Selon une enquête du Financial Times (FT), le Parquet européen (EPPO) examine actuellement l’implication d’Atos SE Russie dans le développement du futur système de frontières électroniques de l’Union européenne (EES), destiné à devenir la plus grande base de données biométriques de l'UE. Des documents consultés par le FT révèlent qu’en 2021, le groupe informatique français Atos a fait appel à du personnel basé à Moscou pour l’achat de logiciels essentiels à ce projet sensible, qui vise à collecter et stocker des données personnelles sur tous les visiteurs non-européens.

Cette révélation soulève de sérieuses préoccupations en matière de sécurité, d’autant plus que la filiale moscovite d’Atos opérait sous une licence délivrée par le FSB, l’agence de sécurité russe, permettant théoriquement à celle-ci d’accéder à ses activités en Russie. Quatre sources proches du dossier ont confirmé que des employés basés à Moscou ont directement participé à l’acquisition de logiciels pour le système frontalier de l’UE, un rôle qui, en principe, nécessite une habilitation de sécurité européenne.

Enquêtes en cours et réactions des institutions européennes

L’EPPO a confirmé l’ouverture d’une enquête sur l’implication d’Atos Russie, bien qu’aucune accusation n’ait été formulée à ce stade. De son côté, l’Office européen de lutte antifraude (Olaf) a mené sa propre investigation en 2023, concluant que les mesures de sécurité internes d’EU-Lisa, l’agence en charge de la mise en œuvre de l’EES, étaient insuffisantes. Toutefois, les preuves recueillies n’ont pas justifié l’ouverture d’une enquête formelle pour fraude. L’Olaf s’est abstenu de tout commentaire.

EU-Lisa, de son côté, a affirmé "n’avoir jamais eu de relations contractuelles avec Atos Russie" et assure qu’aucune faille de sécurité n’a été identifiée à ce jour.

Les documents obtenus par le FT montrent que des licences logicielles cruciales pour l’EES ont été achetées via le bureau d’Atos à Moscou, notamment des certificats cryptographiques de la société américaine AppViewX et des logiciels intermédiaires fournis par le groupe suisse Magnolia. Il n'y a toutefous aucune preuve de l’implication d’Atos Russie après l’invasion de l’Ukraine en 2022.

Atos a affirmé s’être entièrement désengagé de ses activités en Russie en septembre 2022. Ni Atos, ni IBM, ni Leonardo – les principaux contractants du projet EES – n’ont souhaité commenter ces informations.

Un ancien employé d’Atos, impliqué dans le projet, a confié au FT qu’il ignorait que des achats de logiciels étaient gérés depuis Moscou, une situation jugée "étrange" étant donné les exigences de sécurité imposées par le contrat principal de l’EES. 

EU-Lisa insiste sur le fait qu’aucun accès à des données sensibles n’a été accordé au personnel russe d’Atos et que le logiciel acheté auprès d’AppViewX n’a jamais été utilisé. Quant à Magnolia, il aurait été en service jusqu’en 2022. La Commission européenne affirme avoir "pleinement confiance dans la capacité d’EU-Lisa à gérer la sécurité de l’EES" et promet un audit de sécurité avant la mise en service du système, conclut le FT.