Meeting between Mankeur Ndiaye, Senegalese Minister for Foreign Affairs and Senegalese Abroad and Dimitris Avramopoulos, Member of the EC in charge of Migration, Home Affairs and Citizenship © European Union, 2016 Source: EC - Audiovisual Service
Comment une société de sécurité bien connectée crée-elle en catimini des bases de données biométriques à grande échelle en Afrique de l’ouest avec les fonds d’aide de l’Union européenne
Privacy International a eu accès à des documents qui révèlent comment l’Union européenne a utilisé des fonds d’aide pour financer le développement de systèmes d’identification biométrique dans des pays Africains pour répondre aux flux migratoires et détecter les situations d’urgence.
Key points
- L’Union européenne utilise des fonds d’aide pour créer des systèmes d’identification biométrique à haut risque et à grande échelle pour gérer les flux migratoires vers l’Europe et faciliter les expulsions ;
- Civipol, une entreprise française bien connectée détenue en partie par certaines des plus grandes sociétés d’armement au monde, a ainsi remporté des contrats lucratifs ;
- Une étude menée sur la protection des données s’écartent des normes internationales et aucunes évaluations des risques en matière de la protection à la vie prive et les droits humains ont été réalisées.
News & Analysis
Date de publication
10th novembre 2020
Le « Fonds fiduciaire d’urgence de l’Union européenne en faveur de la stabilité et de la lutte contre les causes profondes de la migration irrégulière et du phénomène des personnes déplacées en Afrique » (le « fonds fiduciaire pour l’Afrique ») ne fait pas les grands titres (et il est plutôt difficile à retenir), mais son influence est vaste et aura des conséquences pendant plusieurs décennies sur la vie de millions de personnes sur le continent africain.
Mis en place suite à la « crise migratoire » de 2015 en Europe et largement financé par l’argent consacré à l’aide au développement (80 % de son budget provient des fonds d’aide humanitaire et de développement), le fonds fiduciaire pour l’Afrique consacre plusieurs milliards d’euros pour résoudre et « gérer » la migration vers l’Europe depuis les pays africains.
En plus d’assurer l’équipement et la formation des organismes de sécurité à la surveillance, ce fonds est utilisé pour financer le développement de systèmes d’identité biométrique à grande échelle dans l’ensemble du continent africain et, en se faisant, octroie des contrats lucratifs à des sociétés de sécurité européennes bien connectées.
Alors que ces systèmes peuvent avoir des effets positifs sur les droits humains – dont l’exemple le plus évident est qu’ils facilitent le droit à une identité légale – ils représentent également une grave menace pour ces droits et détournent des fonds qui pourraient servir à mettre en place d’autres structures tels que les écoles ou les hôpitaux.
Sur la base de documents communiqués à Privacy International par le fonds fiduciaire en vertu des lois sur l’accès aux documents, nous offrons ci-dessous une analyse de ces systèmes biométriques, en utilisant le cas du Sénégal comme un exemple.
Ces documents montrent que les risques considérables que ces systèmes présentent non seulement n’étaient pas adressés de façon adéquate, mais ils démontrent qu’ils visent également à faciliter les expulsions de l’Union européenne.
En conséquence, Privacy International s’associe à d’autres sociétés civiles pour appeler aujourd’hui la Commission à procéder à des réformes urgentes afin de mettre un terme à cette dynamique de surveillance et à ce détournement de l’argent destiné à l’aide au développement.
Qu’est-ce qu’un système d’identification biométrique ?
Les systèmes d’identification biométriques collectent (en plus des différentes informations personnelles telles que le nom, la date de naissance et l’adresse) des caractéristiques physiques d’une personne, telles que ses empreintes digitales, ses données de reconnaissance faciale et/ou celle de la rétine et transforment des traits physiques fixes et immuable en des identificateurs lisibles à la machine destinée à une future utilisation.
Concrètement, les systèmes d’identification pourvoient au projet d’identification d’une administration centralisée qui lie l’identité d’un individu à une carte ou un numéro, et dans notre cas, également à des données biométriques. Cette identité sera ensuite utilisée au sein du système à des fins de bien public et pour l’accès à la vie sociale.
