Projet d'apport à IDEMIA Public Security France

Cinq recommandations clés pour aider les États membres à mettre en œuvre le système européen d’entrée/sortie

Temps de lecture : 23 minutes

L’afflux de touristes et de visiteurs d’affaires est une excellente nouvelle pour l’économie d’un pays, mais plus leur nombre est élevé, plus les contrôles de sécurité doivent être stricts, d’autant que tous les visiteurs ne sont pas emplis de bonnes intentions. Les gouvernements doivent veiller de près au strict respect des contrôles aux frontières.

Selon les estimations de l’Organisation mondiale du tourisme des Nations unies (UNOMT), le nombre d’entrées de touristes internationaux a été multiplié par 56 au cours des 70 dernières années. L’UNOMT estime que l’Europe accueille 50 % des touristes dans le monde, et constituait donc la région la plus visitée au monde avant la crise de la Covid-19. En 2018, l’Europe a ainsi accueilli plus de 710 millions de voyageurs et a décidé qu’il était temps de mettre en place de nouvelles réglementations pour renforcer la protection de ses frontières.

Normaliser le processus de contrôle aux frontières au sein de l’espace Schengen

La mise en place d’un système de contrôle des frontières infaillible nécessite le déploiement d’une solution unique et des réglementations normalisées dans tous les pays de l’espace Schengen. Pour ce faire, l’Union européenne a renforcé la réglementation du contrôle aux frontières en créant et en mettant en œuvre le système européen d’entrée/sortie (EU-EES). L’EU-EES sera ainsi mis à la disposition de tous les États membres pour leur permettre d’accéder aux mêmes informations et donc d’obtenir une vue d’ensemble de la situation. Cette modernisation nécessite l’enregistrement au niveau européen des données des ressortissants de pays tiers (TCNs) qui franchissent les frontières de l’espace Schengen pour un court séjour et la normalisation des contrôles aux frontières afin de garantir le respect des mêmes lignes directrices et de la même rigueur par tous les pays de l’espace Schengen.
La mise en place de l’EU-EES aura deux impacts spécifiques :

  • Au niveau européen : un ensemble de plates-formes informatiques (notamment le système d’entrée/sortie) doit être développé et les systèmes informatiques existants doivent être rationalisés afin de garantir l’accès de chaque État membre à des ressources et des outils précis (tels que la mise en correspondance biométrique) pour mettre en œuvre les nouveaux processus de contrôle aux frontières.
  • Au niveau des États membres : la collecte des nouvelles données demandées par l’UE et la mise en œuvre des nouveaux processus doivent être effectuées d’ici février 2022.

L’objectif de cet article est de guider les États membres vers des solutions efficaces à déployer dans le respect des nouveaux processus.

Le système européen d’entrée/sortie : les grands principes

L’EU-EES vise à améliorer la gestion et la sécurité de toutes les frontières extérieures en renforçant le processus actuel comme convenu dans le règlement (UE) 2017/2226 et la modification du Code frontières Schengen. Ce système n’aura pas seulement un impact au niveau européen, il s’appuiera également sur des moyens supplémentaires qui devront être déployés au niveau des points de passage frontaliers des États membres.

Qui est concerné ?

  • Les ressortissants de pays hors UE appelés ressortissants de pays tiers (TCNs), les titulaires de visas et les voyageurs exemptés de l’obligation de visa qui entrent dans l’espace Schengen pour un court séjour.

Quel est le périmètre ?

  • L’EU-EES s’applique à toutes les frontières extérieures de l’espace Schengen.
  • Il s’applique également aux frontières des pays candidats qu’un visiteur peut utiliser pour entrer dans l’espace Schengen

Quelles sont les implications du nouveau système ?

Le futur EU-EES sera composé de :

  • Systèmes centraux pour la gestion globale, intégrant une base de données centrale, constituée de données biométriques et alphanumériques, détenues et gérées par l’eu-LISA ;
  • Une interface nationale uniforme et un canal de communication sécurisé par lequel chaque pays échangera des informations sur les mouvements des voyageurs avec le système central, y compris les systèmes d’information déjà déployés (SIS, VIS, EURODAC, etc.) ;
  • Un portail web dédié aux TCNs pour leur permettre de vérifier à tout moment leur durée de séjour autorisée dans l’espace Schengen.

