La séance est ouverte à seize heures trente.
Nous examinons, sur le rapport de M. Pierre Lellouche, le projet de loi autorisant l'approbation de l'accord relatif au site technique de l'Agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (n° 3575).
Raphaël
Cet accord concerne des outils essentiels pour la gestion des frontières européennes. Derrière l'aspect technique, il y a un enjeu auquel nous devrions porter plus d'attention que nous ne le faisons en général.
Ce texte, d'apparence technique, est extrêmement important pour la protection des frontières extérieures de l'Union. Je constate pourtant qu'il y a davantage de migrants aux portes de l'Europe que de députés intéressés par cette question.
L'accord a été conclu le 5 décembre 2013. Il devait faire l'objet d'une procédure d'examen simplifiée, mais j'ai souhaité que nous saisissions cette occasion pour faire un point sur les systèmes d'information. Nous rejoignons ainsi d'autres travaux menés dans le cadre du groupe de travail de la commission sur les migrations et dans celui de la commission d'enquête sur le terrorisme. M. Patrick Calvar, le directeur général de la sécurité intérieure, que nous recevions hier dans le cadre de cette commission d'enquête, a d'ailleurs évoqué ces sujets. Ils ne sont pas techniques, mais extrêmement importants dans la lutte contre le terrorisme.
Cet accord est relatif à l'Agence Eu-LISA, qui est chargée de trois systèmes d'information essentiels : le système d'information Schengen de deuxième génération, dit SIS II, le système d'information sur les visas, le VIS, et le système Eurodac, qui rassemble les empreintes digitales des demandeurs d'asile et de certaines catégories d'étrangers en situation irrégulière.
Outre ces systèmes d'information, le règlement qui a créé l'Agence Eu-LISA, en 2011, permet de lui confier le développement etou la gestion opérationnelle de nouveaux dispositifs. Ce sera notamment le cas du PNR européen, tant attendu, qui vient enfin d'être adopté par le Parlement européen et qu'il faudra mettre en oeuvre sans tarder. Il pourrait également s'agir du système d'entréesortie EES, qui devrait remplacer une pratique d'une autre époque, à savoir l'apposition manuelle de cachets sur les documents de voyage. Compte tenu du nombre de faux, il faut passer à la biométrie. A cela pourrait s'ajouter un programme important aux Etats-Unis, le TFTP, relatif à la surveillance du financement du terrorisme, qui est inexistant en Europe.
L'accord en lui-même appelle peu de commentaires. Il s'agit d'un accord de siège assez classique, comportant cinq types de clauses relatives au site où l'Agence est implantée, à Strasbourg, aux privilèges et aux immunités, à la sécurité du site, aux prestations et facilités accordées par la France, et enfin au règlement des différends, aux possibilités de modification de l'accord et à ses conditions d'entrée en vigueur.
S'agissant du site où l'Agence est implantée, je signalerai trois éléments. La propriété du site a été transférée par l'Etat à l'Agence pour le montant symbolique d'un euro, le 9 mai 2013. Le site comporte un terrain de 50 ares qui est destiné à accueillir une extension des locaux de l'Agence. Enfin, l'Agence jouit du droit exclusif d'utilisation du site, sous réserve de clauses relatives à un pylône de communication.
L'étendue des privilèges et immunités peut naturellement prêter à discussion, surtout lorsqu'il s'agit d'une Agence européenne et de son personnel. Les négociations ont d'ailleurs été assez longues. Elles se sont étendues du 31 janvier 2012 au mois de septembre de l'année suivante. La France ne souhaitait pas aller au-delà des dispositions prévues par le protocole sur les privilèges et immunités de l'Union européenne, alors que l'Agence voulait les décliner de manière plus complète au bénéfice de son personnel. Les privilèges et immunités consentis par la France sont assez classiques : inviolabilité des locaux, protection des communications, régime fiscal favorable, immunité de juridiction pour le personnel.
L'Agence est responsable de la sécurité et du maintien de l'ordre à l'intérieur du site. C'est un sujet important car il s'agit de données extrêmement sensibles. L'Agence peut notamment recruter des gardes portant des armes à feu. La France, quant à elle, se contente d'assurer la sécurité et le maintien de l'ordre aux abords immédiats. Il me semble que l'on pourrait s'interroger sur le bien-fondé de cette clause. Les forces de l'ordre ne peuvent pénétrer dans le site qu'à la demande ou avec l'autorisation de l'Agence, sauf situation d'urgence.
