly, the proposal would have been cumbersome both for Member States and third country nationals concerned and had the practical consequence of extending the effects of bilateral agreements to Member States that were not party to them. On the contrary, Member States showed a general support to the Presidency solution.

Access by national Law enforcement authorities

EES would be used by the same authorities that already use VIS: consular posts and border control. Moreover, it would allow law enforcement authorities as well as Europol to perform restricted queries in the database for criminal identification and intelligence to prevent serious crime and terrorism.

The conditions to grant access to the EES to law enforcement authorities (Chapter IV of the proposal) are one of the most controversial point of the proposal. According to the preparatory document of the Council (file 6572/17), some delegations have expressed the wish to further simplify it [the access to the EES by law enforcement authorities] in order to facilitate investigations in cases of serious crimes and terrorist offences. However, recent deliberations have shown a good degree of support for the Presidency compromise proposal, in which, upon request of a majority of delegations, the conditions for access have been softened to the maximum extent compatible to the current legal framework and case-law.

The European Parliament expressed major concerns with reference to Chapter IV and the Council in a document dated 22 may 2017 (file 9415/17) proposed a compromise.

In particular, the Council position would be maintained on:

(a) the reference to ‘designated authorities’ rather than ‘law enforcement authorities’;
(b) the possibility to access the EES even when the search in national databases results in a hit;
(c) the possibility to proceed to access the EES once the Prum search is launched; and
(d) the possibility to also check against refusal of entry records.

On the other hand, some amendments proposed by the European Parliament would be broadly accepted (some with amendments). These suggestions are in particular:

(a) limiting the urgency procedure to cases where there is an ‘imminent danger’ related to a terrorist offence or other serious criminal offence and requiring the ex post verification to take place within two working days.
(b) providing that there must be reasonable grounds to consider that consulting the EES will (rather than may) contribute to the detection, investigation or prevention of a terrorist/other serious criminal offence. Actually, it should be noted that ‘reasonable grounds’ would still be enough and certainty is not required. Moreover, a substantiated suspicion that the person falls within the scope of the EES would still be sufficient to fulfil this requirement.

Transfer of data to third countries and international organisations (Article 38) and to Member States not bound by, or not operating the EES (Article 38a)

The European Parliament opposes the possibility to transfer information to third countries and international organisations for the purpose of returns, unless there is a decision by the Commission regarding the adequate protection of personal data in that third country or a binding readmission agreement.

In particular, the European Parliament opposes the possibility to transfer such information on the basis of an arrangement similar to readmission agreements, arguing that these are not binding and do not contain the necessary data protection safeguards. The European Parliament also insists on the provision of guarantees by the third country concerned to use the data only for the purposes for which it is transferred, and that such transfers should only be possible once the return decision is final, and subject to the consent of the Member State that entered the data.

The EP also maintains its position against the transfer of information to third countries or to Member States not operating, or bound by, the EES, in cases of immediate threat of terrorist or other serious criminal offences (Article 38(4a) and Article 38a).

Reassurances have been provided that the relevant data protection legislation must still be respected (General Data Protection Regulation in case of returns/readmission and Data Protection Directive in case of terrorism/serious criminal offences), but this has not convinced the European Parliament.

Another concern raised by the European Parliament regards the fact that the conditions required to access the EES by national authorities (set out in Chapter IV) are not all reproduced for the transfer of such data to third countries, international organisations and Member States not operating the EES or to which the EES does not apply.

Data Retention (Article 31)

The European Parliament in its position reduces the data retention period from five years to:
– four years for third-country nationals who overstay;
– two years for third country nationals who respect the period of authorised stay.

According to a document dated 22 May 2017 (file 9415/17), the Council is still managing to find a compromise.

NOTE

[i] In its opinion 06/2016 of 21 September 2016, the European Data Protection Supervisor (EDPS) recognizes the need for coherent and effective information systems for borders and security. However, the EDPS underlines the significant and potentially intrusive nature of the proposed processing of personal data under the EES, which must therefore be considered under both Articles 7 and 8 of the EU Charter of Fundamental Rights.

