Délibération no 2009-494 du 17 septembre 2009
Le 21 juin 2010 - JORF nº 0134 du 12 juin 2010 - Texte nº 72
DELIBERATION
Délibération nº 2009-494 du 17 septembre 2009 portant avis sur le projet de décret modifiant les articles R. 611-10 et R. 611-13 du code de l'entrée et du séjour des étrangers et du droit d'asile dans le but de pouvoir confier à des prestataires agréés le recueil des données biométriques des demandeurs de visa
NOR : CNIX1015396X
(Demande d'avis nº 08022843)
La Commission nationale de l'informatique et des libertés,
Saisie conjointement par le ministère des affaires étrangères et européennes et le ministère de l'immigration, de l'intégration, de l'identité nationale et du développement solidaire d'une demande d'avis portant sur le projet de décret modifiant les articles R. 611-10 et R. 611-13 du code de l'entrée et du séjour des étrangers et du droit d'asile dans le but de pouvoir confier à des prestataires agréés le recueil des données biométriques des demandeurs de visa ;
Vu la convention nº 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive nº 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le règlement (CE) nº 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d'information sur les visas (VIS) et l'échange de données entre les Etats membres sur les visas de court séjour (règlement VIS) ;
Vu le règlement (CE) nº 390/2009 du Parlement européen et du Conseil du 23 avril 2009 modifiant les instructions consulaires communes concernant les visas adressées aux représentations diplomatiques et consulaires de carrière, en liaison avec l'introduction d'identifiants biométriques et de dispositions relatives à l'organisation de la réception et du traitement des demandes de visa ;
Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment son article L. 611-6 ;
Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27 ;
Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 ;
Vu le décret nº 2007-1560 du 2 novembre 2007 portant création d'un traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d'un visa pris pour l'application de l'article L. 611-6 du code de l'entrée et du séjour des étrangers et du droit d'asile et modifiant la partie réglementaire de ce code ;
Vu l'arrêté du 22 août 2001 modifié portant création d'un traitement informatisé d'informations nominatives relatif à la délivrance des visas dans les postes diplomatiques et consulaires (RMV 2) ;
Vu la délibération nº 2007-195 du 10 juillet 2007 portant avis sur le projet de décret pris pour l'application de l'article L. 611-6 du code de l'entrée et du séjour des étrangers et du droit d'asile, portant création d'un traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa et modifiant la partie réglementaire de ce même code ;
Après avoir entendu M. Sébastien Huyghe, commissaire, en son rapport, et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie conjointement par le ministère des affaires étrangères et européennes et le ministère de l'immigration, de l'intégration, de l'identité nationale et du développement solidaire d'une demande d'avis relative à un projet de décret en Conseil d'Etat modifiant les articles R. 611-10 et R. 611-1 l du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA), dans le but de pouvoir confier à des prestataires agréés le recueil des données biométriques des demandeurs de visa.
L'article R. 611-10 du CESEDA dispose des modalités de collecte des données à caractère personnel relatives aux demandeurs de visa enregistrées dans le traitement VISABIO, autorisé par le décret du 2 novembre 2007 pris après l'avis de la CNIL en date du 10 juillet 2007. La modification projetée par les ministères dudit article consiste à permettre, à titre expérimental et pour une durée d'un an, l'externalisation vers des prestataires extérieurs de la collecte des éléments biométriques des personnes déposant une demande de visa auprès de trois consulats généraux de France (Alger, Istanbul et Londres).
Le projet de décret prévoit également de modifier l'article R. 611-133 du CESEDA afin de prendre pleinement en compte les compétences du ministère chargé de l'immigration. Ainsi, les droits d'accès et de rectification des personnes aux données qui les concernent, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, ne s'exerceront plus auprès du ministère de l'intérieur (direction centrale de la police aux frontières), mais auprès du ministère de l'immigration (direction de l'immigration).
Le traitement VISABIO enregistre les données à caractère personnel des ressortissants étrangers qui sollicitent la demande d'un visa auprès des autorités françaises, et notamment les empreintes digitales de leurs dix doigts et leur photographie numérisée, ainsi que des éléments alphanumériques d'identification de ces personnes et des données relatives à leur titre de voyage et au visa délivré, qui sont communiquées automatiquement par le traitement RMV 2 (Réseau mondial visas), conformément à l'article R. 611-9 du CESEDA.
Les données sont accessibles aux agents du ministère des affaires étrangères et du ministère chargé de l'immigration qui participent à l'instruction des demandes de visa, aux services en charge du contrôle aux frontières, aux officiers de police judiciaire pour des missions de vérification d'identité prévues par l'article 78-3 du code de procédure pénale, ainsi qu'aux agents chargés de la lutte antiterroriste jusqu'au 31 décembre 2012. En outre, les données enregistrées dans le traitement VISABIO sont accessibles aux agents des préfectures compétents pour la délivrance ou la prorogation des visas, ainsi qu'aux officiers de police judiciaire des services de police et de gendarmerie nationales, pour des missions de contrôle de l'authenticité des visas et de régularité du séjour, à l'exclusion des données biométriques.
La commission observe que si le traitement VISABIO a été créé en application de l'article L. 611-6 du CESEDA il intervient clans le domaine de la délivrance des visas qui relève de la pleine compétence communautaire, au moins en ce qui concerne les visas de court séjour (représentant actuellement 95 % du total des visas). Dès lors, les mesures prises par les autorités françaises doivent être pleinement compatibles avec le droit communautaire en vigueur en ce domaine, et en particulier avec les règlements du 9 juillet 2008 relatif au système d'information sur les visas (VIS) et du 23 avril 2009 modifiant les instructions consulaires communes (ICC).