Les prestations et facilités accordées par la France concernent en particulier l'accès de l'Agence aux services publics, la scolarisation des enfants du personnel et les liaisons de transport.
Ces différentes clauses ne me paraissent pas poser de difficultés particulières, hormis en matière de sécurité. Mes réserves se situent sur deux autres plans. D'abord, je trouve d'abord assez ubuesque que l'Agence soit dispersée sur trois sites, dans trois pays différents. Ensuite, je tiens à souligner l'existence de nombreuses failles dans les systèmes d'information. Elles sont manifestes après les attentats que nous avons subis.
Tout d'abord, l'implantation de l'Agence dans trois Etats européens différents me paraît relativement étrange. Le site technique principal est situé à Strasbourg, le siège en Estonie, à Tallinn, et le site de secours en Autriche, alors que cette Agence était censée permettre des économies. En réalité, seule l'implantation à Strasbourg s'imposait logiquement. Les systèmes centraux du SIS II et du VIS y étaient déjà abrités, dans les locaux désormais transférés à l'Agence. Mais l'Estonie s'est portée candidate en même temps que la France pour accueillir Eu-LISA et il a fallu trouver un accord politique. Le siège a donc été séparé du site technique principal.
Ma deuxième réserve concerne le fonctionnement et l'architecture des bases de données, ce qui est bien plus important. La mise en place d'un ensemble complet et cohérent de systèmes d'information est un corollaire indispensable de la liberté de circulation dans l'espace Schengen. La suppression des contrôles aux frontières intérieures impose en effet que les services répressifs puissent accéder rapidement et efficacement à toutes les informations pertinentes en provenance des autres Etats membres. On est malheureusement très loin du compte.
Tout d'abord, plusieurs systèmes d'informations nécessaires sont encore manquants. J'ai évoqué le PNR, qui reste à mettre en place, ainsi que le système d'entréesortie EES et l'éventuel programme de surveillance du financement du terrorisme. Mais il manque encore d'autres dispositifs.
S'agissant des ressortissants de pays tiers exemptés de l'obligation de visa, il n'y a pas d'information disponible préalablement à leur arrivée par les frontières terrestres. D'où l'utilité d'un système européen d'information et d'autorisation des voyages, sur le modèle de l'ESTA américain ou des systèmes canadien et australien.
Une seconde lacune concerne la disponibilité en temps réel des données policières existant dans l'ensemble des Etats membres de l'UE. Un index européen des registres de police, envisagé par la Commission, permettrait de faciliter et d'accélérer l'accès aux informations conservées dans les bases de données des services répressifs européens.
En second lieu, des fonctionnalités essentielles sont absentes dans les systèmes d'information existants. On ne peut pas faire de recherche dans le SIS II sur la base des empreintes digitales d'une personne, mais seulement à partir de son nom et de sa date de naissance. Il faudrait donc mettre en place très rapidement un moteur de recherche et de comparaison de données biométriques. Des centaines de milliers de faux documents sont en circulation. Il y a maintenant un proto-Etat, Daech, qui produit des faux papiers.
La Commission européenne explore aussi la possibilité d'ajouter d'autres fonctionnalités qui sont aujourd'hui manquantes dans le SIS II : l'utilisation des images faciales pour l'identification des personnes ; la création de signalements sur les migrants en situation irrégulière faisant l'objet d'une décision de retour ; la transmission automatisée d'informations en cas de réponse positive à l'issue d'une vérification ; la création d'une nouvelle catégorie de signalement relative aux personnes inconnues recherchées, pour lesquelles il peut exister des données de police scientifique dans les bases de données nationales.
Je voudrais souligner que la gendarmerie française a intercepté Salah Abdeslam à Cambrai le 13 novembre au soir, mais n'a pas eu de réponse à temps du système Schengen. Il a ensuite fallu le laisser partir.
Troisième défaillance majeure, l'utilisation des systèmes d'information est très incomplète. Europol a le droit d'accéder aux systèmes SIS II, Eurodac et VIS, mais n'en fait quasiment pas usage. Europol n'a même pas établi de connexions techniques à Eurodac et au VIS. Et il n'y a eu que 740 consultations du SIS en 2015. S'agissant de la base SLTD, qui est relative aux documents de voyage volés ou perdus, ce qui est important pour lutter contre la fraude documentaire et le terrorisme, il reste notamment à établir des connexions électroniques à ce fichier à tous les points de passage des frontières extérieures. En ce qui concerne le cadre Prüm, qui permet l'échange de données relatives à l'ADN, aux empreintes digitales et à l'immatriculation des véhicules, je donne dans mon rapport écrit la liste des Etats membres qui n'ont pas rempli leurs obligations. Cela concerne au moins un tiers des membres de l'espace Schengen.
