2009

Délibération n° 2009-468 du 16 juillet 2009

Le 2 novembre 2009 - JORF nº 0250 - du 28 octobre 2009 - Texte nº 81

DÉLIBERATION
Délibération nº 2009-468 du 16 juillet 2009 portant avis sur le projet de décret portant création d'un traitement automatisé de données à caractère personnel relatives aux étrangers bénéficiaires du dispositif d'aide au retour financé par l'Office français de l'immigration et de l'intégration et modifiant la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile

NOR : CNIX0925129X


(Demande d'avis nº 1354253)

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère de l'immigration, de l'intégration, de l'identité nationale et du développement solidaire, d'une demande d'avis portant sur le projet de décret portant création d'un traitement automatisé de données à caractère personnel des étrangers bénéficiaires du dispositif d'aide au retour financé par l'Office français de l'immigration et de l'intégration et modifiant la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile ;

Vu la convention nº 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive nº 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment ses articles L. 611-3 et L. 611-5 ;

Vu le code du travail, notamment ses articles L. 5223-1 et R. 5223-2 ;

Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et notamment son article 27 ;

Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 ;

Après avoir entendu M. Sébastien HUYGHE, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

La commission a été saisie par le ministère chargé de l'immigration d'une demande d'avis portant sur le projet de décret portant création d'un traitement automatisé de données à caractère personnel des étrangers bénéficiaires du dispositif d'aide au retour financé par l'Office français de l'immigration et de l'intégration (OFII) et modifiant la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA).

Ce projet de décret constitue le décret d'application du troisième alinéa de l'article L. 611-3 du CESEDA, prévu à l'article L. 611-5 dudit code, qui dispose que les empreintes digitales ainsi qu'une photographie des bénéficiaires de l'aide au retour mentionnée au dernier alinéa du I de l'article L. 511-1 peuvent être relevées, mémorisées et faire l'objet d'un traitement automatisé.

La commission considère que le traitement projeté relève dès lors des dispositions de l'article 27-1 (2°) de la loi du 6 janvier 1978 modifiée.

Le projet de décret prévoit tout d'abord d'insérer un nouvel article R. 511-2 dans le CESEDA, qui établit l'obligation de recueil des empreintes digitales des dix doigts des demandeurs de l'aide au retour. Il prévoit en outre l'insertion des nouveaux articles R. 611-35 à R. 611-40 disposant des modalités de mise en œuvre du traitement projeté OSCAR.

Sur les finalités du traitement :

La commission relève que le nouvel article R. 611-35 du CESEDA prévoit la création du traitement OSCAR, relevant de l'OFII, dont les finalités sont de « garantir les droits des bénéficiaires de l'aide au retour en permettant de déceler les demandes présentées à plusieurs reprises par une même personne, le cas échéant sous plusieurs identités », d'une part, et de permettre le suivi administratif, budgétaire et comptable des procédures d'aide au retour financées par I'OFII, d'autre part.

Les aides au retour visent à inciter les retours volontaires des étrangers dans leur pays d'origine, et consistent en le versement échelonné de sommes financières ainsi qu'en la fourniture de prestations diverses telles que la prise en charge des frais de voyage, l'hébergement ou l'accompagnement des étrangers bénéficiaires. Le bénéfice d'une aide au retour ne peut être accordé qu'une seule fois à la même personne.

Eu égard au caractère attractif des sommes versées, en particulier en ce qui concerne le programme dit d'aide au retour volontaire, le ministère chargé de l'immigration projette de mettre en œuvre un traitement de données à caractère personnel qui puisse prévenir l'obtention indue de ces aides financières, et notamment le versement de plusieurs aides à la même personne.

La commission prend donc acte des finalités du traitement OSCAR.

Elle observe cependant que le traitement OSCAR a également une finalité statistique, dans la mesure où il est prévu d'établir des statistiques anonymes relatives à l'engagement et à la réalisation des procédures d'aide au retour financées par l'OFII, afin d'aider au pilotage de ce dispositif et d'optimiser la gestion de ses bénéficiaires. Elle prend acte de cette troisième finalité du traitement, et demande à ce que celle-ci soit explicitement mentionnée dans le projet de décret.

Sur les données enregistrées dans le traitement :

La commission relève tout d'abord que l'enregistrement des empreintes digitales des bénéficiaires de l'aide au retour a été explicitement autorisé par le législateur. Elle constate en outre que cet enregistrement ne permettra d'identifier directement les étrangers concernés à partir de leurs données biométriques, dans la mesure où celles-ci sont enregistrées dans un module distinct de celui qui contient les autres données à caractère personnel, et notamment l'état civil des personnes.

En effet, les données biométriques des personnes concernées ne sont enregistrées dans une base centrale qu'aux fins de comparaison, lors du dépôt de la demande d'aide, des empreintes digitales du demandeur avec celles qui sont enregistrées dans le système. Cette comparaison se traduit exclusivement par un résultat « existant » ou « non existant », selon que les empreintes digitales ont déjà été enregistrées ou non dans la base. Ainsi, l'enregistrement des empreintes digitales des ressortissants étrangers bénéficiaires de l'aide au retour a pour unique finalité de déterminer si ceux-ci ont déjà bénéficié d'une telle aide, sous une même identité ou sous une autre.

En outre, la commission relève qu'aux termes du projet d'article R. 611-37 du CESEDA, les données biométriques relatives aux demandeurs d'une aide au retour dont la demande a été refusée, ou qui ont renoncé au bénéfice de l'aide avant le premier versement, sont effacées sans délai. Seules les empreintes digitales des bénéficiaires d'une aide au retour seront donc conservées dans le traitement OSCAR, conformément aux dispositions législatives précitées.

La commission rappelle que la collecte des empreintes digitales n'est pas toujours physiquement possible ni exploitable, d'une part, et que toute comparaison biométrique comporte un taux incompressible de faux rejets, d'autre part.A cet égard, elle prend acte de ce que le nouvel article R. 611-36 du CESEDA précise que « l'impossibilité de collecte totale ou partielle des empreintes digitales est mentionnée dans le traitement ».

En ce qui concerne les mineurs étrangers dont les données personnelles peuvent être enregistrées dans le traitement, dans la mesure où leur présence ouvre droit à des aides supplémentaires, la commission prend acte de ce que seules les empreintes digitales des mineurs âgés d'au moins douze ans seront collectées. Elle rappelle que l'âge minimal de collecte des identifiants biométriques n'est pas seulement un élément technique mais une question de principe méritant un large débat, et qu'en tout état de cause, pour préserver la dignité de la personne et pour garantir la fiabilité de la procédure, la collecte et le traitement des empreintes digitales doivent être limités pour les enfants. Elle relève enfin que la dispense de collecte de ces éléments pour les enfants âgés de moins de douze ans est conforme aux évolutions du droit communautaire en la matière.

Le projet de décret prévoit en outre d'insérer une nouvelle annexe 6-8 au CESEDA, listant les données à caractère personnel relatives à un étranger bénéficiaire d'une aide au retour susceptibles d'être enregistrées dans le traitement OSCAR.

S'agissant de la photographie des personnes concernées, la commission prend acte de ce que le projet d'article R. 611-36 prévoit explicitement qu'il n'est pas mis en œuvre de dispositif de reconnaissance faciale à partir de cette donnée.

Les autres données visées à la nouvelle annexe 6-8, relatives à l'identification du bénéficiaire, à la gestion administrative et comptable du dossier de demande, à l'organisation du voyage et aux éventuels mineurs concernés, n'appellent pas d'observations particulières de la commission.

Le nouvel article R. 611-37 du CESEDA prévoit que l'ensemble des données personnelles enregistrées dans le traitement OSCAR sont conservées pendant cinq ans à compter de la date de la décision de l'OFII. La commission estime que cette durée de conservation est adéquate, eu égard à l'échelonnement des versements, d'une part, et à la finalité de prévention des fraudes, d'autre part.

Elle estime cependant que les données relatives aux étrangers dont la demande a été refusée ou qui ont renoncé au bénéfice de l'aide avant le premier versement devraient être effacées sans délai, comme le prévoit le projet de décret s'agissant des données biométriques. En effet, la conservation de ces données n'apparaît nécessaire ni à la prévention des fraudes, ni à la gestion des procédures d'aide au retour.

Sur les destinataires des données :

En premier lieu, la commission prend acte de ce que les données enregistrées dans le traitement OSCAR ne seront pas accessibles aux agents chargés des missions de prévention et de répression des actes de terrorisme. Elle relève qu'en l'état, aucune disposition législative ne permet à ces agents d'accéder aux données du traitement projeté.

Elle prend également acte de ce que les destinataires des données du traitement n'auront pas accès aux données biométriques, dans la mesure où celles-ci ne sont utilisées qu'aux fins de comparaison avec les empreintes digitales des demandeurs d'aide au retour et non à des fins d'identification directe de ceux-ci.

Les destinataires des données du traitement OSCAR mentionnés au projet d'article R. 611-38 du CESEDA sont les agents de l'OFII, aux fins d'instruction des demandes d'aide au retour, au suivi des dossiers des bénéficiaires et à la gestion des dispositifs d'aide au retour, les agents préfectoraux afin d'assurer le suivi administratif des procédures d'attribution des aides au retour, les agents des ambassades et des consulats français à l'étranger afin de pouvoir assurer le suivi de la procédure après le départ en France et les personnels des organismes partenaires de l'OFII à la seule fin de la réalisation des missions qui leur sont confiées par les conventions les liant à cette dernière.

La commission prend acte que seuls les agents de l'OFII bénéficient d'un accès direct au système d'informations, et que les autres destinataires susmentionnés n'ont accès à certaines données enregistrées dans OSCAR que par voie de transmission de documents papier. Une lettre de confirmation de chaque départ effectué, contenant les éléments d'identification de l'étranger concerné, est ainsi transmise par l'OFII à la préfecture territorialement compétente. Un ordre de paiement par courrier, contenant les mêmes données personnelles, est de même adressé à l'ambassade ou au consulat concerné afin de verser les sommes dues au bénéficiaire de l'aide. Les informations relatives aux départs effectifs de certains bénéficiaires peuvent également être communiquées à des associations partenaires de l'OFII, dans le cadre des conventions que celle-ci peut signer en application des dispositions de l'article R. 5223-2 du code du travail.

Enfin, la commission prend acte de ce que ces destinataires font l'objet d'une désignation individuelle et d'une habilitation spéciale par leur supérieur hiérarchique, respectivement par le directeur général de l'OFII, le préfet, et l'ambassadeur ou le consul, conformément à ses recommandations en la matière.

Sur les sécurités du dispositif :

En ce qui concerne le système biométrique envisagé, compte tenu à la fois des caractéristiques de ces éléments d'identification, des usages possibles de ces données et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant, la commission rappelle que le traitement de ces données doit être accompagnée de garanties particulières, de nature à assurer un très haut niveau de sécurité des données.

A cet égard, la commission estime que les mesures de protection cryptographiques garantissant la séparation des données biométriques des autres données à caractère personnel enregistrées dans le traitement, apparaissent satisfaisantes. Elle prend acte de ce qu'une deuxième vérification d'empreinte sera par ailleurs réalisée en cas de concordance lors de la première comparaison, afin de minimiser le risque d'un refus non justifié.

Cependant, dans la mesure où le matériel d'acquisition biométrique n'est pas encore choisi, la commission demande à être rendue destinataire des informations relatives à la performance du dispositif biométrique qui sera retenu, et notamment aux taux estimés de faux rejets et de fausses acceptations. Elle demande également, compte tenu des caractéristiques des éléments d'identification retenus, à ce qu'un bilan détaillé des résultats du traitement biométrique envisagé lui soit adressé après trois années de mise en œuvre.

La commission relève enfin que le serveur central ainsi que les postes de consultation du traitement OSCAR sont hébergés dans les locaux internes à l'OFII, que le système d'information est constitué d'un ensemble de sites interconnectés par un VPN, que l'authentification des agents habilités à accéder à l'application est assurée par un système classique d'identifiant et de mot de passe, et que ces accès font l'objet d'une traçabilité. Le module biométrique bénéficie en outre de mesures de sécurité supplémentaires afin d'interdire les copies d'écran, ou toute forme de copie des données biométriques.

La commission considère donc que l'ensemble de ces mesures de sécurité sont adéquates.

Sur les droits des personnes concernées :

La commission prend acte de ce que le projet d'article R. 611-37 du CESEDA prévoit que les personnes concernées sont informées « par écrit et dans une langue qu'ils comprennent des conditions de conservation des données les concernant et de leurs droits d'accès à ces données ». Cette information est effectuée par une mention sur le formulaire de demande d'aide au retour et sur le site internet de l'OFII, ainsi que par voie d'affichage dans les locaux de l'office.

Elle demande à ce que la mention en question soit complétée des destinataires des données enregistrées dans le traitement OSCAR, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.

Enfin, la commission prend acte de ce que les projets d'articles R. 611-39 et R. 611-40 du CESEDA précisent respectivement que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du directeur général de l'OFII, et que le droit d'opposition prévu à l'article 38 de ladite loi ne s'applique pas au traitement OSCAR.



Le président,
A. Türk