Frontex a transféré illégalement des données sur les migrants et les militants à Europol pendant des années.
Sous couvert de lutte contre la traite des êtres humains, l'agence européenne de surveillance des frontières, Frontex, a collecté des données personnelles pendant des années lors d'interrogatoires secrets de migrants à leur arrivée en Europe, sans aucune garantie juridique fondamentale. Entre 2016 et 2023, l'agence a transféré illégalement les données de plus de 13 000 personnes à Europol, l'agence européenne chargée de l'application de la loi. Ces données ont été stockées dans des fichiers de renseignements criminels destinés aux enquêtes policières des États membres. Une enquête menée par Le Monde, Solomon et EL PAÍS, basée sur des centaines de pages de documents internes et des entretiens avec des experts en protection des données et des avocats, révèle l'implication de Frontex et d'Europol dans des pratiques opaques et juridiquement douteuses qui conduisent à la criminalisation des migrants et des militants européens qui les aident ou ont été en contact avec eux. L'agence aux frontières a été contrainte de modifier ses protocoles de transfert de données à la suite d'un rapport d'un organisme européen indépendant jugeant cette pratique illégale.
« Toute ma vie était dans ce dossier de police : mes proches, mes appels à ma mère, et même de fausses informations sur ma vie sexuelle. Ils voulaient me présenter comme une femme aux mœurs légères, une lesbienne, en utilisant la morale pour me rendre suspecte », raconte Helena Maleno, 54 ans, une défenseure des droits humains espagnole , prise pour cible par les forces de l'ordre pour son travail d'information sur les personnes en danger qui tentaient de rejoindre l'Europe par la mer. Ce sont les enquêtes criminelles, ouvertes il y a plus de dix ans par les autorités espagnoles et marocaines, qui ont révélé l'ampleur du blocus policier qui l'entourait.
Le dossier de Maleno constitué par la police nationale espagnole comprenait, entre autres, trois documents de Frontex contenant des détails sur les entretiens menés par des agents européens avec des migrants arrivés par bateau en Espagne entre 2015 et 2016. Ces rapports, auxquels cette enquête a eu accès, contenaient des informations, notamment son compte Facebook, la présentant comme suspecte de traite d'êtres humains. La police espagnole avait obtenu ces rapports auprès de la base de données criminelles d'Europol fin 2016.
Depuis des années, les défenseurs des droits humains alertent sur les tentatives de criminalisation des migrants en situation irrégulière et des citoyens de l'UE qui apportent leur aide aux frontières européennes, souvent sur des bases juridiques fragiles. Des centaines de migrants ou de militants des droits humains sont arrêtés chaque année, accusés de faciliter l'immigration irrégulière.
Helena Maleno n'était pas la seule à être confrontée à ce problème. Le Norvégien Tommy Olsen et l'Autrichienne Natalie Gruber, deux militants bien connus, ont également vu leurs données personnelles incluses dans la base de données criminelles d'Europol.
À la recherche d'informationsLes premiers soupçons sur les échanges entre Frontex et Europol remontent à juin 2022, lorsque le Contrôleur européen de la protection des données (CEPD), une autorité indépendante, a émis des avis négatifs sur les règles de Frontex concernant le traitement des données et a lancé une enquête.
Le CEPD a procédé ainsi après avoir analysé les entretiens dits de débriefing que les agents de Frontex mènent avec les autorités nationales auprès des migrants à leur arrivée sur les côtes européennes, entretiens qui sont, en théorie, volontaires. Au cours de ces entretiens, on leur pose des questions sur le motif de leur voyage, le parcours ou le mode opératoire éventuel des réseaux de traite des êtres humains. Le rapport du CEPD remet en question le caractère volontaire de ces entretiens, affirmant qu'« en raison de la vulnérabilité des personnes interrogées et de la manière dont elles formulent les questions, leur caractère volontaire ne peut pas toujours être garanti ». Fran Morenilla, avocate spécialisée dans l'aide aux migrants, abonde dans le même sens : « Il n'existe aucune trace de ces entretiens, car il n'existe aucun formulaire de consentement signé. »
Deuxièmement, le CEPD s'est enquis de l'utilisation des informations collectées. Contrairement à Europol, Frontex n'a pas de mandat légal pour enquêter sur des crimes ou collecter des données personnelles afin d'identifier des suspects. Le CEPD a critiqué Frontex pour avoir systématiquement qualifié de « suspects » toute personne mentionnée lors d'un débriefing et pour avoir « transmis » ces informations à Europol, notamment « des données sur des personnes dont la personne interrogée a entendu parler ou qu'elle a vues, mais dont elle n'a pas pu vérifier la crédibilité du nom donné, ou si le nom est mentionné par peur ou dans le but d'en tirer un quelconque avantage ».