La commission relève en outre que les ministères concernés envisagent également de permettre le recours à des prestataires extérieurs pour la collecte des données alphanumériques enregistrées dans le traitement RMV 2, et qu'elle e été saisie pour avis d'un projet d'arrêté modifiant l'arrêté du 22 août 2001 susvisé, afin notamment de permettre cette externalisation.
Sur la possibilité de recourir à titre expérimental à des prestataires extérieurs :
A titre liminaire, la commission rappelle que le recours à des prestataires de service chargés de la collecte des identifiants biométriques enregistrés dans le traitement VISABIO avait été envisagé par le gouvernement dès 2007, dans le cadre du projet de décret portant création dudit système. Elle relève que cette possibilité avait finalement été supprimée du projet, notamment à la suite des réserves exprimées par la CNIL.
Au-delà de la question de savoir si l'activité de collecte des données personnelles des demandeurs de visa relève ou non de l'exercice d'une prérogative exclusive de puissance publique qui ne peut être déléguée, la commission considère que l'intervention d'un prestataire extérieur dans le processus de collecte des données induit un risque de compromission de l'intégrité du processus de délivrance des visas. Il s'agit notamment du niveau de fiabilité et de sécurité de ce processus, ainsi que des garanties entourant la protection des données personnelles relatives aux demandeurs de visa. La commission relève à cet égard que des garanties d'ordre contractuel risquent d'être insuffisantes s'agissant de prestataires étrangers relevant de la souveraineté de leur Etat d'implantation. Or, il convient de relever que le Gouvernement a précisément considéré comme essentiel le renforcement du niveau de sécurité du processus de délivrance des visas, en y introduisant des identifiants biométriques.
En ce qui concerne en particulier les données biométriques des personnes concernées, compte tenu à la fois des caractéristiques de ces éléments d'identification, des usages possibles de ces données par les prestataires de service ainsi que par les autorités locales, et des risques d'atteinte graves à la vie privée et aux libertés individuelles en résultant, la commission exprime donc de sérieuses réserves sur la possibilité de recourir à des prestataires extérieurs pour collecter les identifiants des demandeurs de visa.
Elle estime dès lors que l'expérimentation envisagée par le Gouvernement devra permettre d'apprécier précisément si les mesures prises pour assurer le contrôle de l'activité des prestataires garantissent ou non la confidentialité des données traitées, et évitent en particulier tout risque de divulgation et d'utilisation détournée de celles-ci. En tout état de cause, la commission considère, au regard notamment de la nature sensible des données collectées, qu'une évaluation précise est nécessaire avant de pouvoir envisager une éventuelle extension du dispositif à d'autres consulats.
A cet égard, la commission relève que les ministères concernés ont prévu que l'expérimentation envisagée ferait l'objet d'une évaluation. Elle prend acte de ce que, à sa demande, et afin de tirer tout le parti possible de cette démarche progressive, le projet de décret prévoit expressément que cette évaluation sera effectuée, et qu'elle donnera lieu à un rapport communiqué à la commission nationale de l'informatique et des libertés, à l'égal de ce qui est prévu par l'article R. 611-15 du CESEDA en ce qui concerne le traitement VISABIO.
Elle appelle donc l'attention du Gouvernement sur la nécessité de disposer d'une évaluation fondée sur une étude indépendante, globale et reposant sur des critères et des objectifs bien identifiés, de façon à connaître les avantages et les inconvénients précis qui auraient été retirés du recours à des prestataires extérieurs, par comparaison notamment aux autres dispositifs prévus par le droit communautaire, tout particulièrement sur le plan de la protection des droits des intéressés. Cette évaluation pourrait par exemple contenir des éléments statistiques (sur les taux de refus de visa, sur les populations concernées par le dispositif, etc.), un bilan des contrôles effectués, de leur fréquence et de leurs résultats, un bilan des éventuels dysfonctionnements rencontrés, ainsi qu'une enquête de satisfaction effectuée auprès des étrangers concernés, qui pourrait porter notamment sur l'aspect relatif à l'éloignement géographique du consulat dont ils relèvent.
Sur les modalités des expérimentations envisagées :
Le ministère des affaires étrangères et le ministère chargé de l'immigration envisagent de permettre, à titre expérimental et pour une durée d'un an, le recours à des prestataires agréés pour collecter les identifiants biométriques des ressortissants étrangers déposant une demande de visa auprès des consulats généraux d'Alger, de Londres et d'Istanbul, qui reçoivent de très nombreuses demandes de visa. En outre, une antenne locale devrait être installée à Izmir, afin de procéder à la collecte des données relatives aux demandeurs de visa éloignés des deux postes consulaires français en Turquie. Les prestataires choisis par les autorités consulaires compétentes seraient soumis à une procédure d'agrément par une commission interministérielle dédiée et s'engageraient à respecter un cahier des charges très précis.
La commission estime que les modalités précises des expérimentations envisagées doivent être accompagnées de garanties particulières, de nature à assurer un très haut niveau de sécurité. A cet égard, elle relève que le règlement du 23 avril 2009 prévoit explicitement que le prestataire de service extérieur doit appliquer « des normes de protection des données au moins équivalentes à celles qui figurent dans la directive 95/46/CE ».