L’un des principaux objectifs de l’EU-EES est de remplacer l’apposition manuelle de cachets sur les passeports par l’enregistrement électronique de chaque franchissement de frontières à l’entrée et à la sortie de l’espace Schengen, et de calculer la durée de séjour autorisée pour chaque voyageur conformément à la réglementation européenne.

Chaque État membre doit développer et déployer une solution nationale pour gérer les mouvements d’entrée et de sortie conformément au Code frontières Schengen (UE) 2016/399 modifié par l’introduction de l’EU-EES dans le règlement (UE) 2017/2225. À cette fin, le système recueillera les données suivantes pour chaque TCN à chaque point de passage frontalier :

  • Informations biographiques ;
  • Données biométriques (visage et quatre empreintes digitales) à transmettre à l’EES ;
  • Tous les mouvements des TCNs entrant pour un court séjour dans l’espace Schengen ;
  • Tous les refus d’entrée.

Les données collectées seront transmises à des systèmes externes comme le VIS, le SIS et Interpol afin de vérifier le statut du voyageur. Les informations biométriques ne seront pas stockées directement dans le système central de l’EU-EES mais dans un système européen de mise en correspondance automatisée : le système de correspondance biométrique partagé (sBMS). Ce système stockera et sécurisera les informations biométriques, et sera responsable de l’authentification et de l’identification des voyageurs à tous les points de passage frontaliers européens grâce à ses capacités de recherche et de comparaison biométriques.

Quand le système d’entrée/sortie de l’UE entrera-t-il en vigueur ?

Le lancement de l’EU-EES est prévu pour février 2022. Pour que tous les États membres puissent répondre présents au rendez-vous, le système sera mis à disposition un an à l’avance de sorte que chaque pays pourra tester son fonctionnement et sa conformité. Une fois entré en vigueur, outre le cas d’utilisation pour le contrôle aux frontières, les autorités compétentes des États membres, ainsi que certaines agences européennes, pourront accéder aux données et les utiliser à des fins répressives, conformément aux règlements EU-EES et RGPD.

Quels sont les résultats escomptés du système EES de l’UE ?

Grâce à un projet de cette envergure, l’Europe peut réussir à améliorer la gestion de ses frontières extérieures, prévenir l’immigration clandestine et faciliter la gestion des flux migratoires.

Cinq recommandations clés pour un contrôle efficace des frontières

L’UE-EES impose l’enregistrement sécurisé de tous les TCNs afin de pouvoir vérifier l’identité de chaque personne entrant dans l’espace Schengen. Ces données sont ensuite partagées en toute sécurité avec des systèmes externes de gestion des données, tant au niveau national qu’européen.

Cette multiplication des contrôles prolongera logiquement le temps de traitement des voyageurs, avec pour effet d’allonger les files et les délais d’attente. De l’espace supplémentaire, des équipements et des gardes-frontières formés devront alors être appelés en renfort pour gérer les flux et assurer la supervision des processus. Ces contrôles supplémentaires se traduiront, pour les gardes-frontières, par une intensification de leurs tâches, déjà quelque peu répétitives, d’où la nécessité de rationaliser au maximum leur travail quotidien afin qu’ils puissent plus facilement se consacrer à leur mission principale.

Voici nos cinq principales recommandations pour limiter l’impact de l’EU-EES sur le personnel de contrôle aux frontières et les voyageurs.

1. Permettre aux gardes-frontières de se concentrer sur les activités à valeur ajoutée

Prendre des images haute qualité du visage d’un voyageur et lui indiquer comment apposer correctement ses empreintes digitales sur le capteur sont des tâches à faible valeur ajoutée pour les gardes-frontières. Afin de leur permettre de se concentrer sur la détection des tentatives de fraude, les comportements suspects et les problèmes de sécurité, les trois concepts ci-dessous sont essentiels.