Ce type de système biométrique centralisé peut faciliter l’exclusion sociale et économique et la discrimination et a d’énormes conséquences notamment en matière de droits de protection de la vie privée et de la protection des données. Pour ces raisons, les autorités doivent :
- s’assurer que ces systèmes soient justifiés en tenant compte des principes de légalité, de nécessité et de proportionnalité ;
- prouver l’efficacité et la nécessité de l’authentification biométrique ;
- développer des mesures de sauvegarde pour protéger les droits et atténuer les risques de détournement d’usage et de partage des données ;
- répondre aux inquiétudes quant à leur impact sur d’autres droits humains, à savoir la liberté, la dignité et l’égalité.
Qui tire profit de la création de ces bases de données ? Faites connaissance avec Civipol
Civipol (ou Civi.Pol Conseil) est largement impliquée dans le développement de ces systèmes d’identification biométrique. Au Sénégal, c’est l’organisme qui a mené l’ensemble du processus de formulation du plan de gestion et d’évaluation de diagnostic dont il assurera également la mise en œuvre conjointement avec la société de développement belge ENABEL. En Côte d’Ivoire, Civipol mettra également en œuvre ce projet en fournissant une assistance technique.
Civipol et les projets de l’Union européenne
Au cours des années, Civipol s’est trouvée impliquée dans différents projets de gestion des frontières de l’Union européenne visant notamment à la formation de gardes aux frontières. Il a rédigé un « document d’étude influent » intitulé « Étude de faisabilité du contrôle des frontières maritimes de l’Union européenne » destiné à la Commission européenne, qui a posé les principes de base de la politique actuelle de l’Union européenne en matière d’externalisation des frontières.
En décembre 2016, avant de se développer dans les systèmes d’identification entièrement biométrique, Civipol était déjà impliquée dans la mise en place et le déploiement de bases de données d’empreintes digitales au Mali et au Sénégal. Il est également l’un des partenaires d’exécutifs d’un projet nommé « Meilleure gestion de la migration » mis en œuvre dans la Corne de l’Afrique.
Historique de Civipol
Civipol a été fondée en 2001. C’est est une société anonyme détenue à 40 % par l’État français. En outre, elle est détenue en partie par de grandes sociétés d’armement, notamment Thalès, Airbus DS et Safran.
Cette société s’impose comme l’opérateur de coopération technique du ministère français de l’Intérieur. Elle ne vend pas d’équipement, mais fournit des services d’audit, de gestion de projet, de formation et de conseil en France et à l’étranger.
Les liens de l’entreprise avec l’état français sont profonds. Le préfet Yann Jounot, ancien coordinateur national du renseignement, est le président-directeur général de Civipol depuis juin 2017. Il est également président du salon Milipol.
Civipol était dirigée auparavant par Pierre de Bousquet de Florian, qui a été nommé chef de cabinet du ministre de l’Intérieur Gérald Darmanin et a précédemment occupé le poste de coordinateur du renseignement national. Alexis Kohler, chef de cabinet d’Emmanuel Macron, faisait également partie du conseil d’administration de Civipol.
Civipol est l’actionnaire principal du groupement d’intérêt économique MILIPOL (qu’il détient à 40 %) qui organise de grands salons de la sécurité consacrés à la sécurité à Paris, Singapour et Doha, auxquels participent régulièrement des sociétés de surveillance telles que Syneris, Ercom et NSO group.
Projet de Civipol/de l’Union européenne au Sénégal
Les documents divulgués par le fonds fiduciaire pour l’Afrique à Privacy International, qui détaillent le développement d’un système d’identification biométrique de 28 millions d’euros au Sénégal soulèvent plusieurs questions.
Le [but déclaré du projet](https://privacyinternational.org/sites/default/files/2020-11/Doc 3.3 Annexe II Termes de référence SN.pd f.pdf) est de respecter les droits des personnes en facilitant la reconnaissance de leur identité au moyen d’un système d’identification biométrique. Toutefois, les raisons pour lesquelles un système d’identification biométrique est nécessaire sont peu abordées. Bien que ces systèmes aident réellement les gens à faire valoir leur droit à une identité légale – ce qui est un objectif important du développement durable – cet argument est souvent utilisé pour justifier le développement de systèmes de surveillance à grande échelle faisant un usage intensif des données, lorsqu’un simple système de gestion d’identité non biométrique et non centralisé suffirait.
