La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté fixant les modalités de l'envoi du passeport par courrier sécurisé et autorisant la création d'un téléservice permettant à l'usager d'attester de la réception de son passeport ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des relations entre le public et l'administration ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le 11-4° de son article 27 ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis d'un projet d'arrêté fixant les modalités de l'envoi du passeport par courrier sécurisé et autorisant la création d'un téléservice permettant à l'usager d'attester de la réception de son passeport.
Ce projet vise à mettre en œuvre la possibilité, offerte aux Français établis hors de France de recevoir leur passeport par la voie postale. A cette fin, il met à leur disposition un téléservice permettant de s'authentifier et d'attester de la réception du passeport.
Il relève dès lors des dispositions de l'article 27-11-4° de la loi du 6 janvier 1978 modifiée et doit être autorisé par un arrêté ministériel pris après avis motivé et publié de la Commission.
Sur les finalités du traitement :
L'article 10 du décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports a été modifié par le décret n° 2015-701 du 19 juin 2015, pour permettre aux Français établis hors de France de recevoir, à leur demande et à leurs frais, leur passeport par courrier.
Le projet d'arrêté définit les modalités d'acheminement et de réception d'un tel envoi postal et crée, dans ce cadre, un téléservice qui doit permettre, aux termes de son article 5 :
« 1° A l'usager de s'authentifier, de déclarer la réception ou l'absence de réception de son passeport et de joindre à sa déclaration l'image numérisée de l'attestation de remise signée et le cas échéant des pièces supplémentaires justifiant la restitution ou l'absence de restitution de l'ancien titre ;
2° Aux agents des services centraux ou déconcentrés du ministère des affaires étrangères de récupérer les informations issues de cette déclaration et de les valider en vue de la poursuite et de la clôture de l'instruction du dossier de demande de passeport ».
Les données collectées lors de la déclaration de la réception ou de la non-réception du passeport par le demandeur sont communiquées au système d'information TES, utilisé pour l'établissement des passeports.
L'envoi postal du passeport aux Français résidant à l'étranger n'est autorisé que dans un nombre limité d'Etats, dont la liste est annexée au projet d'arrêté.
Le traitement doit ainsi simplifier et sécuriser la délivrance du passeport aux demandeurs inscrits au registre des Français de l'étranger et souhaitant bénéficier de la possibilité de l'envoi postal de leur titre.
Dès lors, la commission considère que les finalités du traitement sont déterminées, explicites et légitimes, conformément à l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Elle relève toutefois que le choix, par les usagers, de l'envoi de leur passeport par courrier sécurisé entraînera l'obligation d'utiliser le téléservice et, par conséquent, la nécessité de disposer du matériel de numérisation nécessaire à la transmission de justificatifs et le respect d'un calendrier strict, dont la méconnaissance est sanctionnée par l'invalidation du nouveau passeport.
Sur ce point, elle prend acte de l'engagement du ministère de l'intérieur d'élaborer des supports de communication, remis aux usagers lors du recueil de leur demande de passeport et disponibles en ligne, attirant leur attention sur les conséquences du choix de l'envoi par courrier sécurisé, et notamment sur le risque d'invalidation de leur passeport en cas de non-respect des obligations auxquelles ils acceptent de se soumettre en bénéficiant de ce service.
Sur les données traitées :
L'article 6 du projet d'arrêté prévoit que les données à caractère personnel et informations enregistrées sont :

- le numéro du nouveau passeport, le numéro de demande de passeport ;
- le code de connexion de l'usager au téléservice délivré par l'administration ;
- l'adresse électronique indiquée par l'usager lors du recueil de la demande ;
- le numéro de suivi du courrier sécurisé, nom du transporteur et adresse du site web de suivi ;
- le numéro de l'ancien passeport à renvoyer ;
- la date de la déclaration ;
- les motifs de refus de réception du passeport par l'usager ;
- le motif de l'absence de réception du passeport, le cas échéant ;
- l'image numérisée de l'attestation de remise datée et signée ;
- l'image numérisée du justificatif de l'absence de renvoi du précédent passeport (visa en cours ; déclaration de perte ou de vol) ;
- l'adresse IP du terminal au moyen duquel la déclaration a été effectuée.