Libre-service

Les voyageurs peuvent remplir eux-mêmes certaines tâches : ils peuvent en effet scanner leurs documents de voyage, saisir leurs données biométriques et répondre à des questions simples nécessaires au contrôle frontalier sur une borne en libre-service. Ce type d’équipement garantit la qualité des données acquises et guide le voyageur à travers les différentes étapes d’acquisition des données. Les bornes s’adaptent au profil du voyageur et peuvent donc poser des questions ciblées et enregistrer des données précises. Ainsi, les gardes-frontières peuvent se concentrer sur des tâches essentielles, comme les processus décisionnels ou l’analyse des cas suspects. Une fois ses données saisies sur une borne en libre-service, le voyageur peut utiliser un portique automatisé ou se présenter à l’agent d’un poste de contrôle aux frontières traditionnel pour finaliser les opérations de contrôle aux frontières. En parallèle, des vérifications d’antécédents peuvent être effectuées pour optimiser le temps passé à chaque étape.

Automatisation

Les portiques automatisés de contrôle aux frontières sont très répandus en Europe pour les citoyens de l’espace Schengen. L’utilisation d’équipements similaires pourrait être étendue aux TCNs à condition qu’ils entrent dans l’une des catégories suivantes : voyageur de bonne foi, processus de sortie, retour d’un voyageur connu, etc. Les portiques électroniques biométriques sont fiables et éprouvés sur le terrain, et ils contribuent à réduire le volume de voyageurs légitimes que les gardes-frontières doivent traiter pour permettre à ces derniers de se concentrer sur les cas nécessitant une attention particulière.

Surveillance opérationnelle

Toutes les solutions de libre-service et d’automatisation doivent évidemment être contrôlées. Les outils de surveillance opérationnelle permettent aux gardes-frontières de surveiller simultanément plusieurs portiques électroniques et bornes et, grâce à la surveillance centralisée, ils peuvent suivre la collecte des données et la vérification des résultats en temps réel, tout en prenant les mesures nécessaires. La vidéosurveillance permet ainsi aux agents de suivre l’acquisition biométrique. Compatible avec une utilisation mobile (smartphone ou tablette), cette méthode permet aux gardes-frontières de gérer les exceptions ou d’effectuer des vérifications supplémentaires tout en maintenant un flux constant dans la zone d’immigration.

2. Miser sur la fiabilité de la biométrie

Chaque État membre devra obtenir des données alphanumériques et biométriques (quatre empreintes digitales et le visage) des TCNs. Ces données seront vérifiées et mises en sécurité pendant un maximum de trois ans. Toutefois, la collecte et la vérification des données biométriques dans des environnements hétérogènes tels que les frontières restent, ne l’oublions pas, une tâche ardue. Les États membres ne doivent donc prendre en considération que les fournisseurs de premier ordre évalués indépendamment par les autorités officielles, comme le National Institute Standards and Technology (NIST).

Capture de portraits

Le règlement actuel exige une capture frontale du visage avec une résolution de 120 pixels entre les yeux et un format minimum de 800×600. Afin de se conformer aux exigences européennes, diverses stratégies techniques peuvent être mises en œuvre, mais elles ont toutes un impact sur la conception et le coût de développement des équipements ainsi que sur leur maintenance. Par exemple, l’utilisation d’une caméra mobile sur un axe vertical pour capturer un visage est un concept intéressant et conforme à l’exigence réglementaire de capture d’une image frontale. Cependant, le mécanisme de déplacement ralentira non seulement le processus en raison des réglages de la caméra, mais il augmentera aussi les coûts de maintenance. Le bruit est également un des critères à prendre en compte. D’autres solutions peuvent répondre à ce critère de qualité : caméras pivotantes, utilisation de plusieurs caméras à des hauteurs différentes, etc. Les États membres et tous les autres opérateurs doivent avant tout s’assurer que la solution mise en œuvre est centrée sur l’utilisateur, efficace, robuste, conforme à la réglementation et rentable à long terme compte tenu de son utilisation et de sa maintenance.
Les dernières innovations dans le domaine de la biométrie concernent la capture et la comparaison biométrique des visages en mouvement. Cette solution optimisée et sans contact permettra de réduire considérablement le temps de traitement global des voyageurs. Appliquée à un guichet de contrôle à l’immigration, elle permettra de gagner quelques secondes précieuses en donnant au garde-frontière la possibilité de récupérer automatiquement les données collectées en libre-service et les vérifications d’antécédents effectuées, pendant que la personne se dirige vers son guichet.

Capture d’empreintes digitales

Actuellement, les systèmes d’empreintes digitales utilisés nécessitent un contact. Cependant, des solutions hi-tech de capture d’empreintes digitales sans contact sont maintenant aussi disponibles sur le marché et permettent une saisie de données rapide et hygiénique sans compromettre le niveau de sécurité ou la précision de la correspondance biométrique . À cet égard, le NIST a récemment publié les résultats de son évaluation 2019 des capacités d’interopérabilité des appareils de capture d’empreintes digitales avec et sans contact (Interoperability Assessment 2019: Contactless-to-Contact Fingerprint Capture). Cette étude visait à évaluer le fonctionnement des systèmes sans contact avec les bases de données existantes. L’étude a particulièrement salué les performances de certains dispositifs sans contact au vu de certains critères : taux de correspondance, taux d’échantillonnage de la capture d’images, zones de chevauchement entre les empreintes relevées par le capteur et les empreintes archivées, crêtes des doigts et similarité des minuties.

Détection facile des tentatives d’usurpation

La saisie des données biométriques étant une étape cruciale dans la vérification de l’identité d’un TCN, il est surtout primordial que les États membres puissent détecter toutes les tentatives d’usurpation, en particulier si la saisie des données biométriques est directement assurée par le voyageur à l’aide d’un système en libre-service. Le système doit alors être capable de détecter automatiquement les faux doigts, les masques, les images et/ou les flux vidéo et autres stratagèmes, et donc d’identifier ce que l’on appelle les attaques de présentation. Pour des raisons d’ergonomie et de simplicité d’usage, l’utilisation de systèmes de détection passifs est privilégiée.

Evaluation de la qualité intégrée

La qualité des données biométriques acquises est une priorité pour assurer l’efficacité du système d’entrée/sortie de l’UE. L’intégration d’un contrôle de qualité en temps réel pour toutes les données biométriques saisies est nécessaire pour que chaque État membre respecte le niveau de qualité demandé par le système européen. Cela permettra ainsi de garantir une correspondance biométrique optimale au sein du futur sBMS européen, indispensable pour la fiabilité du processus de contrôle aux frontières.

Ergonomie

La saisie des données biométriques, en particulier lorsqu’elle est effectuée de manière autonome via un système en libre-service, doit être aussi simple et claire que possible pour le voyageur. Les indications pour placer sa main et positionner son visage doivent être simples et évidentes. L’ergonomie d’un système conditionne le confort du voyageur. Elle permet de réduire le niveau de stress, mais aussi le temps de traitement global.

3. Prétraitement des données API et PNR pour anticiper les menaces et gagner du temps à l’arrivée

Grâce à l’évaluation des risques, les gouvernements peuvent analyser les données disponibles des voyageurs en amont de leur voyage afin de déterminer s’ils peuvent ou non présenter un danger. Cette procédure permet de dresser un profil du voyageur, d’éclairer les gardes-frontières dans leur prise de décisions et de consacrer du temps aux menaces afin de simplifier les contrôles aux frontières pour les voyageurs de bonne foi.
Les informations préalables sur les passagers (API) et les données des dossiers passagers (PNR) sont transmises par les compagnies aériennes aux gouvernements avant le voyage. Ces données permettent aux autorités frontalières d’effectuer une analyse de risque sur les voyageurs peu de temps avant leur arrivée à destination. L’exploitation de ces données, ainsi que d’autres types d’informations telles que les demandes de visa, les autorisations électroniques de voyage (ETIAS) et les données stockées de manière sécurisée dans des listes nationales d’intérêt, sont riches de renseignements pour les autorités frontalières.
Au niveau de l’UE, la directive 2004/82/AC régit la collecte et la transmission des données API pour tous les États membres. L’utilisation des données PNR est régie par la directive 2016/681. Les données API-PNR sont disponibles dans les systèmes de contrôle des départs et de réservation des compagnies aériennes. Le prétraitement et l’intégration de ces données dans une solution d’entrée/sortie représentent un gain de temps permettant aux autorités de gestion des frontières d’allouer des ressources et d’examiner les éventuels problèmes liés à des voyageurs avant leur arrivée à la frontière.
En dehors de l’immigration, l’évaluation des risques liés aux données des voyageurs représente un réel atout pour d’autres missions de sécurité aux frontières, telles que les douanes, le renseignement et la sécurité nationale. Les résolutions 2178 et 2396 du Conseil de sécurité des Nations unies encouragent d’ailleurs tous les pays à recueillir et à traiter les données API-PNR dans le but de lutter contre la criminalité transfrontalière et le terrorisme.

4. Aucune solution n’est universelle : votre solution doit être adaptée à vos points de passage frontaliers

Chaque pays et chaque frontière a ses spécificités et a donc besoin des solutions les mieux adaptées à son environnement. Il existe de grandes différences entre les frontières aériennes, terrestres et maritimes, ainsi qu’entre leurs capacités. Les frontières terrestres et maritimes devraient constituer l’un des plus grands défis pour la mise en œuvre du système EES de l’UE.

Les frontières terrestres sont traversées par des piétons, des voitures, des camions, des motocyclettes, des bus et des trains, et chacune de ces modalités représente des défis opérationnels pour l’application du règlement de l’UE-EES.

  • Dans le cas des voitures, combien de passagers se trouvent à l’intérieur ?
  • Le passager doit-il rester dans le véhicule ou en sortir ?
  • Y a-t-il un parking ? Où les véhicules font-ils la queue ?
  • Le garde-frontière reste-t-il à son guichet ?
  • Le garde-frontière monte-t-il dans le bus/train ou tous les passagers doivent-ils en sortir ?
  • Les gares ferroviaires ou les terminaux de croisière peuvent-ils être aménagés pour intégrer un point de passage frontalier ?

Ces questions mettent en évidence les différences entre toutes les infrastructures disponibles et les processus applicables, tout en soulignant la complexité du défi.

Les frontières maritimes sont logées à la même enseigne. Les personnes peuvent entrer ou sortir d’un pays à bord de différents types d’embarcation : des grands navires de croisière et des ferries aux petits navires et aux cargos. Là encore, les possibilités sont multiples et les défis sont différents. Les grands navires de croisière peuvent transporter 6 000 passagers, sans compter le personnel. Le temps qu’il faudrait à un garde-frontière pour contrôler individuellement chaque voyageur serait considérable, sans oublier que les passagers disposent d’une fenêtre étroite pour débarquer et profiter quelques heures de leur destination. Les petits bateaux n’ont pas toujours un itinéraire prédéfini et doivent être gérés à la dernière minute.

En plus des différentes modalités et infrastructures disponibles, il est important de garder à l’esprit que le profil du voyageur ajoute également une variable et complique encore la situation.

Certains voyageurs sont titulaires d’un visa alors que d’autres en sont exemptés. Certains entrent dans l’espace Schengen pour la première fois et d’autres non. La haute saison touristique augmente aussi le nombre de voyageurs attendus à certains points de contrôle frontaliers pendant la période des vacances et oblige les gardes-frontières à adapter leur capacité en conséquence. Certains traversent fréquemment les frontières, comme les conducteurs de poids lourds, les personnes qui font la navette entre leur domicile et leur lieu de travail, etc. Les moyens de transport tels que les autobus, les autocars et les trains déplacent de nombreux passagers et peuvent même représenter plus de la moitié des véhicules qui franchissent la frontière.

À la lumière de ces observations, il est incontestable que tous les points de passage frontaliers ont besoin de solutions adaptées à leurs exigences et à leurs contraintes. Il est clair qu’une approche uniforme n’est pas envisageable, c’est pourquoi les États membres devront déployer divers équipements de vérification pour s’adapter à leurs différentes configurations.
Équipements fixes, mobiles ou portatifs ? Manipulés par un garde-frontière ou proposés via un système en libre-service ou automatisé ? Les États membres ont le choix pour répondre au mieux à leurs besoins. S’il dispose d’un espace suffisant, un point de passage frontalier terrestre traversé par un volume élevé de voyageurs pourrait, par exemple :

  • Déployer des comptoirs statiques, des bornes en libre-service et des portiques électroniques bidirectionnels à l’intérieur d’un hall/terminal, comme dans les aéroports ;
  • Doter les gardes-frontières d’un équipement mobile pour monter dans un bus et en contrôler tous les passagers.

En revanche, un petit port maritime pourrait être équipé de dispositifs mobiles capables d’effectuer les contrôles à la demande, sachant que le flux de voyageurs n’y est généralement pas élevé.