Au contraire, les autorités de l’Union européenne aspirent à pouvoir accéder à ces systèmes d’identification à l’avenir pour accélérer le processus d’expulsion du continent européen. En Côte d’Ivoire, la description d’un projet de système d’identification biométrique de 30 millions d’euros mentionne explicitement qu’il doit être utilisé pour aider à l’identification d’Ivoiriens résidant en Europe de manière irrégulière et pour organiser plus facilement leur retour.
Une fois qu’un demandeur d’asile ou que toute autre personne migrante se risque à franchir la frontière européenne, ou est identifiée par les organismes d’application en matière d’immigration en Europe, les autorités collecteront ses données biométriques, les compareront aux données des systèmes africains et, comme elles le souhaitent, accéléreront le retour de cette personne dans son pays.
Des documents liés à l’un des projets soulignent à plusieurs reprises qu’il faut s’assurer que toute collecte biométrique prenne en compte les données des Sénégalais vivant à l’étranger.
Doc 3.3, p 4, c’est nous qui soulignons
Quelles données ces systèmes traiteront-ils ?
Ces documents suggèrent de mener une opération de recensement massive pour collecter tous types de données auprès de la population, notamment des données biométriques. En outre, ils suggèrent de fusionner dans le nouveau système les données collectées depuis d’autres bases de données, notamment le système de cartes d’identité nationales actuel, et le système de passeport. Cependant, ces documents ne précisent pas exactement quelles données biométriques feront l’objet de la collecte.
Le document suivant y répond peut-être partiellement, mais les autorités ont décidé de ne pas divulguer cette information.
Doc 7.8
Qui aura accès à ces données ?
Les documents indiquent clairement le souhait de permettre un accès aux données à un grand nombre d’acteurs nationaux divers, mais il n’y a pas de réflexion sur la manière de réduire l’accès selon les besoins de chaque acteur. (Doc 7.2. p 58-59)
Garantir l’interopérabilité des fichiers/bases de données est une priorité récurrente, mais là encore, mais de nouveau avec peu de considérations sur la manière dont on peut garantir de limiter ce à quoi cette base de données pourrait connectée, ou à quelle administration elle pourrait être connectée. (Doc 3.3 p 7; Doc 3.4, Doc 3.6, Doc 7.7)
Doc 3.4, p 22, c’est nous qui soulignons
La seule protection qui est suggérée est de soumettre toute décision de connexion des bases de données à une autorisation de l’autorité nationale de protection des données. (Doc 7.7)
Quel sera le cadre juridique en vigueur ?
Alors qu’une étude sur la protection des données (Doc 7.7) a été menée en vue de garantir l’efficacité du registre central de l’état civil ([Doc 3.3. p 7](https://privacyinternational.org/sites/default/files/2020-11/Doc 3.3 Annexe II Termes de référence SN.pd f.pdf)) et de s’assurer qu’il est conforme aux normes internationales de protection des données ([Doc 3.3. p 7](https://privacyinternational.org/sites/default/files/2020-11/Doc 3.3 Annexe II Termes de référence SN.pd f.pdf)), cette étude comporte des suggestions qui s’écartent des normes internationales dans ce domaine.
Cette étude, limitée à un examen des cadres juridiques en vigueur au Sénégal et à des recommandations concernant des réformes juridiques, répertorie brièvement les documents internationaux qui concernent cette évaluation et se réfère principalement à la loi nationale sur la protection des données.
Tandis que la première recommandation suggère à juste titre qu’il convient de ne pas exclure les données traitées du cadre de la protection des données, la seconde recommandation se reporte à la définition des données du droit civil pour déterminer si ces données sont des données personnelles. L’étude ne mentionne pas que les données biométriques sont des données sensibles qui requièrent comme telles des protections supplémentaires et renforcées. La loi actuelle sur la protection des données ne prévoit pas de protection renforcée pour les données biométriques.