La quatrième grande faille est malheureusement bien connue. Les bases de données sont souvent mal renseignées par les Etats membres. Il reste à alimenter le SIS II de manière systématique et précise, ce que ne prévoient pas les lois nationales partout en Europe. Patrick Calvar nous disait hier que nos voisins belges ne nourrissent pas le SIS II, alors que la DGSI française a transmis nos 9 000 fiches S.
La Commission européenne a proposé que l'Agence Eu-LISA mette en place un mécanisme central pour suivre la qualité des données dans l'ensemble des systèmes relevant de sa compétence. Mais il faudrait aussi que les législations nationales nécessaires soient en place.
Un dernier problème vient de l'architecture très fragmentée et complexe des systèmes d'information. Des données complémentaires sont stockées séparément dans des bases différentes qui ne sont pas interconnectées. Cela conduit à des difficultés pour accéder aux informations utiles et pour mettre en relation des données fragmentaires.
Il conviendrait a minima de créer une interface de recherche unique pour pouvoir interroger simultanément plusieurs systèmes d'information et produire des résultats combinés sur un seul écran. Pour aller plus loin, il faudrait assurer l'interconnexion des systèmes. Cela permettrait aux données stockées dans un système d'être automatiquement consultées par un autre système. Il faut que les systèmes puissent communiquer entre eux pour éviter d'avoir à les consulter successivement. Les priorités concernent : l'interopérabilité entre le SIS II et la base SLTD, ainsi qu'entre le SIS II et les bases Eurodac et VIS, puis avec le futur système d'entréesortie EES. Tout cela reste à faire.
Ces travaux relèvent clairement de la compétence technique d'Eu-LISA. Mais il faudra d'abord une réelle impulsion politique pour que l'on se décide à avancer vraiment sur tous ces sujets à Bruxelles. L'Agence ne pourra pas le faire de sa seule initiative.
Malgré ces différentes réserves, je vous invite à adopter le projet de loi. Au-delà du soutien que nous devons apporter à l'Agence Eu-LISA, je vous demande de rester vigilant. Il reste beaucoup à faire dans l'intérêt de la lutte antiterroriste.
Je suis frappé par la façon dont l'Europe se noie dans l'incompétence et la bureaucratie sur des sujets aussi essentiels.
Je souhaiterais illustrer ce point par l'exemple de l'Inde. Ce pays, qui compte 1,2 milliard d'habitants, est parvenu à ce jour à ficher 984 millions de personnes au moyen d'un système d'identification unique qui comprend : une photographie, les empreintes digitales, l'identification de l'iris et trente pages d'informations d'ordre social, fiscal et électoral. On pourra d'ailleurs voter prochainement en s'identifiant de manière biométrique, sans avoir à présenter de carte électorale.
Malgré une population plus importante que celle de l'Union européenne, l'Inde est parvenue à atteindre un tel résultat très vite, entre 2009 et 2016. Ce système d'identification a été confié non pas à des technocrates sans compétence informatique mais à Nandan Nilekani, dirigeant à la retraite de la société Infosys, qui a travaillé bénévolement. Ce qu'a fait un pays lointain et censé appartenir au tiers monde suscite en Europe des difficultés que M. Lellouche a excellemment présentées.
Si nous voulons un espace de confort et de liberté de circulation à l'intérieur de l'Union européenne, il faut tenir les frontières extérieures. Or, nous ne les tenons ni physiquement, parce qu'il n'y a pas de Frontex en réalité, ni en identifiant sérieusement les gens et en croisant les fichiers. Il ne faut donc pas s'étonner que l'Europe soit une véritable passoire et qu'il y ait un problème très grave de terrorisme aujourd'hui. On est très loin d'avoir un FBI européen et on ne sait pas partager l'information. Nous sommes dans un espace de libre circulation des terroristes et des migrants, et non dans un système sérieux de contrôle. Si des mesures ne sont pas prises rapidement, je suis très pessimiste pour l'avenir de Schengen.
Suivant l'avis du rapporteur, la commission adopte le projet de loi (n° 3575) sans modification.
La séance est levée à seize heures quarante-cinq.