Elle observe également que si le droit communautaire autorise, en application du règlement (CE) nº 390/2009 du 23 avril 2009, le recours à des prestataires de service pour organiser la réception et le traitement des demandes de visa, et notamment la collecte des identifiants biométriques des demandeurs de visa enregistrés dans le système européen VIS, il en limite la possibilité. Ainsi, ledit règlement dispose que « dans des circonstances particulières ou pour des raisons liées à la situation locale » et « lorsque les formes de coopération susvisées [représentation limitée par un autre Etat membre, colocation des représentations diplomatiques et établissement d'un centre commun de dépôt des demandes] s'avèrent inappropriées pour les Etats membres concernés, un Etat membre peut, en dernier ressort, coopérer avec un prestataire de services extérieur ».
A cet égard, la commission relève que le Gouvernement envisage de permettre à titre expérimental cette possibilité, afin de répondre a l'inadaptation de certains locaux consulaires à l'accueil de la totalité des demandeurs de visa, désormais soumis à une comparution personnelle obligatoire, d'une part, et de répondre aux difficultés rencontrées dans les pays de grande superficie pour les demandeurs de visa domiciliés dans les localités éloignées du consulat dont ils relèvent, d'autre part. La commission prend acte de ces finalités, qui apparaissent conformes aux situations locales mentionnées dans les ICC.
Les ministères concernés ont indiqué que des difficultés juridiques et pratiques ne permettent pas de faire bénéficier les locaux de ces prestataires de la protection diplomatique ou consulaire définie par les conventions de Vienne du 18 avril 1961 et du 23 avril 1963, comme l'a souligné par exemple le service juridique du Conseil de l'UE. La commission relève en outre que le droit communautaire n'a prévu aucune obligation en la matière. En revanche, elle ne peut que renouveler sur ce point ses remarques sur le caractère insuffisant de garanties d'ordre contractuel.
Par ailleurs, dans la mesure où les consulats concernés par cette expérimentation sont situés dans de grandes métropoles, dans lesquelles de nombreux Etats membres de l'Union européenne disposent également de postes consulaires, la commission relève que ces consulats apparaissent propices à l'expérimentation d'une autre modalité d'organisation des services de délivrance des visas mentionnée dans les ICC, à savoir l'établissement de centres communs de traitement des demandes de visa.
En outre, elle rappelle que l'article R. 611-10 du CESEDA prévoit déjà que les données enregistrées dans le traitement peuvent être collectées par les chancelleries consulaires et les consulats des Etats membres de l'Union européenne, à la condition que la collecte présente un niveau de protection et des garanties équivalents à ceux du droit interne. Elle rappelle également que le droit communautaire prévoit explicitement que le recours à des prestataires extérieurs ne peut avoir lieu qu'en dernier ressort, et lorsque les autres formes de coopération entre Etats membres s'avèrent inappropriées.
A cet égard, la commission relève que les ministères concernés semblent prendre en considération ces solutions alternatives de collecte des données biométriques, dans la mesure où une coopération consulaire avec l'Allemagne a été par exemple envisagée à Alger, afin d'éviter de recourir à l'externalisation dans cette circonscription consulaire, avant d'être abandonnée du fait de difficultés matérielles. Elle invite donc le Gouvernement à poursuivre ses travaux dans ce sens, avant d'envisager, « en dernier ressort » conformément au règlement du 23 avril 2009, une éventuelle généralisation du recours à des prestataires extérieurs pour collecter les données biométriques des demandeurs de visa.
Sur les sécurités techniques du dispositif :
La commission estime que les sécurités techniques prévues par les ministères concernés, et notamment les mesures envisagées pour contrôler l'accès et l'utilisation des postes BIONET par les personnels du prestataire agréé, les mesures de sécurisation des transmissions de données entre les prestataires et le serveur central hébergé au ministère des affaires étrangères, comme la communication par des canaux différents des données biométriques et des données alphanumériques des demandeurs de visa, ainsi que les mesures de sécurité appliquées au serveur central BIONET, sont globalement satisfaisantes. Elle relève que le Gouvernement a majoritairement suivi les recommandations de la DCSSI relatives à l'amélioration du dispositif initialement envisagé.
La commission observe cependant que la gestion des secrets utilisés par l'application BIONET pourrait être améliorée, dans la mesure où il subsiste un risque de récupération des clés de cryptage permettant de déchiffrer les données biométriques stockées sur les postes BIONET. Elle recommande donc d'utiliser un chiffrement à clé publique en lieu et place du chiffrement symétrique retenu dans la solution présentée. A cet égard, elle prend acte de ce que le Gouvernement entend procéder à des analyses techniques complémentaires sur ce point, et de ce que la commission sera informée des suites qui seront données à cette recommandation.
La commission prend également acte de ce que les ministères concernés ont prévu une véritable politique de contrôle des prestataires agréés, dont les principales mesures sont introduites dans le cahier des charges que le prestataire s'engage à respecter lors de la signature de l'agrément par le chef de poste consulaire concerné. Elle s'interroge néanmoins sur le risque que de tels contrôles se heurtent à des textes ou des jurisprudences relevant de la souveraineté des Etats en cause.