Ce point est important en raison du fait que l’utilisation des données biométriques est particulièrement problématique, car ces données représentent une partie du corps humain et, comme dans le cas des empreintes digitales et du balayage biométrique de l’iris, elles posent des questions de sensibilité et affectent le contrôle de chacun sur son propre corps.
Malgré cela, le cadre juridique national actuel ne contient qu’une seule référence aux données biométriques, et requiert que tout traitement des données biométriques et des autres données soit soumis à une autorisation de l’autorité nationale de protection des données (Art 20, Loi de 2008-12).
Cependant, au lieu de promouvoir des protections plus fortes, l’étude demande au contraire de simplifier les procédures et formalités liées aux obligations des personnes responsables du traitement de ces données personnelles (Doc 7.7).
Doc 7.7, c’est nous qui soulignons
Enfin, l’étude demande que la définition du traitement des données exclue la suppression des données personnelles ce qui est contraire aux normes internationales sur la protection des données ainsi que la loi nationale du Sénégal (Art 4, Loi de 2008-12). Les raisons pour lesquelles ils tentent de s’affranchir des normes nationales et internationales sur la protection des données sont peu claires.
Doc 7.7, c’est nous qui soulignons
Qu’en est-il de l’évaluation de l’impact de ces systèmes sur la protection des donnees et la de la vie privée ou de l’évaluation des risques pour les droits humains ?
Au-delà de l’étude sur la protection des données, la seule autre étude qui concerne une évaluation d’impact est une étude informatique et de sécurité séparée qui se limite à certaines informations générales sur les choix techniques possibles pour la sécurisation des informations (Doc. 7.6).
Il apparaît qu’aucune évaluation d’impact sur la confidentialité et la protection des données n’ait été menée, ce qui aurait permis d’identifier et de gérer les risques que présente le projet en matière de protection des données et de confidentialité. De même, une évaluation des risques pour les droits humains aurait permis d’identifier les risques potentiels dans ce domaine, mais, à la vue des documents que nous avons reçus, rien n’indique que ce type d’étude n’ait été envisagé ni encore moins mené.
La technologie biométrique sous-jacents les systèmes d’identification est faillible et présente des risques d’inexactitude, entraînant des erreurs d’authentification qui peuvent avoir des impacts négatifs profonds sur les personnes recensées, affectant en particulier les populations les plus vulnérables. Une évaluation de l’impact aurait également pris en compte la fréquence des erreurs d’authentification biométriques.
Réformes nécessaires
Alors que ces systèmes d’identification biométriques sont financés par le fonds fiduciaire pour l’Afrique, d’autres organismes et instruments divers de l’Union européenne soutiennent également des projets similaires. Parmi eux figurent l’Instrument contribuant à la stabilité et à la paix, qui est un fonds de plusieurs millions d’euros destiné à fournir une assistance à la sécurité à différents pays dans le monde, l’Instrument d’aide de préadhésion. Celui-ci permet de soutenir les futurs états membres de l’Union européenne et l’Instrument européen de voisinage et de partenariat, qui fournit une assistance à d’autres pays voisins.
Alors que l’Union européenne finalise son prochain budget qui définira ses priorités de 2021 à 2027, il est prévu de centraliser la plupart de ces instruments en un seul instrument principal appelé l’Instrument de voisinage, de coopération au développement et de coopération internationale.
Privacy International et ces partenaires au sein de la société civile appellent la Commission européenne à collaborer avec le Parlement et les états membres pour saisir l’opportunité qu’offre la centralisation de ces instruments disparates et à faire face aux dangers inhérents de ces programmes de formation.
Nous appelons en particulier la Commission à améliorer son contrôle préalable et l’évaluation des risques, à augmenter les enquêtes parlementaires et une supervision publique, et de plus à consacrer les ressources au renforcement des capacités des institutions judiciaires, réglementaires et de sécurité. Cela permettra de protéger les droits humains avant de procéder à l’attribution des ressources et des technologies qui, en l’absence de surveillance appropriée, mèneraient probablement à enfreindre les droits fondamentaux.
Pour plus de détails, cliquez ici.
Location
Act with us