According to EDPS opinion, necessity and proportionality of the EES scheme are to be assessed globally, taking into consideration the already existing large-scale IT systems in the EU.

The EDPS, then, notes that EES data will be processed for two different purposes, on the one hand for border management and facilitation purposes and on the other hand for law enforcement purposes. The EDPS strongly recommends clearly introducing the difference between these objectives, as these purposes entail a different impact on the rights to privacy and data protection.

 

Worth reading : the final report by the EU High Level Expert Group on Information Systems and Interoperability (HLEG),

NB: The full version (PDF)  of the Report is accessible HERE

On May 8th the (EU) High Level Expert Group on Information Systems and Interoperability (HLEG) which was set up in June 2016 following the Commission Communication on “Stronger and Smarter Information Systems for Borders and Security ” has published its long awaited 56 long pages Report on Information Systems and Interoperability.

Members of the HLEG were the EU Members States (+ Norway, Switzerland and Liechtenstein), the EU Agencies (Fundamental Rights Agency, FRONTEX, European Asylum Support Office, Europol and the EU-LISA “Large Information Support Agency”) as well as the representatives of the Commission and the European Data Protection Supervisor (EDPS) and the Anti-Terrorism Coordinator (an High Council General Secretariat Official designated by the European Council).

Three Statements, respectively of the EU Fundamental Rights Agency, of the European Data Protection Supervisor and of the EU Counter-Terrorism Coordinator (CTC),  are attached. The first two can be considered as a sort of partially dissenting Opinions while the CTC  statement is quite obviously in full support of the recommendations set out by the report as it embodies for the first time at EU level the “Availability Principle” which was set up already in 2004 by the European Council. According to that principle if a Member State (or the EU) has a security related information which can be useful to another Member State it has to make it available to the authority of another Member State. It looks as a common sense principle which goes hand in hand with the principle of sincere cooperation between EU Member States and between them and the EU Institutions.

The little detail is that when information is collected for security purposes national and European legislation set very strict criteria to avoid the possible abuses by public EU and National Law enforcement authorities. This is the core of Data Protection legislation and of the art. 6, 7 and 8 of the EU Charter of Fundamental Rights which prevent the EU and its Member States from becoming a sort of Big Brother “State of surveillance”. Moreover, at least until now these principles have guided the post-Lisbon European Court of Justice jurisprudence in this domain and it is quite appalling that no reference is made in this report to the Luxembourg Court Rulings notably dealing with “profiling” and “data retention”(“Digital Rights”, “Schrems”, “TELE 2-Watson”…).

Needless to say to implement all the HLWG recommendations several legislative measures will be needed as well as the definition of a legally EU Security Strategy which should be adopted under the responsibility of the EU co-legislators. Without a strong legally founded EU security strategy not only the European Parliament will continue to be out of the game but also the control of the Court of Justice on the necessity and  proportionality of the existing and planned EU legislative measures will be weakened.  Overall this HLWG report is mainly focused on security related objectives and the references to fundamental rights and data protection are given more as “excusatio non petita” than as a clearly explained reasoning (see the Fundamental Rights Agency Statement). On the Content of the  perceived “threats” to be countered with this new approach it has to be seen if some of them (such as the mixing irregular migration with terrorism)  are not imaginary and, by the countrary, real ones are not taken in account.

At least this report is now public. It will be naive to consider it as purely “technical” : it is highly political and will justify several EU legislative measures. It will be worthless for the European Parliament to wake up when the formal legislative proposals will be submitted. If it has an alternative vision it has to show it NOW and not waiting when the Report will be quite likely “endorsed” by the Council and the European Council.

Emilio De Capitani

TEXT OF THE REPORT (NB  Figures have not been currently imported, sorry.)

——- Continue reading