En vertu du mandat actuel de Frontex, en vigueur depuis 2019, l'agence n'est autorisée à partager ces données avec Europol qu'au cas par cas.
Suite aux enquêtes du CEPD, un courriel envoyé en décembre dernier par Nayra Pérez, alors responsable du bureau de protection des données de Frontex, au directeur exécutif Hans Leijtens et à son adjoint, Uku Särekanno, résumait un verdict sans appel : « Le CEPD a conclu que l’Agence avait transmis illégalement des données personnelles opérationnelles à Europol pendant quatre ans », écrivait-elle. De fait, le rapport d’enquête final, axé sur les transmissions de données entre 2019 et mi-2023, confirmait que Frontex transmettait « automatiquement » chaque signalement à ses collègues basés à La Haye. Déjà en 2015, dans un précédent rapport, l’agence avait averti que les transferts automatiques de Frontex « pourraient constituer une violation potentielle du règlement ».
Frontex a suspendu cette pratique quatre jours seulement après le rapport préliminaire du CEPD en mai 2023, qui comportait un avertissement. L'agence a depuis révisé ses protocoles : les données personnelles ne sont désormais partagées avec Europol qu'en réponse à des demandes « spécifiques et justifiées ». Sur les 18 demandes soumises avant mai 2025, Frontex n'en a approuvé que quatre. « L'agence a tiré des enseignements clairs de cette expérience », a déclaré Chris Borowski, porte-parole de Frontex, lors de cette enquête.
Europol hésite à supprimer les données envoyées illégalement, comme l'exige le droit européen. Son porte-parole, Jan Op Gen Oorth, affirme que le fait que le CEPD ait réprimandé Frontex « ne signifie pas que le traitement des données par Europol n'était pas conforme ». Niovi Vavoula, experte en protection des données à l'Université du Luxembourg, souligne quant à elle que l'interdiction des transferts automatisés est une première étape, mais que « la responsabilité d'Europol de supprimer les données reçues illégalement ne peut être ignorée ».
Une copie du rapport final du CEPD (daté de décembre 2024) obtenue dans le cadre de cette enquête révèle l'ampleur des transferts de données. Entre 2020 et 2022, selon les rapports de Frontex, Europol a traité les données personnelles de 937 personnes considérées comme suspectes et émis 875 « rapports de renseignement », destinés aux autorités nationales répressives enquêtant sur le trafic de migrants . Mais cela ne représente qu'une infime partie des rapports concernant plus de 13 000 personnes – avec leurs noms, numéros de téléphone et comptes Facebook, entre autres informations collectées – que l'agence des frontières a transmis au Centre de lutte contre le trafic de migrants d'Europol entre 2016 et 2023. Maleno figurait parmi eux. Olsen et Gruber soupçonnent qu'ils l'étaient aussi.
Transformer les gens en « suspects »Frontex ne collecte pas de données personnelles auprès des personnes interrogées et présente les débriefings de ceux qui partagent des informations comme étant entièrement volontaires, mais les rapports du CEPD et des experts juridiques suggèrent le contraire.
Les experts juridiques affirment que les personnes interrogées manquent de garanties juridiques, comme la présence d'un avocat, car les autorités insistent sur le fait que cela n'est pas nécessaire puisque les migrants ne sont pas détenus. Daniel Arencibia, avocat spécialisé dans les dossiers de migrants accusés de trafic illicite aux îles Canaries, affirme que les interventions de Frontex lors de ces entretiens « se déroulent dans une boîte noire, en l'absence de procédure pénale régulière ou de garanties juridiques susceptibles de limiter l'exposition des migrants vulnérables à la criminalisation ».
