JORF n°98 du 26 avril 2006

Délibération n°2005-313 du 20 décembre 2005

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère de l'intérieur et de l'aménagement du territoire, le 10 octobre 2005, d'un projet de décret modifiant le décret n° 2004-1266 du 25 novembre 2004 (demande d'avis n° 1127337) ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment son article L. 611-6 ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 27 ;

Vu le décret n° 2004-1266 du 25 novembre 2004 pris pour l'application de l'article 8-4 de l'ordonnance n° 45-2658 du 2 novembre 1945 relative aux conditions d'entrée et de séjour des étrangers en France et portant création à titre expérimental d'un traitement automatisé des données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978, modifiée par la loi n° 2004-810 du 6 août 2004 ;

Vu les délibérations de la CNIL n° 2003-015 du 24 avril 2003 et n° 2004-075 du 5 octobre 2004 ;

Après avoir entendu M. François Giquel, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

Le ministère de l'intérieur a saisi la Commission nationale de l'informatique et des libertés du projet de décret modifiant le décret n° 2004-1266 du 25 novembre 2004 pris pour l'application de l'article 8-4 de l'ordonnance n° 45-2658 du 2 novembre 1945 relative aux conditions d'entrée et de séjour des étrangers en France et portant création à titre expérimental d'un traitement automatisé des données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa (BIODEV).

Afin de tester l'efficacité du dispositif, le ministère estime en effet nécessaire d'expérimenter pendant une période supplémentaire d'un an quatre nouvelles fonctionnalités qui portent respectivement sur l'extension du champ géographique du dispositif, de nouvelles utilisations de la base de données BIODEV au profit des agents consulaires et des services de police urbaine, la mutualisation des moyens de collecte des données biométriques avec certains Etats parties à la convention de Schengen et, enfin, l'extension de la durée de l'expérimentation.

La commission rappelle en premier lieu que, lors de l'avis rendu le 5 octobre 2004 sur le projet de décret portant création du traitement BIODEV, elle avait souligné que la création d'une base centralisée de données biométriques pouvait être admise à titre expérimental dans le cadre envisagé, mais qu'un tel traitement « ne saurait en tout état de cause être pérennisé au-delà de la fin de l'expérimentation sans que la commission ait été en mesure de connaître les avantages et les inconvénients précis qui auraient été retirés du recours à la base centrale, par comparaison notamment avec l'autre dispositif, tout particulièrement sur le plan de la protection des droits des intéressés au regard du traitement des données biométriques les concernant et sur celui du respect du principe de proportionnalité ».

Ainsi, la commission avait demandé que lui soit adressé tout document, d'étape ou définitif, propre à lui apporter l'information nécessaire, accompagné :

- d'un protocole d'évaluation intégrant la prise en compte des incidents, défaillances techniques graves ou des défaillances dues à une compromission interne ;

- du descriptif des procédures prévues dans l'hypothèse où une personne bénéficiaire d'un visa valide se verrait refuser son entrée en France après comparaison de ses empreintes avec les informations la concernant enregistrées dans le composant associé à son visa ou dans la base expérimentale ;

- d'un bilan des éventuels avantages retirés de l'enregistrement dans la base centralisée des empreintes des dix doigts des intéressés ;

- d'un bilan concernant les différents composants électroniques testés et les avantages et inconvénients respectifs qu'ils présentent au regard de la finalité du traitement, comparés à ceux d'une base centralisée ;

- d'un rapport d'évaluation de la fiabilité des dispositifs et outils de lecture des empreintes digitales et du contenu du composant électronique associé au visa installés dans les postes frontières.

A l'appui de sa demande d'avis modificative, le ministère de l'intérieur a communiqué à la CNIL deux rapports d'évaluation, le premier traitant de l'expérimentation dans les postes consulaires, le second de celle conduite dans les postes frontières.

Toutefois, la commission considère que ces rapports d'évaluation, réalisés en juillet 2005, soit moins de quatre mois après le lancement effectif de l'expérimentation BIODEV, le 22 mars 2005, alors seulement que 18 000 visas biométriques avaient été délivrés et 7 500 contrôlés aux postes frontières, ne répondent pas pleinement aux demandes qu'elle avait formulées et ne permettent pas d'apprécier réellement les résultats de l'expérimentation conduite, compte tenu des faibles effectifs concernés et du caractère partiel des évaluations réalisées, s'agissant en particulier de la phase d'enrôlement des empreintes digitales et du recours à la technologie de la carte à puce, testée uniquement sur deux sites (postes consulaires de Bamako et de Colombo).

