• Home  / 
  • DELIBERATION 2007-195

DELIBERATION 2007-195

By Thiébaut Devergranne / 5 years ago

(Demande d’avis n° 1 184 141)
La Commission nationale de l’informatique et des libertés,
Saisie par le ministère de l’intérieur d’une demande d’avis portant sur le projet de décret pris pour l’application de l’article L. 611-6 du code de l’entrée et du séjour des étrangers et du droit d’asile, portant création d’un traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d’un visa et modifiant la partie réglementaire de ce même code ;
Vu la convention n°108 du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l’entrée et du séjour des étrangers et du droit d’asile, notamment son article L. 611-6 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et notamment son article 27 ;
Vu la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Après avoir entendu M. François GIQUEL, commissaire, en son rapport, et Mme Catherine POZZO DI BORGO, commissaire adjointe du gouvernement, en ses observations ;
Emet l’avis suivant :
La Commission a été saisie par le ministère de l’intérieur d’une demande d’avis portant sur le projet de décret pris pour l’application de l’article L. 611-6 du code de l’entrée et du séjour des étrangers et du droit d’asile (CESEDA), portant création d’un traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d’un visa et modifiant la partie réglementaire de ce même code.
Le nouveau traitement dénommé VISABIO généralise les expérimentations menées depuis 2004 par le ministère de l’intérieur et le ministère des affaires étrangères dans le cadre du programme BIODEV autorisé par le décret du 5 octobre 2004. Il s’agit désormais de collecter les données biométriques (photographie numérisée et empreintes digitales des dix doigts) de tous les demandeurs de visa et de les conserver dans deux bases centrales reliées par un lien chiffré, avec les données d’identité qui étaient déjà précédemment recueillies. Plus de deux millions d’étrangers ressortissants de pays soumis à l’obligation de visa seront concernés chaque année.
Lors du passage aux postes de contrôle de la frontière, le fonctionnaire habilité de la police de l’air et des frontières ou des douanes procèdera au contrôle de la validité du visa et de l’identité de son détenteur par comparaison des empreintes de l’intéressé avec celles figurant dans les bases centrales. Le traitement VISABIO sera aussi accessible par les consulats (au moment de la délivrance des visas), les préfectures, les services de police et de gendarmerie (pour les contrôles sur le territoire), et les services habilités de la police nationale, de la gendarmerie et des services de renseignements du ministère de la défense chargés des missions de prévention et de répression du terrorisme.
La Commission relève que le traitement VISABIO contient, outre les données sur les visas de court séjour, celles qui sont relatives aux demandeurs des autres types de visas.
La Commission considère que ce traitement relève du 2° du I de l’article 27 de la loi du 6 janvier 1978 modifiée.
A titre préliminaire, la Commission observe que, si le projet de décret qui lui est soumis est pris en application de l’article L. 611-6 du code de l’entrée et du séjour des étrangers et du droit d’asile, il intervient dans le domaine de la délivrance des visas, qui, au moins pour les visas de court séjour (représentant 95 % du total des visas), relève de la compétence communautaire. Dès lors, ses dispositions doivent être pleinement compatibles avec le droit communautaire en vigueur en ce domaine et prévoir leur adéquation avec les dispositions futures.
Elle relève à cet égard que le règlement du Parlement européen et du Conseil concernant le système d'information sur les visas (VIS) et l'échange de données entre les Etats membres sur les visas de court séjour, a fait l’objet d’un accord entre les autorités co-décisionnaires et sera formellement adopté dans les semaines à venir. En outre, une proposition de modification des Instructions consulaires communes (ICC), visant notamment à définir les modalités de la collecte obligatoire des données biométriques traitées dans le cadre du VIS, est actuellement en cours de discussion dans le cadre de l’établissement d’un Code communautaire des visas.
Sur la généralisation des éléments biométriques dans les visas
La Commission considère que les éléments biométriques peuvent avoir des avantages réels pour la vérification de l’identité du porteur du visa et de l’authenticité du titre, mais que l’ensemble du traitement doit être entouré de strictes garanties.
Elle rappelle que le traitement, sous une forme automatisée et centralisée, de données telles que les empreintes digitales, compte tenu à la fois des caractéristiques de l’élément d’identification physique retenu, des usages possibles de ces traitements et des risques d’atteintes graves à la vie privée et aux libertés individuelles en résultant, ne peut être admis que dans la mesure où des exigences en matière de sécurité ou d’ordre public le justifient. En revanche, la conservation par l’intéressé de ses propres données biométriques dans une carte individuelle pose moins de problèmes du point de vue de la protection des données à caractère personnel.
C’est pourquoi la Commission regrette que pour les visas cette dernière solution, expérimentée pendant quelques mois dans le traitement BIODEV, soit abandonnée, sans que tous les éléments de la comparaison entre la carte individuelle stockant les données biométriques et le dispositif de base centrale aient été réunis.
Sur les bilans des expérimentations précédentes
La Commission avait demandé, dans ses délibérations n° 04-075 du 5 octobre 2004 et n° 2005-313 du 20 décembre 2005 sur le traitement BIODEV, qu’une étude approfondie soit conduite, de façon indépendante et selon une méthodologie précisément définie, sur les expérimentations menées.
