Le Contrôleur Européen de la Protection des Données (CEPD), Peter Hustinx, a publié le 19 juillet 2013 son avis sur les propositions de la Commission européenne visant à créer un système de "frontières intelligentes" pour les frontières extérieures de l’UE. Pour lui, il n’y a pas d’indications claires que ces propositions qui datent de fin février 2013 soient de nature à ce que l’objectif poursuivi puisse être atteint. La Commission avait envoyé ses propositions le jour même de leur publication au CEPD pour consultation.

Suite à la publication de son avis qui met en particulier l'accent sur le système Entrée/Sortie, le CEPD note que l’un des objectifs annoncés dans les propositions de la Commission européenne est de remplacer le système existant, ‘lent et non fiable’, mais que de l’autre côté les estimations de la Commission elle-même ne permettent pas d'affirmer que l’alternative sera suffisamment efficace pour justifier la dépense et les intrusions dans la vie privée.

Peter Hustinx ajoute: "Améliorer la gestion des contrôles aux frontières est un exercice légitime. Mais il serait plus efficace de le faire lorsqu’une politique européenne claire de gestion des ‘over stayers’ (individus qui dépassent la durée du droit de séjour) aura été établie. En l’absence d’une telle politique, la création d’une nouvelle base de données IT à grande échelle pour stocker des quantités massives de données personnelles est une réponse disproportionnée à un problème que d’autres systèmes créés récemment pourraient être à même de résoudre. Il serait prudent, d’un point de vue à la fois économique et pratique, d’évaluer les systèmes existants afin, au minimum, de garantir cohérence et bonnes pratiques."

Le système "Entrée/Sortie” proposé par la Commission se fonde sur l’utilisation de données biométriques, à savoir les dix empreintes digitales, pour vérifier l’identité des individus au passage de la frontière et calculer ainsi la durée du séjour des résidents des pays tiers. Le Contrôleur européen, Peter Hustinx, questionne la nécessité, dans une société démocratique, de  collecter et stocker une telle quantité  de données personnelles, en particulier quand deux ou quatre empreintes digitales seraient suffisantes dans un but de vérification.

Alors que les autorités répressives pourraient éventuellement se voir accorder l’accès à la base de données après une période d’évaluation qui courrait à compter de l’entrée en vigueur du système, il apparaît que les propositions anticipent un tel accès, avant que la nécessité de l’intrusion dans la vie privée des individus soit effectivement démontrée. La tendance générale qui est de donner accès aux autorités répressives aux données d’individus qui ne sont a priori coupables d’aucun crime est pour lui "dangereuse". Le CEPD recommande fermement que la valeur ajoutée précise d’un tel accès, comparé à l’accès aux bases de données biométriques existantes, soit identifiée.

Le CEPD insiste également pour qu’une attention particulière soit portée aux conséquences juridiques des procédures qui seront automatiquement mises en œuvre aux frontières. Par exemple, le système calculera automatiquement la durée de séjour d’un visiteur, mais il n’y a pas de prise en compte satisfaisante du traitement des erreurs dues à l’automatisation, à savoir, par exemple, l’impossibilité d’enregistrer correctement la sortie d’un individu parce qu’il suit un traitement médical ou en raison de problèmes techniques du système.

De plus, les personnes doivent être informées de façon complète et en temps utile de toute décision défavorable les concernant, afin qu’elles soient à même d’exercer leurs droits. Ceci est d’autant plus important que la multiplication des bases de données dans le secteur de la gestion des frontières (telles que VIS, SIS, CIS, EURODAC) complique de plus en plus l’exercice de leurs droits par les individus.

Enfin, le fonctionnement habituel du système impliquera un besoin d’échanger des données personnelles avec des pays tiers, dans le cadre du retour des personnes concernées dans leur pays d'origine. Le CEPD recommande par conséquent que les conditions et objectifs spécifiques en vertu desquels ces pays pourraient obtenir confirmation de leur identité soient étayés, d’autant plus que de nombreux pays tiers n’offrent pas le même niveau de protection des données personnelles que celui offert par l’UE.

Le contexte juridique

Le respect de la vie privée et la protection des données sont des droits fondamentaux dans l'UE. Dans le cadre du règlement sur la protection des données (CE) n° 45/2001, l'une des fonctions du CEPD est de conseiller la Commission européenne, le Parlement européen et le Conseil sur les propositions de nouvelle législation et un large éventail d'autres questions qui ont un impact sur la protection des données.

En outre, les institutions et organes de l'UE traitant des données personnelles qui présentent des risques particuliers pour les droits et les libertés des individus sont soumis à un contrôle préalable par le CEPD.

Si, de l'avis du CEPD, le traitement notifié risque d'entraîner une violation d'une disposition du règlement, il doit faire des propositions afin d'éviter une telle violation.