Ces mesures consistent notamment en la mise en place d'une cellule d'appui et de contrôle aux prestataires, chargée de détecter toute tentative de violation des sécurités des matériels ou des transmissions de données chez l'opérateur, par des vérifications à distance ainsi que par des déplacements inopinés chez le prestataire agréé. En outre, il est prévu que chaque consulat constitue une équipe chargée d'intervenir directement chez le prestataire pour vérifier le respect par ce dernier des obligations imposées par le cahier des charges. De manière plus générale, la commission relève que la surveillance de l'activité des prestataires agréés sera mise en œuvre par des contrôles effectués à distance et sur place, qui concernent les matériels utilisés, le personnel des prestataires agréés, la sécurité de la transmission des données biométriques, ainsi que les procédures utilisées et les locaux des prestataires.
Elle considère que l'ensemble de ces mesures sont de nature à satisfaire les exigences minimales de protection des personnes à l'égard du traitement automatisé de données à caractère personnel, et qu'elles pourraient permettre de se prémunir, sous la réserve exprimée plus haut des risques de divulgation ou d'utilisation détournée des données biométriques des demandeurs de visa. La commission estime néanmoins que le cahier des charges devrait comporter le détail des mesures de sécurité et de contrôle prévues par les ministères concernés.
Sur les droits des personnes concernées :
Le projet de décret soumis à la commission prévoit de modifier l'article R. 611-13 du CESEDA qui dispose des modalités des droits d'accès et de rectification des personnes concernées, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée. Il s'agit de supprimer les services de la direction centrale de la police aux frontières du ministère de l'intérieur de la liste des autorités auprès desquelles les demandeurs de visa peuvent exercer ces droits, d'une part, et de préciser la direction du ministère chargé de l'immigration auprès de laquelle peuvent s'exercer ces droits, d'autre part, en l'occurrence la direction de l'immigration.
La commission prend acte de ces modifications, qui visent à prendre pleinement en compte les compétences du ministère chargé de l'immigration, dont l'administration centrale n'était pas encore organisée lors de la publication du décret autorisant la mise en œuvre du traitement VISABIO.
Elle prend également acte de ce qu'une note d'information à destination des demandeurs de visa dont les données biométriques seraient collectées par des prestataires extérieurs leur sera remise et sera également affichée dans les locaux de ces prestataires. Dans la mesure où ladite note indique que les droits d'accès et de rectification des personnes aux données qui les concernent s'exercent auprès du « service où la délivrance du visa a été sollicitée », et afin d'éviter que les personnes concernées ne s'adressent au prestataire pour exercer ces droits, la commission considère qu'il conviendrait de modifier cette note afin de mentionner clairement la section des visas du consulat concerné comme seul service auprès duquel peuvent s'exercer les droits d'accès et de rectification des données.
La commission prend enfin acte de ce que, à sa demande, le projet de décret prévoit de modifier l'article R. 611-13 du CESEDA afin de mentionner que les personnes qui ont exercé leur droit de rectification et obtenu la modification ou l'effacement des données erronées ou enregistrées de façon illicite qui les concernent seront informées par écrit de cette rectification, conformément aux dispositions de l'article 38 du règlement VIS du 9 juillet 2008.
Sur l'âge minimal des mineurs dont les empreintes digitales sont collectées :
La commission relève que le règlement communautaire du 23 avril 2009 a dispensé de collecte des empreintes digitales les personnes suivantes : les enfants de moins de douze ans, les personnes pour lesquelles il est physiquement impossible de recueillir les empreintes, ainsi que les chefs d'Etat ou de gouvernement, les membres des gouvernements nationaux et leurs conjoints qui les accompagnent, les membres de leur délégation officielle, les souverains et les autres membres éminents d'une famille royale.
A cet égard, la commission rappelle que dans son avis du 10 juillet 2007 relatif au projet de décret portant création du traitement VISABIO elle avait estimé que « l'âge à partir duquel les empreintes sont relevées n'est pas seulement un élément technique mais une question de principe méritant un large débat, voire un amendement à la convention sur les droits de l'enfant. Pour préserver la dignité de la personne et pour garantir la fiabilité de la procédure, la collecte et le traitement des empreintes digitales doivent être limités pour les enfants ».
Elle rappelle également que l'article R. 611-9 du CESEDA prévoit l'exemption de collecte des identifiants biométriques pour les seuls mineurs de six ans et pour les personnes pour lesquelles il est impossible de collecter totalement ou partiellement les empreintes digitales.
La commission observe que l'obligation communautaire susmentionnée ne s'applique qu'aux demandeurs de visa dits Schengen (court séjour), et non aux demandeurs de visa nationaux. Cependant, elle relève que la majorité des visas délivrés par les autorités françaises sont des visas Schengen, d'une part, et qu'une telle différenciation entre les enfants demandeurs de visa complexifierait davantage les procédures, en particulier dans le cas où la collecte des identifiants serait opérée par des prestataires de service agréés.
Dès lors, la commission prend acte de ce que, à sa demande, par souci de simplification, d'une part, et de protection de la dignité des enfants, d'autre part, le projet de décret prévoit de modifier l'article R. 611-9 du CESEDA afin d'appliquer cette dispense non seulement pour les enfants demandeurs d'un visa Schengen, mais également pour les enfants demandeurs de visas nationaux.
