Comment une société de sécurité bien connectée crée-elle en catimini des bases de données biométriques à grande échelle en Afrique de l’ouest avec les fonds d’aide de l’Union européenne
Privacy International a eu accès à des documents qui révèlent comment l’Union européenne a utilisé des fonds d’aide pour financer le développement de systèmes d’identification biométrique dans des pays Africains pour répondre aux flux migratoires et détecter les situations d’urgence.
- L’Union européenne utilise des fonds d’aide pour créer des systèmes d’identification biométrique à haut risque et à grande échelle pour gérer les flux migratoires vers l’Europe et faciliter les expulsions ;
- Civipol, une entreprise française bien connectée détenue en partie par certaines des plus grandes sociétés d’armement au monde, a ainsi remporté des contrats lucratifs ;
- Une étude menée sur la protection des données s’écartent des normes internationales et aucunes évaluations des risques en matière de la protection à la vie prive et les droits humains ont été réalisées.
Le « Fonds fiduciaire d’urgence de l’Union européenne en faveur de la stabilité et de la lutte contre les causes profondes de la migration irrégulière et du phénomène des personnes déplacées en Afrique » (le « fonds fiduciaire pour l’Afrique ») ne fait pas les grands titres (et il est plutôt difficile à retenir), mais son influence est vaste et aura des conséquences pendant plusieurs décennies sur la vie de millions de personnes sur le continent africain.
Mis en place suite à la « crise migratoire » de 2015 en Europe et largement financé par l’argent consacré à l’aide au développement (80 % de son budget provient des fonds d’aide humanitaire et de développement), le fonds fiduciaire pour l’Afrique consacre plusieurs milliards d’euros pour résoudre et « gérer » la migration vers l’Europe depuis les pays africains.
En plus d’assurer l’équipement et la formation des organismes de sécurité à la surveillance, ce fonds est utilisé pour financer le développement de systèmes d’identité biométrique à grande échelle dans l’ensemble du continent africain et, en se faisant, octroie des contrats lucratifs à des sociétés de sécurité européennes bien connectées.
Alors que ces systèmes peuvent avoir des effets positifs sur les droits humains – dont l’exemple le plus évident est qu’ils facilitent le droit à une identité légale – ils représentent également une grave menace pour ces droits et détournent des fonds qui pourraient servir à mettre en place d’autres structures tels que les écoles ou les hôpitaux.
Sur la base de documents communiqués à Privacy International par le fonds fiduciaire en vertu des lois sur l’accès aux documents, nous offrons ci-dessous une analyse de ces systèmes biométriques, en utilisant le cas du Sénégal comme un exemple.
Ces documents montrent que les risques considérables que ces systèmes présentent non seulement n’étaient pas adressés de façon adéquate, mais ils démontrent qu’ils visent également à faciliter les expulsions de l’Union européenne.
En conséquence, Privacy International s’associe à d’autres sociétés civiles pour appeler aujourd’hui la Commission à procéder à des réformes urgentes afin de mettre un terme à cette dynamique de surveillance et à ce détournement de l’argent destiné à l’aide au développement.
Qu’est-ce qu’un système d’identification biométrique ?
Les systèmes d’identification biométriques collectent (en plus des différentes informations personnelles telles que le nom, la date de naissance et l’adresse) des caractéristiques physiques d’une personne, telles que ses empreintes digitales, ses données de reconnaissance faciale et/ou celle de la rétine et transforment des traits physiques fixes et immuable en des identificateurs lisibles à la machine destinée à une future utilisation.
Concrètement, les systèmes d’identification pourvoient au projet d’identification d’une administration centralisée qui lie l’identité d’un individu à une carte ou un numéro, et dans notre cas, également à des données biométriques. Cette identité sera ensuite utilisée au sein du système à des fins de bien public et pour l’accès à la vie sociale.
Ce type de système biométrique centralisé peut faciliter l’exclusion sociale et économique et la discrimination et a d’énormes conséquences notamment en matière de droits de protection de la vie privée et de la protection des données. Pour ces raisons, les autorités doivent :
- s’assurer que ces systèmes soient justifiés en tenant compte des principes de légalité, de nécessité et de proportionnalité ;
- prouver l’efficacité et la nécessité de l’authentification biométrique ;
- développer des mesures de sauvegarde pour protéger les droits et atténuer les risques de détournement d’usage et de partage des données ;
- répondre aux inquiétudes quant à leur impact sur d’autres droits humains, à savoir la liberté, la dignité et l’égalité.