Il est presque impossible d’utiliser un système ou une méthode commune à toutes les frontières pour des raisons de coût, d’espace et de maintenance, et les fournisseurs de systèmes ne peuvent pas proposer une solution sur mesure à chaque point de passage frontalier, c’est pourquoi la flexibilité et l’adaptation sont essentielles pour les différents cas d’utilisation.

5. Comment éviter d’être le maillon faible : garantir la sécurité et la confidentialité des données

Les données biométriques et personnelles étant des informations sensibles, eu-LISA garantit leur sécurité et leur confidentialité dès leur point de sortie de l’État membre et durant tout leur cycle de vie ultérieur. Les États membres sont responsables de ces données sensibles depuis leur saisie jusqu’à leur transmission à eu-LISA afin de garantir leur conformité avec la RGPD. Certains principes de sécurité doivent donc être respectés afin de garantir la sécurité et la confidentialité des données des voyageurs tout au long de leur parcours.

Renforcer la sécurité de tous les équipements publics

Afin d’éviter les tentatives d’intrusion, limitez l’utilisation des équipements publics à leur mission première : désactivez tous les ports et connecteurs inutiles, n’installez pas d’applications inutiles.

Pas de stockage sur les équipements publics

Afin d’éviter de compromettre les données en cas de vol et d’intrusion, aucune donnée personnelle ne doit être stockée sur les équipements publics, pas même temporairement.

Transmissions sécurisées

L’authentification mutuelle et le cryptage des données sont nécessaires pour échanger des données et, en particulier, entre les équipements publics et back end. Les politiques de sécurité définissant le renouvellement régulier des identifiants doivent être cohérentes avec les risques rencontrés.

Aucun stockage à long terme au niveau national

Le stockage des données personnelles au niveau national devrait être limité à la durée de la transmission des données à l’eu-LISA. Les mémoires tampons conservées en cas de défaillance du système d’entrée/sortie de l’UE doivent être correctement sécurisées pour éviter toute compromission des données.

L’essentiel à retenir

Le système d’entrée/sortie de l’UE normalisé est fondamental pour renforcer la sécurité aux frontières de l’Union, harmoniser les processus et créer une approche uniforme pour les TCNs entrant dans l’espace Schengen. Il est important que tous les États membres partagent de manière sécurisée les informations relatives aux voyageurs afin de vérifier qui entre et sort d’un pays. En demandant aux TCNs de fournir leurs données biométriques, l’espace Schengen sécurise ses frontières et protège ses citoyens, mais assure également la sécurité des visiteurs entrant en Europe. Le rôle des prestataires de services consiste à aider les États membres à s’adapter de la façon la plus harmonieuse et transparente possible au nouveau système, mais aussi à assurer le confort et la tranquillité des voyageurs.
La mise en œuvre de nouveaux systèmes biométriques et le respect des nouvelles réglementations constitueront certainement un défi. Les États membres devraient donc rechercher un prestataire de services expérimenté et capable de les guider dans cette transition.
L’application des cinq recommandations ci-dessus permettra aux États membres de mettre en œuvre un système conforme à la RGPD, efficace pour toutes les parties prenantes et facile à utiliser pour les voyageurs.
En complément, des politiques de sécurité traditionnelles applicables aux systèmes informatiques critiques, telles que le contrôle strict et l’auditabilité de l’accès aux données personnelles, la gestion minutieuse des droits d’accès ou le cryptage des bases de données, devront être mises en œuvre.

Playlist – IDEMIA’s TravelKiosk™
Playlist – IDEMIA’s TravelKiosk™
IDEMIA
IDEMIA

Inscrivez-vous à notre newsletter

Recevez nos principales actualités et suivez les tendances de nos marchés en vous abonnant à notre newsletter.

En cliquant sur le bouton «Je m'inscris», vous confirmez que vous acceptez les conditions d'utilisation et la politique de confidentialité d'IDEMIA et que vous consentez au traitement de vos données personnelles tel que décrit.

Votre adresse e-mail sera utilisée exclusivement par IDEMIA pour vous envoyer des newsletters. Conformément à la loi, vous disposez de droits d'accès, de rectification et de suppression de vos données personnelles, ainsi que d'opposition à leur traitement, en écrivant à dpo@idemia.com.