Tout en se félicitant de la démarche progressive qui a été adoptée, la Commission souligne que les expérimentations conduites semblent l’avoir été de façon plus limitée que prévu. Outre l’abandon, dès BIODEV II, du « visa électronique » à puce, le nombre de consulats équipés pour la biométrie fin 2006 est resté sensiblement inférieur à ce qui était programmé par BIODEV II (25 sur 40), de sorte que la base centrale alimentée depuis mars 2005 ne contenait, en décembre 2006, que 100 000 visas biométriques, soit 2,80 % du total des visas émis pour la période considérée. Elle relève également que le nombre de postes équipés dans les points de contrôle aux frontières est resté en-deçà des prévisions.
De surcroît, deux des modalités principales du fonctionnement du traitement n’ont pas été expérimentées : la consultation des bases centrales par les agents consulaires afin de prévenir les usurpations d’identité, et les contrôles à l’intérieur du territoire, à la différence de ce qui était prévu par le décret du 20 décembre 2005.
Enfin, bien qu’un certain nombre d’éléments d’appréciation et des bilans partiels aient été fournis, l’évaluation d’ensemble prévue à l’article 8 du décret n° 2004-1266 du 25 novembre 2004 n’a pas été réalisée. La CNIL ne dispose donc pas d’une étude indépendante, globale, reposant sur des critères et des objectifs bien identifiés.
Sur la notion de responsable du traitement
Dans la mesure où le ministère de l’intérieur et le ministère des affaires étrangères déterminent conjointement la finalité et les moyens du traitement, s’agissant en particulier de ses modalités d’alimentation et de consultation, ils doivent être considérés comme responsables conjoints du traitement.
A cet égard, la Commission prend acte qu’à sa demande, le projet d’article R. 611-8 du CESEDA a été modifié dans les termes suivants : « Est autorisée la création par le ministère des affaires étrangères et le ministère chargé de l’immigration d’un traitement automatisé de données à caractère personnel pris pour l’application de l’article L. 611-6 dénommé VISABIO ».
Sur les finalités et les destinataires du traitement
La Commission considère comme légitime la finalité principale du traitement qui est de « mieux garantir le droit au séjour des personnes en situation régulière et de lutter contre l’entrée et le séjour irréguliers des étrangers en France », ce qui montre qu’il ne s’agit pas d’un fichier d’identification des étrangers consultable en toutes circonstances. Elle estime que la volonté de préciser les différents objectifs qui concourent à cette finalité devrait avoir pour corollaire une distinction plus affirmée entre les différents destinataires et modes d’accès au traitement en fonction de ces objectifs.
Le projet de décret prévoit d’ajouter notamment aux destinataires mentionnés dans les deux décrets précédents les agents des préfectures compétents pour la délivrance et la prorogation des visas et les agents du ministère de l’économie et des finances (douanes) chargés du contrôle aux frontières. Au total, une fois le système étendu à l’ensemble des services de police, de gendarmerie et des douanes, près de 5000 postes de consultation munis de capteurs-lecteurs d’empreintes seraient installés, outre ceux des postes consulaires.
La Commission prend acte que le recours à la base centrale, aux fins de vérification de l’authenticité des visas et de l’identité des étrangers, ne s’effectuera, soit en consultation, soit en alimentation, que par les agents individuellement désignés et spécialement habilités des services de la police de l’air et des frontières chargés de la délivrance ou du contrôle des visas. Elle demande que les profils d’utilisateur soient précisément définis en fonction de la finalité rappelée ci-dessus et des tâches spécifiques des agents, et que, lors du contrôle aux frontières, l’accès à la base centrale ne se fasse qu’à partir du numéro de la vignette visa seul ou en association avec la vérification des données biométriques.
La Commission prend acte également que, pour les contrôles sur le territoire national, seuls ont accès aux données de VISABIO des officiers de police judiciaire individuellement désignés et spécialement habilités ainsi que les officiers de police judiciaire de la direction centrale de la police judiciaire et de la direction générale de la gendarmerie nationale, pour des missions de vérification d’identité prévues par l’article 78-3 du code de procédure pénale, de contrôle de l’authenticité des visas et de la régularité du séjour.
La Commission prend acte qu’à sa demande, le II du projet d’article R. 611-12 du CESEDA prévoit expressément une procédure de désignation-habilitation pour les services chargés de la prévention et de la répression des actes de terrorisme.
Elle demande aussi que soit indiqué dans le projet de décret, pour chaque type d’accès, la ou les données permettant d’entrer dans la base centrale et d’obtenir telle ou telle catégorie d’informations.
La Commission estime enfin que, dans la mesure où le nouveau dispositif prévoit d’enregistrer les entrées et sorties des titulaires de visas, il pourrait être envisagé de constituer le sous-ensemble des personnes s’étant maintenues en situation irrégulière à l’expiration de la durée de leur visa et d’organiser un accès pour les contrôles sur le territoire national à cette seule partie de la base centrale, afin de mieux proportionner l’utilisation de VISABIO à ses objectifs.