A cet égard, elle estime indispensable, compte tenu des enjeux importants au regard des principes de protection des données personnelles que revêt le choix de la technologie utilisée, de poursuivre et de développer l'expérimentation des contrôles aux frontières opérés à partir des données biométriques stockées sur une carte à puce afin de pouvoir disposer d'un bilan complet des avantages et inconvénients de cette technique.

Elle rappelle aussi les demandes d'évaluation formulées lors de son avis précité et considère en particulier qu'une étude approfondie devra être conduite, de façon indépendante et selon une méthodologie précisément définie, sur les modalités de déroulement de la phase d'enrôlement.

Sur l'extension géographique de l'expérimentation :
Le ministère de l'intérieur souhaite élargir le champ géographique de l'expérience à trente-quatre nouveaux postes consulaires (notamment au Maghreb et en Afrique subsaharienne). Ce sont en particulier les pays sources d'une immigration irrégulière qui seraient concernés par cette deuxième phase afin de « contribuer à une expérience significative des contrôles sur le territoire ».
Parallèlement, onze postes frontières devraient être nouvellement intégrés dans l'expérimentation (article 7 du projet de décret), couvrant ainsi une grande partie des points d'entrée aériens et maritimes du territoire national.
La commission observe que cette modification constitue une extension substantielle de l'expérimentation puisque l'application BIODEV 2 devrait désormais concerner près de 44 % des visas délivrés par les autorités françaises.
Sur la mutualisation de la collecte des données biométriques :
Le texte proposé permettrait de mutualiser avec les Etats parties à la convention de Schengen les moyens de collecte des données biométriques. Ainsi, des équipements et des fonctionnaires des représentations consulaires d'autres Etats européens pourraient collecter des données alimentant BIODEV, sans pour autant avoir accès à la base de données ni influer sur la procédure de délivrance du visa qui demeure de la responsabilité exclusive du poste consulaire français.
Cette mutualisation des moyens de collecte préfigure le système européen VIS de gestion des visas, dans le cadre duquel les équipements et les fonctionnaires consulaires d'autres Etats membres de l'espace Schengen devraient pouvoir collecter des données alimentant la base française, puis la base européenne, et réciproquement.

La commission relève que les autorités consulaires des autres Etats membres ne pourraient qu'alimenter la base de données par liaison sécurisée avec un serveur applicatif « extranet » du centre informatique du ministère des affaires étrangères, mais n'y auraient pas accès. Des mesures techniques sont également prévues afin d'éviter la constitution de bases de données locales.

La consultation par les agents consulaires
des données biométriques contenues dans la base centrale

Les agents consulaires des postes concernés par l'expérimentation auraient la possibilité de consulter la base de données afin de vérifier si les données qu'ils collectent ne sont pas déjà enregistrées dans l'application.
Les agents des sites pilotes pourraient ainsi interroger, de façon systématique, la base de données centrale de l'expérimentation à partir des empreintes des dix doigts du demandeur dès leur recueil. En cas de correspondance avec des empreintes digitales déjà présentes dans la base de données, seuls la référence du dossier trouvé, l'état civil de la personne et sa photographie seraient envoyés au consulat à l'origine de l'interrogation.
La commission prend acte de cette nouvelle utilisation qui doit permettre, compte tenu en particulier du manque de fiabilité de certains justificatifs d'états civils présentés, de prévenir ainsi d'éventuelles usurpations d'identité et de détecter plus aisément les demandes multiples.
A cet égard, elle demande à avoir communication, au terme de l'expérimentation, d'un bilan chiffré des constatations qui auront été faites à la suite des consultations opérées.