Qui tire profit de la création de ces bases de données ? Faites connaissance avec Civipol
Civipol (ou Civi.Pol Conseil) est largement impliquée dans le développement de ces systèmes d’identification biométrique. Au Sénégal, c’est l’organisme qui a mené l’ensemble du processus de formulation du plan de gestion et d’évaluation de diagnostic dont il assurera également la mise en œuvre conjointement avec la société de développement belge ENABEL. En Côte d’Ivoire, Civipol mettra également en œuvre ce projet en fournissant une assistance technique.
Civipol et les projets de l’Union européenne
Au cours des années, Civipol s’est trouvée impliquée dans différents projets de gestion des frontières de l’Union européenne visant notamment à la formation de gardes aux frontières. Il a rédigé un « document d’étude influent » intitulé « Étude de faisabilité du contrôle des frontières maritimes de l’Union européenne » destiné à la Commission européenne, qui a posé les principes de base de la politique actuelle de l’Union européenne en matière d’externalisation des frontières.
En décembre 2016, avant de se développer dans les systèmes d’identification entièrement biométrique, Civipol était déjà impliquée dans la mise en place et le déploiement de bases de données d’empreintes digitales au Mali et au Sénégal. Il est également l’un des partenaires d’exécutifs d’un projet nommé « Meilleure gestion de la migration » mis en œuvre dans la Corne de l’Afrique.
Historique de Civipol
Civipol a été fondée en 2001. C’est est une société anonyme détenue à 40 % par l’État français. En outre, elle est détenue en partie par de grandes sociétés d’armement, notamment Thalès, Airbus DS et Safran.
Cette société s’impose comme l’opérateur de coopération technique du ministère français de l’Intérieur. Elle ne vend pas d’équipement, mais fournit des services d’audit, de gestion de projet, de formation et de conseil en France et à l’étranger.
Les liens de l’entreprise avec l’état français sont profonds. Le préfet Yann Jounot, ancien coordinateur national du renseignement, est le président-directeur général de Civipol depuis juin 2017. Il est également président du salon Milipol.
Civipol était dirigée auparavant par Pierre de Bousquet de Florian, qui a été nommé chef de cabinet du ministre de l’Intérieur Gérald Darmanin et a précédemment occupé le poste de coordinateur du renseignement national. Alexis Kohler, chef de cabinet d’Emmanuel Macron, faisait également partie du conseil d’administration de Civipol.
Civipol est l’actionnaire principal du groupement d’intérêt économique MILIPOL (qu’il détient à 40 %) qui organise de grands salons de la sécurité consacrés à la sécurité à Paris, Singapour et Doha, auxquels participent régulièrement des sociétés de surveillance telles que Syneris, Ercom et NSO group.
Projet de Civipol/de l’Union européenne au Sénégal
Les documents divulgués par le fonds fiduciaire pour l’Afrique à Privacy International, qui détaillent le développement d’un système d’identification biométrique de 28 millions d’euros au Sénégal soulèvent plusieurs questions.
Le [but déclaré du projet](https://privacyinternational.org/sites/default/files/2020-11/Doc 3.3 Annexe II Termes de référence SN.pd f.pdf) est de respecter les droits des personnes en facilitant la reconnaissance de leur identité au moyen d’un système d’identification biométrique. Toutefois, les raisons pour lesquelles un système d’identification biométrique est nécessaire sont peu abordées. Bien que ces systèmes aident réellement les gens à faire valoir leur droit à une identité légale – ce qui est un objectif important du développement durable – cet argument est souvent utilisé pour justifier le développement de systèmes de surveillance à grande échelle faisant un usage intensif des données, lorsqu’un simple système de gestion d’identité non biométrique et non centralisé suffirait.
Au contraire, les autorités de l’Union européenne aspirent à pouvoir accéder à ces systèmes d’identification à l’avenir pour accélérer le processus d’expulsion du continent européen. En Côte d’Ivoire, la description d’un projet de système d’identification biométrique de 30 millions d’euros mentionne explicitement qu’il doit être utilisé pour aider à l’identification d’Ivoiriens résidant en Europe de manière irrégulière et pour organiser plus facilement leur retour.
Une fois qu’un demandeur d’asile ou que toute autre personne migrante se risque à franchir la frontière européenne, ou est identifiée par les organismes d’application en matière d’immigration en Europe, les autorités collecteront ses données biométriques, les compareront aux données des systèmes africains et, comme elles le souhaitent, accéléreront le retour de cette personne dans son pays.