Sur les données enregistrées
La Commission prend acte qu’il est prévu de collecter et mémoriser les images numérisées de la photographie et des empreintes des dix doigts des demandeurs de visas, certaines données issues du Réseau Mondial Visas sur l’identité, le titre de voyage et les caractéristiques du visa, ainsi que les données recueillies lors des entrées et sorties du détenteur de visa (date de première entrée, date de dernière entrée et date de sortie).
Sur les empreintes digitales
La Commission rappelle que la collecte des empreintes digitales n’est pas toujours physiquement possible, ni exploitable, d’une part, et que toute comparaison biométrique comporte un taux incompressible de faux rejets, d’autre part. La Commission prend acte à cet égard que le projet de décret précise que « l’impossibilité de collecte totale ou partielle des empreintes digitales sera mentionnée dans le traitement. »
La Commission prend aussi acte que l’âge à partir duquel seront enregistrées les empreintes digitales est fixé à six ans dans le projet de décret. Elle rappelle à cet égard que le Groupe Article 29 a considéré, dans son avis 3/2007 du 1er mars 2007 sur le projet de règlement modifiant les instructions consulaires communes, que l’âge à partir duquel les empreintes sont relevées n’est pas seulement un élément technique mais une question de principe méritant un large débat voire un amendement à la convention sur les droits de l’enfant. Pour préserver la dignité de la personne et pour garantir la fiabilité de la procédure, la collecte et le traitement des empreintes digitales doivent être limités pour les enfants.
Sur la durée de conservation et la reprise des éléments biométriques après une première demande
Elle prend acte que l’ensemble des données traitées par VISABIO seront conservées pour une durée de cinq ans à compter de leur date d’inscription.
Sur l’enregistrement des dates d’entrée et de sortie du titulaire du visa
La collecte et l’enregistrement des dates d’entrée et de sortie du territoire du titulaire du visa, qui ne sont pas prévus par le projet de règlement communautaire relatif au VIS, seraient destinés à répondre à une finalité strictement nationale tendant à faciliter l’obtention des visas par les personnes ayant respecté les dates de validité de leurs visas précédents. Ces opérations alimenteraient une « liste d’attention » constituée des personnes qui, a priori, n’auraient pas respecté ces dates de validité, c’est-à-dire dont la date de sortie n’aurait pas été enregistrée dans le traitement.
La Commission relève qu’en l’absence de l’implantation systématique dans les autres Etats membres de l’Union européenne d’un tel dispositif, son utilité réelle apparaît structurellement limitée, puisque, muni d’un « visa uniforme » Schengen, le détenteur peut se déplacer librement sur tout le territoire européen et choisir n’importe quel point de sortie. Elle considère qu’il y a donc un risque réel de rupture d’égalité devant la loi pour des étrangers étant de bonne foi mais ressortis par un point de sortie n’enregistrant pas ces informations. Elle estime que le recueil et le traitement de ces données n’est pas, en l’état, pertinent.
Le traitement de la photographie
La Commission prend acte de l’indication faite dans le projet de décret selon laquelle il n’est pas recouru à la technique automatisée de la reconnaissance faciale et que la photographie ne peut être utilisée directement à des fins de recherche.
Sur l’externalisation de la collecte des données
La Commission prend acte que la possibilité d’externaliser la collecte des données, par le recours à des prestataires privés chargés de collecter l’ensemble des données personnelles mentionnées à l’art. R. 611-9, y compris les données biométriques, est reportée et retirée du projet de décret.
Sur les sécurités du traitement
La Commission considère que les éléments qui lui ont été progressivement communiqués, à sa demande, sur la sécurité globale du dispositif, dans sa nouvelle configuration, sont techniquement satisfaisants.
Elle prend acte qu’à sa demande, le projet de décret prévoit une évaluation du dispositif tous les trois ans qui donnera lieu à un rapport transmis à la CNIL, sans préjudice de son contrôle spécifique du point de vue de la protection des données. La Commission estime que les modalités de cette évaluation, qui ne devrait pas porter seulement sur les aspects techniques, pourraient être précisées dans un arrêté complémentaire pris après avis de la CNIL.
La Commission estime que, compte tenu de l’importance de cette base centrale, le décret devrait prévoir qu’en cas d’événement particulièrement grave, une procédure de destruction en urgence des fichiers puisse être engagée, afin d’éviter qu’il puisse être utilisé comme un fichier des étrangers pour des fins non voulues par les autorités nationales.
Sur l’information et le droit d’accès des personnes
La Commission relève qu’il est prévu d’informer les intéressés de leurs droits par des mentions sur les formulaires de collecte et par un affichage et que le projet de décret (article R. 611-3) précise que les droits d’accès et de rectification s’exercent auprès du service où la demande de visa a été déposée.
En cas de rectification, le décret devrait prévoir que l’Etat membre confirme par écrit à la personne concernée qu’il a procédé à la rectification ou à l’effacement des données enregistrées de façon illicite, conformément aux dispositions de l’article 31 de la proposition de règlement VIS.

Le président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: