Système d’information Schengen (SIS)

Architecture du SIS

Le SIS se compose 1) d’un système central (le « SIS central »), 2) d’un système national (le « N.SIS ») dans chaque État membre, relié au SIS central et 3) d’une infrastructure de communication entre le système central et les systèmes nationaux, fournissant un réseau virtuel crypté consacré aux données du SIS et à l’échange de données entre les instances chargées de l’échange de toutes les informations supplémentaires (les bureaux SIRENE).

Base juridique du SIS

Le cadre juridique actuel du SIS se compose de trois règlements, couvrant trois domaines de compétence :

• le règlement (UE) 2018/1860 (« règlement SIS relatif à l'utilisation du SIS pour le retour des ressortissants de pays tiers en séjour irrégulier ») ;

• le règlement (UE) 2018/1861 (« règlement SIS dans le domaine des contrôles aux frontières ») ;

•  le règlement (UE) 2018/1862 (« règlement SIS dans le domaine de la coopération policière et judiciaire »).

Types d’informations traitées dans le SIS (signalements)

Le SIS contient deux grandes catégories d'informations : les signalements de personnes et les signalements d'objets.

En ce qui concerne les signalements de personnes, le SIS couvre les catégories suivantes de personnes concernées :

• les ressortissants de pays tiers faisant l'objet d'un refus d'entrée ou de séjour dans l'espace Schengen ou d'une procédure de retour ;
• les personnes recherchées aux fins d'arrestation et de remise ou d'extradition (dans le cas des pays associés) ;
• les personnes disparues (y compris les personnes vulnérables qui doivent être empêchées de voyager, par exemple les enfants présentant un risque élevé d'enlèvement parental, les enfants risquant d'être victimes de la traite des êtres humains et les enfants risquant d'être recrutés comme combattants terroristes étrangers) ;
• les personnes recherchées dans le but de rendre possible leur concours dans le cadre d'une procédure judiciaire pénale ;
• les personnes faisant l'objet de contrôles discrets, de contrôles d’investigation ou de contrôles spécifiques ;
• les personnes recherchées inconnues qui sont liées à un crime (par exemple, les personnes dont les empreintes digitales ont été trouvées sur une arme utilisée dans un crime) ;
• les ressortissants de pays tiers qui font l’objet de signalements pour information dans l'intérêt de l'Union.

En ce qui concerne les alertes sur les objets, le SIS stocke des données sur les objets recherchés aux fins d’une saisie ou à titre de preuve dans une procédure pénale. Ces objets comprennent les véhicules, les bateaux, les armes à feu, les documents d'identité volés, détournés, égarés ou invalidés, les billets de banque, les cartes de crédit, les documents vierges et les « objets de grande valeur » (par exemple, les équipements informatiques, qui peuvent être identifiés et recherchés à l'aide d'un numéro d'identification unique).

Catégories de données à caractère personnel traitées dans le SIS

Lorsque le signalement  concerne une personne (à l'exception des personnes recherchées inconnues), les informations doivent toujours inclure : le nom, la date de naissance, le motif du signalement, le genre, une référence à la décision qui est à l’origine du signalement, le fondement de la décision de non-admission et d'interdiction de séjour (le cas échéant), la conduite à tenir, la date d’expiration du délai de départ volontaire, le cas échéant, et si le retour est assorti ou non d'une interdiction d'entrée. Si elles sont disponibles, les informations suivantes peuvent également être incluses dans le signalement : les signes physiques particuliers, objectifs et inaltérables ; le lieu de naissance ; des photographies ; les empreintes digitales ; la ou les nationalités ; l'indication que la personne concernée est armée, violente ou s’est échappée ; l'autorité qui a introduit le signalement ; les liens vers d'autres signalements introduits dans le SIS conformément à l'article 48 du règlement (UE) 2018/1861 ou à l'article 63 du règlement (UE) 2018/1862.

Lorsque l'alerte concerne des personnes recherchées inconnues, seules les données dactyloscopiques peuvent être traitées, qu'il s'agisse d'empreintes digitales ou palmaires complètes ou incomplètes, qui, en raison de leur caractère unique et des points de référence qu'elles contiennent, devraient permettre de réaliser des comparaisons précises et concluantes en ce qui concerne l'identité d'une personne.

Le Contrôleur européen de la protection des données (CEPD / EDPS) contrôle les traitements de données dans le système central du SIS (géré par eu-LISA). Les autorités nationales de contrôle, dont fait partie l'APD, contrôlent la licéité des activités de traitement de données dans le cadre du système national du SIS, leur transmission, et l'échange et le traitement ultérieur d'informations supplémentaires.

A cet égard, l’APD effectue tous les quatre ans un ensemble d’audits des activités de traitement des données dans le cadre du N.SIS.