| DATE | ÉVÉNEMENT |
|---|---|
| Janvier 2016 | Début des transferts automatiques de données entre Frontex et Europol |
| Novembre 2016 | Europol envoie les rapports de Frontex sur Helena Maleno à la police espagnole. |
| Octobre 2022 | Le CEPD effectue un audit des transferts de données au siège de Frontex. |
| Novembre 2022 | Audition sur les transferts Frontex-Europol au Parlement européen |
| 24 mai 2023 | Le CEPD communique les résultats de l'enquête à Frontex |
| 29 mai 2023 | Frontex suspend les transferts automatiques de données vers Europol |
| Novembre 2023 | Frontex reprend les transferts de données au cas par cas vers Europol |
| 8 janvier 2025 | Le CEPD réprimande publiquement Frontex pour des transferts de données illégaux. |
| 21 janvier 2025 | Frontex informe Europol de transferts de données illégaux |
Gabriella Sánchez, chercheuse à l'Université de Georgetown et ancienne enquêtrice criminelle spécialisée dans le trafic de migrants, soutient que la notion de trafic utilisée par Frontex et Europol suppose que tous les passeurs sont organisés en réseaux et repose sur des idées racistes à l'égard des passeurs. Or, en réalité, les migrants sont systématiquement accusés de faciliter leur propre trafic, ce qui accélère leur criminalisation. Autrement dit, des milliers de personnes dans l'UE sont prises au piège de la collecte de données.
Tommy Olsen, un instituteur norvégien de 52 ans, ignorait que Frontex et Europol détenaient des informations sur lui. Depuis des années, il alerte les autorités lorsque des personnes entreprenant le périlleux voyage de la Turquie vers la Grèce sont en danger et documente les refoulements violents perpétrés par les garde-côtes grecs. Depuis 2019, il fait l'objet de multiples enquêtes criminelles en Grèce, accusé d'implication dans le trafic de migrants, accusations qu'il nie.
Les demandes d'accès à l'information (FOI) soumises à Europol dans le cadre de cette enquête révèlent que l'agence dispose d'au moins trois « notifications de renseignement » mentionnant l'Aegean Boat Report, l'organisation unipersonnelle d'Olsen. Europol a refusé d'en divulguer le contenu, qu'elle considère comme « hautement sensible » et « pertinent pour les enquêtes passées et en cours ». En mai 2024, un procureur grec de l'île de Kos a émis un nouveau mandat d'arrêt contre le Norvégien. Bien que sept enquêtes policières antérieures à son encontre aient déjà été clôturées, il risque désormais une peine de 20 ans de prison.
« J'ignorais totalement qu'Europol détenait des fichiers sur moi. Pourquoi collectent-ils et partagent-ils des données sur mes activités et sur mon organisation, qui se contente de défendre les droits des réfugiés ? » demande Olsen.
Avec plus de 800 agents de débriefing déployés dans ses opérations en 2024, ces entretiens constituent, selon le CEPD, la « plus grande collecte opérationnelle de données personnelles » de Frontex. « Il est extrêmement difficile d'analyser précisément comment Frontex échange des données avec d'autres acteurs, car les avocats sont tenus dans l'ignorance », souligne Arencibia.
Olsen n'est pas la seule concernée. En mai 2022, Natalie Gruber, militante autrichienne de 35 ans, a appris l'existence d'une affaire Europol contre elle après avoir soumis une demande d'accès à ses données. Cofondatrice de Josoor, une ONG qui documente les refoulements de Bulgarie et de Grèce vers la Turquie , Mme Gruber est devenue suspecte après que le parquet grec a porté plusieurs accusations, notamment pour facilitation d'entrée illégale de migrants. L'une des affaires ouvertes a été classée sans suite l'année dernière, mais la seconde reste ouverte.
Europol a refusé de divulguer les rapports d'Olsen et de Gruber pour des raisons de confidentialité, arguant que cela pourrait « compromettre les enquêtes criminelles ». Gruber a contesté ce refus auprès du CEPD, mais sa plainte n'a toujours pas été résolue en 2022. « On se retrouve face à une bureaucratie colossale qui ne nous dit jamais rien. On ne peut que soumettre une nouvelle demande et attendre. C'est épuisant et cela affecte profondément notre vie », déplore l'Autrichienne.
On ignore encore comment Europol a obtenu les informations sur Gruber et Olsen, et si elles ont contribué à l'enquête pénale engagée contre eux. La demande de données concernant Olsen, soumise à Europol en avril, est en cours d'examen.
Des conséquences profondesLes cas de Maleno, Olsen et Gruber ne représentent qu'une fraction des milliers de personnes et des centaines d'organisations, y compris des ONG humanitaires, qui ont atterri dans les bases de données d'Europol depuis que Frontex a commencé à télécharger des informations sur le programme PeDRA (traitement des données personnelles pour l'analyse des risques) en 2016, malgré les avertissements préalables du CEPD.