Le président,
A. Türk
Télécharger le PDF : délibération nº 2009-494 du 17 septembre 2009 portant avis sur le projet de décret modifiant les articles R. 611-10 et R. 611-13 du code de l'entrée et du séjour des étrangers et du droit d'asile dans le but de pouvoir confier à des prestataires agréés le recueil des données biométriques des demandeurs de visa - NOR : CNIX1015396X
DELIBERATION
Délibération nº 2009-494 du 17 septembre 2009 portant avis sur le projet de décret modifiant les articles R. 611-10 et R. 611-13 du code de l'entrée et du séjour des étrangers et du droit d'asile dans le but de pouvoir confier à des prestataires agréés le recueil des données biométriques des demandeurs de visa
NOR : CNIX1015396X
(Demande d'avis nº 08022843)
La Commission nationale de l'informatique et des libertés,
Saisie conjointement par le ministère des affaires étrangères et européennes et le ministère de l'immigration, de l'intégration, de l'identité nationale et du développement solidaire d'une demande d'avis portant sur le projet de décret modifiant les articles R. 611-10 et R. 611-13 du code de l'entrée et du séjour des étrangers et du droit d'asile dans le but de pouvoir confier à des prestataires agréés le recueil des données biométriques des demandeurs de visa ;
Vu la convention nº 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive nº 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le règlement (CE) nº 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d'information sur les visas (VIS) et l'échange de données entre les Etats membres sur les visas de court séjour (règlement VIS) ;
Vu le règlement (CE) nº 390/2009 du Parlement européen et du Conseil du 23 avril 2009 modifiant les instructions consulaires communes concernant les visas adressées aux représentations diplomatiques et consulaires de carrière, en liaison avec l'introduction d'identifiants biométriques et de dispositions relatives à l'organisation de la réception et du traitement des demandes de visa ;
Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment son article L. 611-6 ;
Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27 ;
Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 ;
Vu le décret nº 2007-1560 du 2 novembre 2007 portant création d'un traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d'un visa pris pour l'application de l'article L. 611-6 du code de l'entrée et du séjour des étrangers et du droit d'asile et modifiant la partie réglementaire de ce code ;
Vu l'arrêté du 22 août 2001 modifié portant création d'un traitement informatisé d'informations nominatives relatif à la délivrance des visas dans les postes diplomatiques et consulaires (RMV 2) ;
Vu la délibération nº 2007-195 du 10 juillet 2007 portant avis sur le projet de décret pris pour l'application de l'article L. 611-6 du code de l'entrée et du séjour des étrangers et du droit d'asile, portant création d'un traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa et modifiant la partie réglementaire de ce même code ;
Après avoir entendu M. Sébastien Huyghe, commissaire, en son rapport, et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie conjointement par le ministère des affaires étrangères et européennes et le ministère de l'immigration, de l'intégration, de l'identité nationale et du développement solidaire d'une demande d'avis relative à un projet de décret en Conseil d'Etat modifiant les articles R. 611-10 et R. 611-1 l du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA), dans le but de pouvoir confier à des prestataires agréés le recueil des données biométriques des demandeurs de visa.
L'article R. 611-10 du CESEDA dispose des modalités de collecte des données à caractère personnel relatives aux demandeurs de visa enregistrées dans le traitement VISABIO, autorisé par le décret du 2 novembre 2007 pris après l'avis de la CNIL en date du 10 juillet 2007. La modification projetée par les ministères dudit article consiste à permettre, à titre expérimental et pour une durée d'un an, l'externalisation vers des prestataires extérieurs de la collecte des éléments biométriques des personnes déposant une demande de visa auprès de trois consulats généraux de France (Alger, Istanbul et Londres).
Le projet de décret prévoit également de modifier l'article R. 611-133 du CESEDA afin de prendre pleinement en compte les compétences du ministère chargé de l'immigration. Ainsi, les droits d'accès et de rectification des personnes aux données qui les concernent, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, ne s'exerceront plus auprès du ministère de l'intérieur (direction centrale de la police aux frontières), mais auprès du ministère de l'immigration (direction de l'immigration).
Le traitement VISABIO enregistre les données à caractère personnel des ressortissants étrangers qui sollicitent la demande d'un visa auprès des autorités françaises, et notamment les empreintes digitales de leurs dix doigts et leur photographie numérisée, ainsi que des éléments alphanumériques d'identification de ces personnes et des données relatives à leur titre de voyage et au visa délivré, qui sont communiquées automatiquement par le traitement RMV 2 (Réseau mondial visas), conformément à l'article R. 611-9 du CESEDA.
Les données sont accessibles aux agents du ministère des affaires étrangères et du ministère chargé de l'immigration qui participent à l'instruction des demandes de visa, aux services en charge du contrôle aux frontières, aux officiers de police judiciaire pour des missions de vérification d'identité prévues par l'article 78-3 du code de procédure pénale, ainsi qu'aux agents chargés de la lutte antiterroriste jusqu'au 31 décembre 2012. En outre, les données enregistrées dans le traitement VISABIO sont accessibles aux agents des préfectures compétents pour la délivrance ou la prorogation des visas, ainsi qu'aux officiers de police judiciaire des services de police et de gendarmerie nationales, pour des missions de contrôle de l'authenticité des visas et de régularité du séjour, à l'exclusion des données biométriques.
La commission observe que si le traitement VISABIO a été créé en application de l'article L. 611-6 du CESEDA il intervient clans le domaine de la délivrance des visas qui relève de la pleine compétence communautaire, au moins en ce qui concerne les visas de court séjour (représentant actuellement 95 % du total des visas). Dès lors, les mesures prises par les autorités françaises doivent être pleinement compatibles avec le droit communautaire en vigueur en ce domaine, et en particulier avec les règlements du 9 juillet 2008 relatif au système d'information sur les visas (VIS) et du 23 avril 2009 modifiant les instructions consulaires communes (ICC).
La commission relève en outre que les ministères concernés envisagent également de permettre le recours à des prestataires extérieurs pour la collecte des données alphanumériques enregistrées dans le traitement RMV 2, et qu'elle e été saisie pour avis d'un projet d'arrêté modifiant l'arrêté du 22 août 2001 susvisé, afin notamment de permettre cette externalisation.
Sur la possibilité de recourir à titre expérimental à des prestataires extérieurs :
A titre liminaire, la commission rappelle que le recours à des prestataires de service chargés de la collecte des identifiants biométriques enregistrés dans le traitement VISABIO avait été envisagé par le gouvernement dès 2007, dans le cadre du projet de décret portant création dudit système. Elle relève que cette possibilité avait finalement été supprimée du projet, notamment à la suite des réserves exprimées par la CNIL.
Au-delà de la question de savoir si l'activité de collecte des données personnelles des demandeurs de visa relève ou non de l'exercice d'une prérogative exclusive de puissance publique qui ne peut être déléguée, la commission considère que l'intervention d'un prestataire extérieur dans le processus de collecte des données induit un risque de compromission de l'intégrité du processus de délivrance des visas. Il s'agit notamment du niveau de fiabilité et de sécurité de ce processus, ainsi que des garanties entourant la protection des données personnelles relatives aux demandeurs de visa. La commission relève à cet égard que des garanties d'ordre contractuel risquent d'être insuffisantes s'agissant de prestataires étrangers relevant de la souveraineté de leur Etat d'implantation. Or, il convient de relever que le Gouvernement a précisément considéré comme essentiel le renforcement du niveau de sécurité du processus de délivrance des visas, en y introduisant des identifiants biométriques.
En ce qui concerne en particulier les données biométriques des personnes concernées, compte tenu à la fois des caractéristiques de ces éléments d'identification, des usages possibles de ces données par les prestataires de service ainsi que par les autorités locales, et des risques d'atteinte graves à la vie privée et aux libertés individuelles en résultant, la commission exprime donc de sérieuses réserves sur la possibilité de recourir à des prestataires extérieurs pour collecter les identifiants des demandeurs de visa.
Elle estime dès lors que l'expérimentation envisagée par le Gouvernement devra permettre d'apprécier précisément si les mesures prises pour assurer le contrôle de l'activité des prestataires garantissent ou non la confidentialité des données traitées, et évitent en particulier tout risque de divulgation et d'utilisation détournée de celles-ci. En tout état de cause, la commission considère, au regard notamment de la nature sensible des données collectées, qu'une évaluation précise est nécessaire avant de pouvoir envisager une éventuelle extension du dispositif à d'autres consulats.
A cet égard, la commission relève que les ministères concernés ont prévu que l'expérimentation envisagée ferait l'objet d'une évaluation. Elle prend acte de ce que, à sa demande, et afin de tirer tout le parti possible de cette démarche progressive, le projet de décret prévoit expressément que cette évaluation sera effectuée, et qu'elle donnera lieu à un rapport communiqué à la commission nationale de l'informatique et des libertés, à l'égal de ce qui est prévu par l'article R. 611-15 du CESEDA en ce qui concerne le traitement VISABIO.
Elle appelle donc l'attention du Gouvernement sur la nécessité de disposer d'une évaluation fondée sur une étude indépendante, globale et reposant sur des critères et des objectifs bien identifiés, de façon à connaître les avantages et les inconvénients précis qui auraient été retirés du recours à des prestataires extérieurs, par comparaison notamment aux autres dispositifs prévus par le droit communautaire, tout particulièrement sur le plan de la protection des droits des intéressés. Cette évaluation pourrait par exemple contenir des éléments statistiques (sur les taux de refus de visa, sur les populations concernées par le dispositif, etc.), un bilan des contrôles effectués, de leur fréquence et de leurs résultats, un bilan des éventuels dysfonctionnements rencontrés, ainsi qu'une enquête de satisfaction effectuée auprès des étrangers concernés, qui pourrait porter notamment sur l'aspect relatif à l'éloignement géographique du consulat dont ils relèvent.
Sur les modalités des expérimentations envisagées :
Le ministère des affaires étrangères et le ministère chargé de l'immigration envisagent de permettre, à titre expérimental et pour une durée d'un an, le recours à des prestataires agréés pour collecter les identifiants biométriques des ressortissants étrangers déposant une demande de visa auprès des consulats généraux d'Alger, de Londres et d'Istanbul, qui reçoivent de très nombreuses demandes de visa. En outre, une antenne locale devrait être installée à Izmir, afin de procéder à la collecte des données relatives aux demandeurs de visa éloignés des deux postes consulaires français en Turquie. Les prestataires choisis par les autorités consulaires compétentes seraient soumis à une procédure d'agrément par une commission interministérielle dédiée et s'engageraient à respecter un cahier des charges très précis.
La commission estime que les modalités précises des expérimentations envisagées doivent être accompagnées de garanties particulières, de nature à assurer un très haut niveau de sécurité. A cet égard, elle relève que le règlement du 23 avril 2009 prévoit explicitement que le prestataire de service extérieur doit appliquer « des normes de protection des données au moins équivalentes à celles qui figurent dans la directive 95/46/CE ».