Des documents liés à l’un des projets soulignent à plusieurs reprises qu’il faut s’assurer que toute collecte biométrique prenne en compte les données des Sénégalais vivant à l’étranger.
What data will they process?
The documents suggest conducting a massive census operation to collect all kinds of data from the population, including biometric data. They further suggest merging in the new system data collected from other databases, including the current national ID system and the passport system. However, the documents do not specify exactly what biometric data they intend to collect.
A partial answer might be found in the document, but they decided not to disclose this information
Who will have access?
The documents clearly indicate the desire to ensure that the data will be accessed by a wide range of at least national actors as possible, but there appears to be no reflection on how to minimise access depending on what each actor would need to have access to. (Doc 7.2. pg 58-59)
Ensuring the interoperability of datasets/database is a recurring priority, but again with little consideration on how to ensure that there are barriers to what this database could be connected to or to which administration it could be connected to. (Doc 3.3 p 7; Doc 3.4, Doc 7.7)
The only safeguard suggested is that any decision to connect databases will be subject to authorisation by the national data protection authority. (Doc 7.7)
What will be the applicable legal framework?
While a data protection study (Doc 7.7) was conducted in order to guarantee the effectiveness of the central register of civil status, (Doc 3.3. p 7) and ensure that that it complies with international data protection standards (Doc 3.3. p 7), it contains several suggestions that diverge from international data protection standards.
The study, limited to an examination of the applicable legal frameworks in Senegal and recommendations regarding legal reforms, briefly lists the international documents that are relevant for the assessment and primarily focuses on the national data protection law.
While the first recommendation rightly suggests that they data processed should not be excluded from the data protection framework, the second recommendation asks for the definition of data under civil law to clearly state that this data is personal data. There is no consideration in the study that biometric data is sensitive data and as such require additional and enhanced protections. The current data protection law does not provide for enhanced protections for biometric data.
This is important because of the fact that the use of biometric data is uniquely problematic given that it represents a part of a person’s body, and as in the case of fingerprints and iris scans, raises concerns of sensitivity and control of one’s own body.
Despite this, the current national legal framework contains only one reference to biometric data, requiring that any processing of biometric data and other data is subject to authorisation by the national data protection authority (Art 20, Law 2008-12).
Instead of promoting stronger protections however, on the contrary, the study asks for the procedures and formalities regarding the obligations of those responsible for processing personal data to be simplified (Doc 7.7).
Finally, the study asks for the definition of processing of data to exclude the deletion of personal data, contrary to international standards on data protection as well as Senegal’s national law (Art 4, Law 2008-12). It is not clear why such an exception from international and national standards of data protection is sought.
What about the data protection and privacy impact assessments or human rights risk assessments?
Beyond the data protection study, the only other study that pertains to an impact assessment is a separate informatic and security study which confines itself to some general information of possible technical options for securing the information (Doc. 7.6).
No privacy or data protection impact assessments appear to have been conducted, which would have allowed to identification and management of data protection and privacy risks arising from the project. Similarly, a human rights risk assessment would have identified potential risks for human rights, but from the documents we received there is nothing indicating that such studies were even considered let alone conducted.
The biometric technology underlying identity systems is fallible and not always accurate, leading to authentication failures which can have profoundly negative impacts on individuals enrolled in identity systems, and particularly affect the most vulnerable populations. An impact assessment would also have taken into account the frequency of biometric authentication failure.
Reforms Needed
While these biometric identity systems are financed by the EU Trust Fund, a set of other EU bodies and instruments also support similar initiatives. These include the Instrument contributing to Stability and Peace, a multi-billion euro fund used to provide security assistance to countries around the world , the Instrument of Pre-accession Assistance, used to provide support to potential future EU member countries, and the European Neighbourhood Instrument, used to provide assistance to other neighbouring countries.
As the EU finalises its next budget which will set its priorities for 2021 to 2027, many of these different instruments will be centralised into one main one, called the Neighbourhood, Development and International Cooperation Instrument.
Privacy International and partner NGOs are calling on the European Commission to work with the Parliament and member states to take the opportunity presented by centralising these disparate instruments and address the inherent dangers posed by these training regimes.
In particular, we are calling on the Commission to improving due diligence and risk assessments, increase transparency and parliamentary scrutiny and public oversight, and to instead focus resources on supporting the capacity of judicial, security, and regulatory institutions to protect rights before proceeding with allocating resources and technologies which, in absent of proper oversight, will likely result in fundamental rights abuses.
More details can be found here.