Eurodac passe sous supervision coordonnée : le CSC prend le contrôle de la base biométrique de l'asile européen

12/6/26
👈 les autres actualités

Vingt-trois ans après sa mise en service, Eurodac — la base de données européenne qui centralise les empreintes digitales des demandeurs d'asile — change de régime de surveillance. Depuis le 12 juin 2026, sa supervision n'est plus éclatée entre les autorités nationales et le Contrôleur européen de la protection des données (EDPS) : elle est désormais coordonnée par le Comité de supervision coordonnée (CSC), l'organe rattaché à l'EDPB qui veille déjà sur les grands systèmes d'information de l'Union. Un changement discret en apparence, mais qui en dit long sur la manière dont l'Europe entend gouverner ses bases de données les plus sensibles.

Ce qui s'est passé

L'EDPB a annoncé le 12 juin que la supervision coordonnée d'Eurodac est officiellement confiée au CSC. Créé pour assurer un contrôle cohérent des systèmes d'information à grande échelle de l'UE, ce comité réunit des représentants des autorités de protection des données nationales — dont la CNIL pour la France — et de l'EDPS. Il fonctionne de manière autonome, adopte ses propres règles de procédure, et son secrétariat est assuré par celui de l'EDPB.

Eurodac n'est pas une base de données comme les autres. Opérationnel depuis le 15 janvier 2003, ce système conçu à l'origine pour comparer les empreintes digitales des demandeurs d'asile et des migrants en situation irrégulière s'est mué en un véritable outil de gestion de l'asile et de la migration. Il joue un rôle central dans l'application du règlement Dublin III, qui détermine l'État membre responsable de l'examen d'une demande d'asile. Tous les États membres l'utilisent, ainsi que l'Islande, le Liechtenstein, la Norvège et la Suisse.

Jusqu'ici, la surveillance reposait sur un partage des rôles : les autorités nationales contrôlaient les traitements opérés par leurs administrations et la transmission des données vers l'unité centrale, tandis que l'EDPS supervisait les traitements au niveau de cette unité centrale. Le CSC vient coiffer l'ensemble pour garantir une approche commune.

Pourquoi c'est important

Eurodac traite des données biométriques de personnes parmi les plus vulnérables — un traitement qui, dans le champ du RGPD, relèverait des catégories particulières de données et des exigences renforcées qui les accompagnent. La supervision coordonnée n'est pas un luxe institutionnel : c'est le mécanisme qui évite que vingt-sept pratiques nationales divergentes ne créent des trous dans la raquette du contrôle.

Cette extension s'inscrit dans une dynamique plus large de structuration du contrôle européen. Le rôle des autorités de contrôle prévues à l'article 51 du RGPD ne s'arrête pas aux frontières nationales : la coopération devient la norme, comme l'illustre aussi l'adoption récente par l'EDPB d'un modèle commun de notification de violation de données. Et l'EDPS, dont le périmètre ne cesse de s'étendre entre AI Act, cybersécurité et données de santé, confirme sa place de pivot du dispositif.

Le sujet biométrique, lui, reste sous haute tension en Europe : la décision de la DPA grecque enterrant un système policier de reconnaissance faciale faute de base légale et d'AIPD a rappelé il y a quelques semaines que les traitements biométriques étatiques ne bénéficient d'aucun passe-droit.

Ce que ça change pour les organisations

Les entreprises privées ne traitent pas avec Eurodac. Mais cette décision intéresse directement les DPO du secteur public, des collectivités et des opérateurs travaillant avec les administrations chargées de l'asile et de la migration : leurs traitements connexes s'inscrivent désormais dans un cadre de supervision unifié, où les positions du CSC feront référence.

Pour tous les autres, c'est un signal de méthode. La logique de supervision coordonnée — un contrôle national de proximité, un contrôle central spécialisé, et un organe de cohérence au-dessus — préfigure la façon dont les futurs systèmes européens (interopérabilité des fichiers, bases sectorielles) seront gouvernés. Les DPO qui interagissent avec la CNIL verront cette dernière porter de plus en plus de positions élaborées collectivement à Bruxelles, plutôt que des doctrines purement hexagonales.

Ce que Leto pense de cette décision

C'est une bonne nouvelle, et un rappel utile. Bonne nouvelle, parce qu'une base biométrique de cette ampleur ne peut pas dépendre d'un patchwork de contrôles nationaux : la cohérence du contrôle est la condition de sa crédibilité. Rappel utile, parce que l'Europe applique à ses propres systèmes la rigueur qu'elle exige des acteurs privés. Les organisations qui voient encore la conformité comme une contrainte franco-française devraient y prêter attention : la gouvernance des données se joue désormais à l'échelle du continent, et elle se renforce.

Sources : Communiqué de l'EDPB du 12 juin 2026

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026