Elle observe également que si le droit communautaire autorise, en application du règlement (CE) nº 390/2009 du 23 avril 2009, le recours à des prestataires de service pour organiser la réception et le traitement des demandes de visa, et notamment la collecte des identifiants biométriques des demandeurs de visa enregistrés dans le système européen VIS, il en limite la possibilité. Ainsi, ledit règlement dispose que « dans des circonstances particulières ou pour des raisons liées à la situation locale » et « lorsque les formes de coopération susvisées [représentation limitée par un autre Etat membre, colocation des représentations diplomatiques et établissement d'un centre commun de dépôt des demandes] s'avèrent inappropriées pour les Etats membres concernés, un Etat membre peut, en dernier ressort, coopérer avec un prestataire de services extérieur ».
A cet égard, la commission relève que le Gouvernement envisage de permettre à titre expérimental cette possibilité, afin de répondre a l'inadaptation de certains locaux consulaires à l'accueil de la totalité des demandeurs de visa, désormais soumis à une comparution personnelle obligatoire, d'une part, et de répondre aux difficultés rencontrées dans les pays de grande superficie pour les demandeurs de visa domiciliés dans les localités éloignées du consulat dont ils relèvent, d'autre part. La commission prend acte de ces finalités, qui apparaissent conformes aux situations locales mentionnées dans les ICC.
Les ministères concernés ont indiqué que des difficultés juridiques et pratiques ne permettent pas de faire bénéficier les locaux de ces prestataires de la protection diplomatique ou consulaire définie par les conventions de Vienne du 18 avril 1961 et du 23 avril 1963, comme l'a souligné par exemple le service juridique du Conseil de l'UE. La commission relève en outre que le droit communautaire n'a prévu aucune obligation en la matière. En revanche, elle ne peut que renouveler sur ce point ses remarques sur le caractère insuffisant de garanties d'ordre contractuel.
Par ailleurs, dans la mesure où les consulats concernés par cette expérimentation sont situés dans de grandes métropoles, dans lesquelles de nombreux Etats membres de l'Union européenne disposent également de postes consulaires, la commission relève que ces consulats apparaissent propices à l'expérimentation d'une autre modalité d'organisation des services de délivrance des visas mentionnée dans les ICC, à savoir l'établissement de centres communs de traitement des demandes de visa.
En outre, elle rappelle que l'article R. 611-10 du CESEDA prévoit déjà que les données enregistrées dans le traitement peuvent être collectées par les chancelleries consulaires et les consulats des Etats membres de l'Union européenne, à la condition que la collecte présente un niveau de protection et des garanties équivalents à ceux du droit interne. Elle rappelle également que le droit communautaire prévoit explicitement que le recours à des prestataires extérieurs ne peut avoir lieu qu'en dernier ressort, et lorsque les autres formes de coopération entre Etats membres s'avèrent inappropriées.
A cet égard, la commission relève que les ministères concernés semblent prendre en considération ces solutions alternatives de collecte des données biométriques, dans la mesure où une coopération consulaire avec l'Allemagne a été par exemple envisagée à Alger, afin d'éviter de recourir à l'externalisation dans cette circonscription consulaire, avant d'être abandonnée du fait de difficultés matérielles. Elle invite donc le Gouvernement à poursuivre ses travaux dans ce sens, avant d'envisager, « en dernier ressort » conformément au règlement du 23 avril 2009, une éventuelle généralisation du recours à des prestataires extérieurs pour collecter les données biométriques des demandeurs de visa.
Sur les sécurités techniques du dispositif :
La commission estime que les sécurités techniques prévues par les ministères concernés, et notamment les mesures envisagées pour contrôler l'accès et l'utilisation des postes BIONET par les personnels du prestataire agréé, les mesures de sécurisation des transmissions de données entre les prestataires et le serveur central hébergé au ministère des affaires étrangères, comme la communication par des canaux différents des données biométriques et des données alphanumériques des demandeurs de visa, ainsi que les mesures de sécurité appliquées au serveur central BIONET, sont globalement satisfaisantes. Elle relève que le Gouvernement a majoritairement suivi les recommandations de la DCSSI relatives à l'amélioration du dispositif initialement envisagé.
La commission observe cependant que la gestion des secrets utilisés par l'application BIONET pourrait être améliorée, dans la mesure où il subsiste un risque de récupération des clés de cryptage permettant de déchiffrer les données biométriques stockées sur les postes BIONET. Elle recommande donc d'utiliser un chiffrement à clé publique en lieu et place du chiffrement symétrique retenu dans la solution présentée. A cet égard, elle prend acte de ce que le Gouvernement entend procéder à des analyses techniques complémentaires sur ce point, et de ce que la commission sera informée des suites qui seront données à cette recommandation.
La commission prend également acte de ce que les ministères concernés ont prévu une véritable politique de contrôle des prestataires agréés, dont les principales mesures sont introduites dans le cahier des charges que le prestataire s'engage à respecter lors de la signature de l'agrément par le chef de poste consulaire concerné. Elle s'interroge néanmoins sur le risque que de tels contrôles se heurtent à des textes ou des jurisprudences relevant de la souveraineté des Etats en cause.