La consultation par certains services de police urbaine
des données biométriques contenues dans la base centrale

Aux termes du projet de décret, afin de faciliter les contrôles opérés par les services de police sur le territoire national, les destinataires des données à caractère personnel enregistrées dans le traitement seraient, outre les agents consulaires et les agents de la police aux frontières, « les agents individuellement désignés et spécialement habilités des services de la police nationale mentionnés à l'annexe 5 au présent décret, chargés des missions de vérification d'identité prévues par l'article 78-3 du code de procédure pénale ». Cette liste des services qui « peuvent consulter » les données comprend les circonscriptions de sécurité publique dépendant de l'autorité du préfet de police, du commissariat central de Lille, du commissariat central de Lyon et du commissariat central de Marseille (soit 2 600 officiers de police judiciaire).
Selon le rapport au Premier ministre, « certains services chargés de la sécurité publique doivent être associés à l'expérimentation, dans l'hypothèse notamment où ils sont confrontés à la difficulté d'identifier des étrangers en situation irrégulière qui ont perdu ou détruit leurs papiers ».

Selon les indications données par le ministère de l'intérieur, la prise d'empreintes digitales pour vérifier la situation d'une personne trouve sa base juridique dans l'article 78-3, quatrième alinéa, du code de procédure pénale, aux termes duquel « Si la personne interpellée maintient son refus de justifier de son identité ou fournit des éléments d'identité manifestement inexacts, les opérations de vérification peuvent donner lieu, après autorisation du procureur de la République ou du juge d'instruction, à la prise d'empreintes digitales ou de photographies lorsque celle-ci constitue l'unique moyen d'établir l'identité de l'intéressé ».
Il est ainsi prévu que, dans les cas précités, il soit procédé à la prise et à la numérisation des empreintes et des photographies aux fins de rapprochement de la base BIODEV et d'établissement de l'identité de la personne. Aucun fichier ne serait constitué avec ces données biométriques, et la consultation ne laisserait aucune trace dans l'application BIODEV elle-même. Il s'agirait donc pour les services de police chargés de la sécurité publique d'opérer « une consultation ponctuelle, à sens unique et sans traçabilité ». Les vérifications d'identité envisagées à partir de la base BIODEV seraient uniquement réalisées par des officiers de police judiciaire spécialement habilités.
La commission considère que si la légitimité de la lutte contre l'immigration irrégulière et la volonté de mieux établir l'identité des ressortissants étrangers en situation irrégulière en France ne sont pas contestables, le développement de cette finalité dans le cadre de l'expérimentation BIODEV II doit respecter les principes de protection des données à caractère personnel, et en particulier le principe d'une finalité non seulement légitime mais explicite et déterminée, et le principe de proportionnalité.
Se référant notamment aux avis qu'elle a rendus les 24 avril 2003 et 5 octobre 2004, la commission rappelle que le traitement, sous une forme automatisée et centralisée, de données biométriques telles que les empreintes digitales, compte tenu à la fois des caractéristiques de l'élément d'identification physique retenu, des usages possibles de ces traitements et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant, ne peut être admis que dans la mesure où des exigences impérieuses en matière de sécurité ou d'ordre public le justifient.
Un tel traitement doit en tout état de cause respecter les principes qui, consacrés par l'article 8 de la Charte des droits fondamentaux de l'Union européenne et énoncés par la directive du 24 octobre 1995 et l'article 6 de la loi du 6 janvier 1978 modifiée, instituent une protection des droits des personnes à l'égard du traitement automatisé de leurs données à caractère personnel. Au titre de ces principes, les données à caractère personnel ne peuvent être traitées que pour des finalités déterminées, explicites et légitimes et doivent être adéquates, pertinentes et non excessives au regard de ces finalités. La commission doit notamment apprécier, au regard de la finalité déclarée des traitements qui lui sont soumis, la proportionnalité des moyens utilisés ainsi que la pertinence des différents éléments de ces traitements.
S'agissant de BIODEV I qui avait pour finalité, selon l'article 1er, de « mieux garantir le droit au séjour des personnes en situation régulière et de lutter contre l'entrée et le séjour irrégulier des étrangers en France, en prévenant les fraudes documentaires et les usurpations d'identité et en améliorant la vérification de l'authenticité des visas ainsi que l'identité des étrangers lors des contrôles aux frontières », la commission a considéré en octobre 2004 que « le recours à un dispositif reposant sur la comparaison des empreintes digitales du détenteur du visa avec celles enregistrées dans le composant électronique associé au visa, pour s'assurer que la personne qui présente un visa est bien la personne à qui il a été délivré, est adéquat, pertinent et non excessif, dès lors que des précautions particulières sont adoptées lors de l'enrôlement dans les postes consulaires des données biométriques et que des mesures de sécurité spécifiques sont prises pour garantir la confidentialité des données, tout particulièrement contre les risques de captation irrégulière, notamment grâce à des méthodes sûres de chiffrement et de signature électronique ».

S'agissant de la création d'une base centralisée, la commission a estimé que l'enregistrement et la conservation dans une telle base des données biométriques des personnes ayant demandé un visa et ne l'ayant pas obtenu n'étaient pas pertinents et justifiés par rapport à la finalité du contrôle aux frontières : en effet, pour celles d'entre elles qui se présenteraient à la frontière, nécessairement sans visa, la consultation du fichier central ne ferait que confirmer l'absence de visa, le fait de l'avoir demandé ou non n'ayant pas d'effet sur le droit d'entrer sur le territoire français. La commission n'a pas été suivie sur ce point.
En revanche, elle a considéré que, pour les personnes qui ont obtenu un visa, « la création d'une base centralisée comportant leurs données biométriques peut être admise à titre expérimental dans le cadre envisagé, à des fins de comparaison, et à la condition que soient strictement définies les conditions de mise en oeuvre, d'alimentation, de consultation, de mise à jour et d'effacement de cette base ». La commission avait néanmoins souligné la nécessité d'évaluer les avantages et les inconvénients précis qui auraient été retirés du recours à la base centrale, par comparaison notamment avec le dispositif de carte à puce, tout particulièrement sur le plan de la protection des droits des intéressés au regard du traitement des données biométriques les concernant et sur celui du respect du principe de proportionnalité.
La commission relève que le législateur n'a pas expressément autorisé les services de police à consulter les traitements autorisés par les articles L. 611-3 (demandeurs de titres de séjour et étrangers en situation irrégulière, etc.) et L. 611-6 (demandeurs de visas) pour vérifier ou établir l'identité d'un étranger. En effet, aux termes de l'article L. 611-4 du code de l'entrée et du séjour, seules les données du fichier automatisé des empreintes digitales géré par le ministère de l'intérieur peuvent être consultées par les agents expressément habilités des services du ministère de l'intérieur et de la gendarmerie nationale. Cette consultation du FAED, à des fins de police administrative et hors du contrôle de l'autorité judiciaire, doit être réalisée dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
La commission relève aussi que l'article 78-3 du code de procédure pénale concerne seulement la prise de photographies et d'empreintes digitales d'une personne, qu'elle soit française ou étrangère, par les services de police, dans certaines circonstances et selon certaines modalités, sur autorisation du procureur de la République ou du juge d'instruction.
Elle observe également qu'elle n'a admis, lors des avis rendus le 14 octobre 1986 et le 24 juin 2004, en se référant aux articles 55-1 et 78-3 du code de procédure pénale, que la consultation du fichier automatisé des empreintes digitales dans le cadre de missions de police judiciaire, de façon ponctuelle et sous certaines conditions, par les seuls personnels habilités des services d'identité judiciaire du ministère de l'intérieur et des unités de recherches de la gendarmerie nationale afin de procéder aux opérations d'identification à la demande de l'autorité judiciaire ou des officiers de police judiciaire de la police nationale ou de la gendarmerie nationale.
Dans ces conditions, elle estime que le projet de décret qui lui est soumis ne peut donner aux services de police la possibilité légale d'avoir accès en permanence à la base de données des visas biométriques pour identifier des étrangers supposés être en situation irrégulière.
Elle considère enfin que l'accès à une base centrale de données biométriques comprenant l'ensemble des demandeurs de visas n'est pas adéquat au regard de la finalité d'identification des étrangers en situation irrégulière sur le territoire.
Pour toutes ces raisons, elle estime que la consultation de l'ensemble de la base BIODEV par les services de police ne comporte pas les garanties de nature à assurer le respect des principes de protection des données personnelles et que d'autres solutions peuvent être étudiées, voire expérimentées.

1 version

Le président,

A. Türk