L’accord-cadre entre l'Union européenne et les États-Unis concernant l'échange d'informations aux fins des contrôles de sécurité et des vérifications d'identité entre dans une phase critique. Baptisé « Enhanced Border Security Partnerships » (EBSP), celui-ci prévoit le partage à grande échelle de données à caractère personnel, y compris de données biométriques (empreintes digitales), à des fins de contrôle des frontières et de l'immigration. Les données sur les origines ethniques, les opinions politiques, les croyances religieuses ou philosophiques, ainsi que les informations génétiques ou biométriques, pourraient être transférées dans le cadre de l’accord-cadre pour les EBSP, selon la Commission européenne. Rappelons que les citoyens de l’Allemagne, de la Suisse, des Pays‑Bas, du Royaume‑Uni et de la Croatie bénéficient déjà du programme Global Entry pour bénéficier d'une file « immigration » accélérée avec des bornes automatiques. Ces pays partagent déjà certaines données, alors ce que la France a toujours refusé de faire.  

Malgré un contexte politico-diplomatique tendu entre l’Europe et les Etats-Unis, cet accord pourrait bien être finalisé dans les prochains mois, ces derniers prévoyant de mettre fin au programme d’exemptions de visas des voyageurs européens si le vieux continent ne se plie pas à son exigence de partage de données biométriques. Mais la situation n’est pas si simple : dans une note diplomatique allemande consultée par Euractiv, si la plupart des États membres sont favorables à cet accord, l’un d’entre eux (non précisé) a indiqué « une ligne rouge. »

Bases de données, hébergement et garanties de sécurité en question

En juillet dernier la Commission européenne expliquait que l’EBSP devrait prévoir des règles claires et précises concernant l'échange d' informations entre les États membres et les États-Unis sur les voyageurs franchissant leurs frontières extérieures respectives. Et ce afin de faciliter le contrôle et la vérification de l'identité des voyageurs nécessaires pour déterminer si leur entrée ou leur séjour présenterait un risque pour la sécurité publique ou l'ordre public, et d'aider les autorités compétentes à prévenir, détecter, enquêter et poursuivre les crimes et les infractions terroristes.

Les Etats membres arriveront-ils à se mettre d’accord sur les moyens mis en place pour accéder aux données qui vont alimenter l’EBSP ? Ces dernières seront-elles au niveau des Etats ou centralisées à l’échelle européenne ? Sur quelles technologies et hébergées dans quel endroit, avec quels partenaires et garanties de sécurité et de gouvernance associés ? Pour l'instant, le flou est total et le plus dur est semble-t-il à venir : « Il convient d'expliquer pourquoi une solution via les bases de données de l'UE n'est actuellement pas possible sur le plan juridique et technique », peut-on lire dans la note diplomatique allemande. Les Etats-membres parviendront-ils à s’entendre dans les temps ? Les Etats-Unis, qui tablent sur une mise en place de l’EBSP avant la fin de cette année, pourraient bien perdre patience et être tentés de faire pression sur l’Europe en activant massivement contre elle le levier des interdictions de visa. Celui-ci a déjà été mis en place contre les ressortissants de 12 pays mais également à l’encontre de l’ancien Commissaire européen Thierry Breton, figure de l’Europe et dans le viseur des Etats-Unis depuis décembre dernier.

La CEPD en alerte 

En septembre 2025, le Contrôleur européen de la protection des données (CEPD) n’a pas manqué de faire part de ses craintes concernant l’EBSP, et expliqué qu'une fois finalisé, cet accord créerait un précédent important. L’organisme a aussi souligné la nécessité de veiller à ce que le traitement envisagé des données à caractère personnel ne dépasse pas les limites de ce qui est strictement nécessaire et proportionné.

« Si la sécurité des frontières est un objectif légitime, la gravité de l'atteinte aux droits fondamentaux à la protection des données et à la vie privée, résultant du partage proposé de données à caractère personnel avec un pays tiers à des fins de contrôle des frontières et de l'immigration, devrait être considérée comme comparable à l'atteinte causée par les échanges de données à des fins répressives », expliquait notamment Wojciech Wiewiórowski, Contrôleur européen de la protection des données. « Il est donc primordial de prévoir des garanties complètes et efficaces en matière de protection des données à caractère personnel et des autres droits et libertés fondamentaux des personnes concernées, indépendamment de leur nationalité et de leur lieu de résidence ». Sollicitée pour une réaction sur le sujet, la Cnil n’a pour l’heure pas répondu à nos questions.