Ces mesures consistent notamment en la mise en place d'une cellule d'appui et de contrôle aux prestataires, chargée de détecter toute tentative de violation des sécurités des matériels ou des transmissions de données chez l'opérateur, par des vérifications à distance ainsi que par des déplacements inopinés chez le prestataire agréé. En outre, il est prévu que chaque consulat constitue une équipe chargée d'intervenir directement chez le prestataire pour vérifier le respect par ce dernier des obligations imposées par le cahier des charges. De manière plus générale, la commission relève que la surveillance de l'activité des prestataires agréés sera mise en œuvre par des contrôles effectués à distance et sur place, qui concernent les matériels utilisés, le personnel des prestataires agréés, la sécurité de la transmission des données biométriques, ainsi que les procédures utilisées et les locaux des prestataires.
Elle considère que l'ensemble de ces mesures sont de nature à satisfaire les exigences minimales de protection des personnes à l'égard du traitement automatisé de données à caractère personnel, et qu'elles pourraient permettre de se prémunir, sous la réserve exprimée plus haut des risques de divulgation ou d'utilisation détournée des données biométriques des demandeurs de visa. La commission estime néanmoins que le cahier des charges devrait comporter le détail des mesures de sécurité et de contrôle prévues par les ministères concernés.
Sur les droits des personnes concernées :
Le projet de décret soumis à la commission prévoit de modifier l'article R. 611-13 du CESEDA qui dispose des modalités des droits d'accès et de rectification des personnes concernées, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée. Il s'agit de supprimer les services de la direction centrale de la police aux frontières du ministère de l'intérieur de la liste des autorités auprès desquelles les demandeurs de visa peuvent exercer ces droits, d'une part, et de préciser la direction du ministère chargé de l'immigration auprès de laquelle peuvent s'exercer ces droits, d'autre part, en l'occurrence la direction de l'immigration.
La commission prend acte de ces modifications, qui visent à prendre pleinement en compte les compétences du ministère chargé de l'immigration, dont l'administration centrale n'était pas encore organisée lors de la publication du décret autorisant la mise en œuvre du traitement VISABIO.
Elle prend également acte de ce qu'une note d'information à destination des demandeurs de visa dont les données biométriques seraient collectées par des prestataires extérieurs leur sera remise et sera également affichée dans les locaux de ces prestataires. Dans la mesure où ladite note indique que les droits d'accès et de rectification des personnes aux données qui les concernent s'exercent auprès du « service où la délivrance du visa a été sollicitée », et afin d'éviter que les personnes concernées ne s'adressent au prestataire pour exercer ces droits, la commission considère qu'il conviendrait de modifier cette note afin de mentionner clairement la section des visas du consulat concerné comme seul service auprès duquel peuvent s'exercer les droits d'accès et de rectification des données.
La commission prend enfin acte de ce que, à sa demande, le projet de décret prévoit de modifier l'article R. 611-13 du CESEDA afin de mentionner que les personnes qui ont exercé leur droit de rectification et obtenu la modification ou l'effacement des données erronées ou enregistrées de façon illicite qui les concernent seront informées par écrit de cette rectification, conformément aux dispositions de l'article 38 du règlement VIS du 9 juillet 2008.
Sur l'âge minimal des mineurs dont les empreintes digitales sont collectées :
La commission relève que le règlement communautaire du 23 avril 2009 a dispensé de collecte des empreintes digitales les personnes suivantes : les enfants de moins de douze ans, les personnes pour lesquelles il est physiquement impossible de recueillir les empreintes, ainsi que les chefs d'Etat ou de gouvernement, les membres des gouvernements nationaux et leurs conjoints qui les accompagnent, les membres de leur délégation officielle, les souverains et les autres membres éminents d'une famille royale.
A cet égard, la commission rappelle que dans son avis du 10 juillet 2007 relatif au projet de décret portant création du traitement VISABIO elle avait estimé que « l'âge à partir duquel les empreintes sont relevées n'est pas seulement un élément technique mais une question de principe méritant un large débat, voire un amendement à la convention sur les droits de l'enfant. Pour préserver la dignité de la personne et pour garantir la fiabilité de la procédure, la collecte et le traitement des empreintes digitales doivent être limités pour les enfants ».
Elle rappelle également que l'article R. 611-9 du CESEDA prévoit l'exemption de collecte des identifiants biométriques pour les seuls mineurs de six ans et pour les personnes pour lesquelles il est impossible de collecter totalement ou partiellement les empreintes digitales.
La commission observe que l'obligation communautaire susmentionnée ne s'applique qu'aux demandeurs de visa dits Schengen (court séjour), et non aux demandeurs de visa nationaux. Cependant, elle relève que la majorité des visas délivrés par les autorités françaises sont des visas Schengen, d'une part, et qu'une telle différenciation entre les enfants demandeurs de visa complexifierait davantage les procédures, en particulier dans le cas où la collecte des identifiants serait opérée par des prestataires de service agréés.
Dès lors, la commission prend acte de ce que, à sa demande, par souci de simplification, d'une part, et de protection de la dignité des enfants, d'autre part, le projet de décret prévoit de modifier l'article R. 611-9 du CESEDA afin d'appliquer cette dispense non seulement pour les enfants demandeurs d'un visa Schengen, mais également pour les enfants demandeurs de visas nationaux.
Le président,
A. Türk
Télécharger le PDF : délibération nº 2009-494 du 17 septembre 2009 portant avis sur le projet de décret modifiant les articles R. 611-10 et R. 611-13 du code de l'entrée et du séjour des étrangers et du droit d'asile dans le but de pouvoir confier à des prestataires agréés le recueil des données biométriques des demandeurs de visa - NOR : CNIX1015396X