Par ailleurs, le Coordinated Supervision Committee (CSC) a été créé au sein du Comité européen de la protection des données regroupant l’EDPS ainsi que les autorités nationales de contrôle afin d’assurer un contrôle homogène des systèmes européens dont le SIS fait partie. Le CSC se réunit régulièrement (en pratique quatre fois par an) et permet au groupe de s’échanger des informations pertinentes, s’assister mutuellement dans la réalisation des audits et des enquêtes, d’étudier et d’apporter des réponses communes aux problèmes liés au cadre légal et à l’implémentation pratique du système ainsi que pour promouvoir les droits des personnes concernées.

La personne concernée doit pouvoir exercer les droits relatifs à ses données à caractère personnel traitées dans le SIS, tels que prévus aux articles 15, 16 et 17 du RGPD et aux articles 14 et 16, paragraphes 1 et 2, de la Directive (EU) 2016/680, et conformément aux règlements SIS. En outre, les personnes concernées ont le droit d’exercer un recours pour faire valoir ces droits.

La personne concernée dispose donc des droits suivants :

• le droit d'accès aux données la concernant traitées dans le SIS ;
• le droit de rectification des données inexactes ;
• le droit à l'effacement lorsque les données ont été conservées de manière illicite ;
• le droit d'introduire un recours devant les tribunaux ou les autorités de contrôle compétentes afin d'avoir accès à des données, de faire rectifier ou d'effacer des données, d'obtenir des informations ou d'obtenir réparation en rapport avec un signalement la concernant.

Toute personne exerçant l'un de ces droits peut s'adresser aux autorités compétentes d'un État Schengen de son choix. Cette option est possible car toutes les bases de données nationales (N.SIS) sont identiques à la base de données centrale (SIS Central). Par conséquent, ces droits peuvent être exercés dans n'importe quel pays Schengen, quel que soit l'État qui a introduit le signalement.

Toutefois, l'État membre qui reçoit la demande de la personne concernée doit consulter au préalable l'État membre qui a introduit le signalement avant de fournir à la personne concernée des informations sur les données traitées dans le SIS.

Afin d'aider les personnes concernées à exercer leurs droits, le CSC a publié un guide d’exercice des droits d’accès, de rectification et d'effacement référencé dans la partie « Liens intéressants » de cette page web. Le guide reprend dans sa partie 3 la liste des autorités nationales compétentes pour traiter les demandes des personnes concernées, la manière dont les demandes doivent être adressées, y compris les exigences nationales éventuelles, et les moyens mis à disposition à cette fin.

Indépendamment des procédures nationales spécifiques applicables au traitement des demandes d'accès, de rectification ou d'effacement des données traitées dans le SIS, la réponse à la personne concernée doit être fournie dans un délai commun strict.

La personne concernée est informée dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, du suivi donné à l'exercice du droit. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, auquel cas la personne concernée est informée de cette prolongation dans un délai d'un mois à compter de la réception de la demande, ainsi que des raisons du retard.

Droit d'accès

Le droit d'accès aux données traitées dans le SIS est prévu à l'article 53, paragraphe 1, du règlement (UE) 2018/1861 et à l'article 67, paragraphe 1, du règlement (UE) 2018/1862 qui renvoient au droit d'accès prévu à l'article 15 du RGPD et à l'article 14 de la LED.

Cela signifie que la personne concernée a le droit d'obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées dans le SIS et, lorsqu'elles le sont, d'accéder à ces données à caractère personnel ainsi qu'aux informations suivantes :

• la finalité du traitement ;
• les catégories de données à caractère personnel concernées ;
• les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier à des pays tiers ou à des organisations internationales ;
• la durée de conservation prévue des données à caractère personnel ;
• l'existence du droit de demander la rectification de données inexactes ou l'effacement de données stockées illégalement ;
• le droit d'introduire une réclamation ;
• la communication de la source des informations lorsque les données sont collectées auprès d'un tiers.

Toutefois, le droit d'accès est exercé conformément à la législation de l'État membre dans lequel la demande est présentée, et l'accès aux données peut faire l'objet de limitations, c'est-à-dire d'une décision de ne pas fournir des informations à la personne concernée, en tout ou en partie. Cela est possible dans la mesure où cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne concernée, pour:

• éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;
• éviter de nuire à la prévention et à la détection d'infractions pénales, aux enquêtes et aux poursuites en la matière, ou à l'exécution de sanctions pénales ;
• protéger la sécurité publique ;
• protéger la sécurité nationale ; ou
• protéger les droits et libertés d'autrui.

Dans ce cas, le demandeur est informé par écrit, sans retard indu, de tout refus ou de toute limitation d’accès, à moins que la communication de cette justification ne compromette l'un des objectifs susmentionnés. L'autorité qui reçoit la demande d'accès informe le demandeur qu'il peut introduire une réclamation auprès de l'autorité de protection des données ou former un recours juridictionnel.