Le CEPD met en garde contre les « conséquences profondes » pour les personnes impliquées ; elles courent le risque d'être injustement liées à des activités criminelles dans toute l'UE, avec tous les dommages potentiels que cela implique pour leur vie personnelle et familiale.
Un problème qui persisteEn janvier de cette année, Leijtens a officiellement notifié Europol que les transferts d'informations effectués par son agence jusqu'en 2023 étaient illégaux. Selon Wojciech Wiewiórowski, directeur du CEPD, cette notification oblige Europol à « évaluer les données à caractère personnel concernées par le transfert et à procéder à leur suppression ou à leur restriction ».
Bien que Frontex ait été contrainte de modifier ses protocoles, en mars 2025, son Bureau des droits fondamentaux (BDF) a alerté le conseil d'administration de l'agence sur des cas où des informations issues de débriefings « étaient utilisées pour l'enquête criminelle visant le migrant interrogé et d'autres personnes ». Il a également exprimé son inquiétude quant à « l'accès et la collecte des informations enregistrées sur les téléphones des migrants lors des entretiens ».
Bien que Frontex n'ait pas encore pleinement mis en œuvre toutes les recommandations du CEPD, ses observateurs des droits de l'homme ont désormais accès à certains interrogatoires et, l'année dernière, Leijtens a adopté de nouvelles procédures opérationnelles, bien que non contraignantes, conçues pour renforcer les garanties.
Mais le principe qui sous-tend ces efforts de collecte de données est erroné, affirme l'universitaire Gabriella Sánchez : « Les agences de l'UE justifient souvent la collecte de données sur les migrants par la nécessité de lutter contre les réseaux transnationaux de traite. Cela crée l'illusion que les données sont réellement fiables ou utiles. Or, nous savons que ce n'est pas le cas. »
En 2017, un an après l'ouverture d'une procédure pénale contre Maleno par l'Espagne, le parquet a classé l'affaire sans constat d'infraction pénale. Cependant, l'affaire a été transmise sans procédure régulière aux autorités marocaines, qui l'ont accusée de traite d'êtres humains . Convoquée devant le tribunal de Tanger la même année, Maleno a été stupéfaite d'entendre le juge se référer directement aux rapports de Frontex : « J'étais complètement déconcertée. Le juge m'interrogeait spécifiquement sur les informations contenues dans les documents de la police espagnole et de Frontex. C'était surréaliste, mais j'en ai payé le prix fort. » En 2019, elle a été acquittée de toutes les charges .
Mais des questions demeurent. « Comment est-il possible que Frontex ait interrogé des migrants à mon sujet ? » demande Maleno. « Est-ce vraiment leur mission d'espionner les militants des droits humains ? »
En novembre 2022, la commission des libertés civiles du Parlement européen a tenu sa première audition sur PeDRA, le programme de surveillance peu connu de Frontex qui transfère des données personnelles à Europol.
Uku Särekanno, directeur exécutif adjoint de Frontex, a expliqué aux députés qu'à ce jour, Frontex avait partagé des données sur quelque 13 000 « suspects potentiels » avec Europol. Särekanno a comparu à l'audition aux côtés de deux autres hauts fonctionnaires étroitement impliqués dans la supervision de PeDRA : Jürgen Ebner, directeur adjoint d'Europol, et Mathias Oel, alors haut fonctionnaire à la direction générale de la migration et des affaires intérieures de la Commission européenne.
Dans des déclarations synchronisées, les trois responsables ont affirmé que les transferts de données étaient exceptionnels et régis par un cadre juridique solide.
Särekanno a déclaré à la Commission : « Il ne s’agit pas d’un transfert massif de données, mais d’une évaluation au cas par cas. » « Nous ne recevons pas de données en masse de Frontex ; cela se fait au cas par cas », a fait écho Ebner d’Europol. Les transferts de données personnelles n’ont lieu que de manière ponctuelle ; PeDRA « n’est pas un échange systématique de données », a déclaré Oel.
Cette enquête a révélé, dans une correspondance interne obtenue grâce à une demande d'accès à l'information (FOI), que les trois agences s'étaient auparavant concertées pour « aligner » leurs messages aux députés européens. Interrogé à ce sujet, le porte-parole de Frontex, Chris Borowksi, a déclaré que la déclaration de Sarekano « avait été faite de bonne foi et fondée sur l'accord et le cadre internes en vigueur à l'époque ». Oel a affirmé que « la déclaration était fondée sur des informations fournies par Frontex », ce à quoi Ebner n'a pas répondu.
EL PAÍS