En cas de refus total ou partiel d'accès, les personnes concernées peuvent exercer leurs droits à l'égard du SIS par l'intermédiaire de l'autorité de protection des données compétente. Le guide du CSC d’exercice des droit d’accès, de rectification et d'effacement référencé dans la partie « Liens intéressants » de cette page web publie également le nom et les coordonnées des autorités de contrôle de la protection des données dans chaque État Schengen.

Droits de rectification et d'effacement des données

Outre le droit d'accès, il existe également le droit d'obtenir la rectification de données à caractère personnel factuellement inexactes ou incomplètes ou le droit de demander l'effacement de données à caractère personnel stockées illégalement (article 53, paragraphe 1, du règlement (UE) 2018/1861 et article 67, paragraphe 1, du règlement (UE) 2018/1862).

Dans le cadre juridique de Schengen, seul l'État membre responsable de l'introduction d'un signalement dans le SIS peut le modifier ou le supprimer (voir l'article 44, paragraphe 3, du règlement (UE) 2018/1861 et l'article 59, paragraphe 3, du règlement (UE) 2018/1862).

Si la demande est présentée dans un État membre qui n'a pas introduit le signalement, les autorités compétentes des États membres concernés coopèrent pour traiter le cas, en échangeant des informations et en procédant aux vérifications nécessaires.

Le demandeur doit fournir les motifs de sa demande de rectification ou d'effacement des données et rassembler toutes les informations pertinentes à l'appui de celle-ci.

Recours : droit de déposer une plainte auprès de l'autorité chargée de la protection des données ou d'engager une procédure judiciaire.

Les articles 54 du règlement (UE) 2018/1861 et 68 du règlement (UE) 2018/1862 présentent les recours dont disposent les personnes lorsque leur demande n'a pas été satisfaite. Toute personne peut saisir les tribunaux ou l'autorité compétente en vertu de la législation de tout État membre pour accéder, rectifier, effacer, obtenir des informations ou obtenir une indemnisation en rapport avec un signalement la concernant.

En cas de plainte présentant un élément transfrontalier, les autorités de contrôle doivent coopérer entre elles afin de garantir les droits des personnes concernées.

L’exercice des droits d’accès, de rectification et d’effacement concernant le SIS diffère selon que le signalement est traité aux fins de non-admission ou d'interdiction de séjour dans l’espace Schengen ou aux fins de la coopération policière et judiciaire en matière pénale.

Si votre demande concerne un signalement traité aux fins de non-admission ou d'interdiction de séjour dans l’espace Schengen résultant d'une décision administrative prise par l’Office belge des étrangers, elle doit être adressée à cet Office :

Office des étrangers
Bureau CSIS
Boulevard Pacheco 44, 1000 Bruxelles
e-mail : csis@ibz.fgov.be

A défaut de réponse de l’Office des étrangers dans le délai de principe d’un mois à compter de la réception de votre demande ou si cette réponse n’est pas satisfaisante, vous pouvez introduire une réclamation auprès de l’Autorité de protection des données.

Si votre demande concerne un autre signalement introduit par les autorités belges (aux fins de la coopération policière et judiciaire en matière pénale), elle doit être adressée à l’Organe de contrôle de l’information policière :

Organe de contrôle de l’information policière
Rue de Louvain 48, 1000 Bruxelles
e-mail : info@organedecontrole.be
site internet : www.organedecontrole.be

Conformément à l’article 42 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, l’Organe de contrôle de l’information policière communique en principe uniquement à la personne concernée qu’il a été procédé aux vérifications nécessaires.

Si le signalement a été introduit par un autre Etat membre, la demande sera utilement adressée à l’organisme compétent et selon les modalités figurant dans le guide du CSC d'exercice des droits d'accès, de rectification et d'effacement référencé dans la partie « Liens intéressants ».

Des conditions de recevabilité s’appliquent à la demande d’exercice des droits auprès de l’Office des étrangers et l’Organe de contrôle de l’information policière : elle doit être écrite, datée et signée par la personne concernée ou son avocat. La personne concernée doit également apporter la preuve de son identité en joignant une copie d’un document d’identité (recto-verso). Un avocat doit apporter la preuve de sa qualité et joindre également le mandat donné par son client. La demande doit indiquer clairement l’objet de la demande, notamment le type de signalement sur lequel elle porte. A défaut de ces éléments, la demande pourrait être déclarée non-recevable.

Si vous choisissez néanmoins d’introduire votre demande concernant le SIS à l’APD, l’objet de la demande et le type de signalement (aux fins de non-admission ou d'interdiction de séjour/entry ban ou sur un signalement aux fins de coopération policière et judiciaire en matière pénale) doivent être clairement indiqués, car en Belgique différentes organisations sont compétentes selon la finalité de la demande. A défaut, la demande peut être clôturée.