Interrogé sur les motifs justifiant la collecte de l'adresse IP, le ministère de l'intérieur a indiqué qu'elle permettrait uniquement d'identifier les problèmes techniques (navigateur ne se connectant pas correctement, par exemple) et de sécurité inhérents à la nature de ce système d'information (attaque à partir d'une même adresse IP, par exemple).
En outre, contrairement aux autres données collectées, cette adresse ne sera pas communiquée au système d'information TES.
Dans ces conditions, les données enregistrées sont limitées aux informations nécessaires à la mise en œuvre de la procédure de l'envoi du passeport par courrier sécurisé, ce qui répond aux exigences prévues à l'article 6-3° de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que les données non pertinentes, que les usagers pourraient transmettre par le biais du téléservice, devront être détruites de manière définitive et sécurisée.
Sur la durée de conservation des données :
L'article 8 du projet d'arrêté prévoit que les données ne peuvent être conservées dans le téléservice au-delà de quatre mois à compter de la date d'envoi sécurisé du passeport à l'usager
Cette durée correspond à la somme du délai de quarante jours dont disposent les usagers pour transmettre l'attestation de remise du passeport, conformément à l'article 3 du projet d'arrêté, et du délai de quatre-vingt jours pendant lequel des échanges entre le consulat et l'usager peuvent encore intervenir pour finaliser la déclaration de réception et clôturer le dossier de demande de passeport.
Il ne concerne donc que les demandes de passeport pour lesquelles il n'a pas été possible de procéder à la validation de la déclaration effectuée par l'usager dans le délai de quarante jours.
En revanche, en cas de validation de la déclaration effectuée, qu'il s'agisse d'une déclaration de bonne remise, de refus ou de non-réception, un système de purge automatique est prévu pour assurer la destruction des données dans un délai maximum de trente jours.
Dans ces conditions, la commission considère que les durées de conservation prévues sont adaptées aux finalités pour lesquelles les données sont collectées et traitées, conformément à l'article 6-5° de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 7 du projet d'arrêté prévoit que seuls peuvent accéder aux données et informations enregistrées dans le traitement les agents des services centraux ou déconcentrés du ministère des affaires étrangères chargés de la délivrance des passeports.
Ils doivent être individuellement désignés et dûment habilités par l'ambassadeur ou le consul et ne peuvent accéder aux données et informations que pour les besoins exclusifs de l'accomplissement de leurs missions.
La commission estime dès lors que l'accès de ces agents aux données est justifié au regard des finalités du traitement.
Sur les droits des personnes :
La commission relève que le projet d'arrêté n'exclut pas l'exercice des droits d'opposition et d'information.
S'agissant du droit d'information, elle rappelle que l'usager doit recevoir l'ensemble des éléments d'information mentionnés à l'article 32-1 de la loi du 6 janvier 1978 modifiée.
En outre, conformément à l'article 5 du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9,10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, les usagers du téléservice doivent pouvoir accéder à l'attestation garantissant que le traitement est conforme au référentiel général de sécurité (RGS).
S'agissant des droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée, l'article 9 du projet d'arrêté prévoit qu'ils s'exercent auprès de l'Agence nationale des titres sécurisés, par voie postale et en justifiant de son identité, « à l'exclusion des opérations qui peuvent être réalisées directement par le demandeur dans le téléservice pour saisir ou modifier les données à caractère personnel et informations enregistrées ».
La commission considère à cet égard que la mise en œuvre de tout téléservice doit avoir pour corollaire la possibilité pour les usagers d'exercer leurs droits d'accès et de rectification par voie dématérialisée.
Sur les mesures de sécurité et la traçabilité des opérations :
Le dispositif étant un téléservice de l'administration, la commission rappelle que le responsable de traitement doit attester de sa conformité au RGS. Elle prend acte que le téléservice sera prochainement soumis à la commission d'homologation et rappelle que l'obtention de cette attestation constitue un préalable obligatoire à sa mise en œuvre.
S'agissant des modalités d'accès au téléservice, la commission relève que chaque usager dispose d'un identifiant qui lui est propre. Un code secret, diffusé sur un autre canal de communication, permet de garantir l'authentification de l'usager et des mesures sont prises afin de limiter les tentatives d'accès frauduleux.
En outre, les échanges de données sont réalisés via des canaux de communication chiffrés et assurant l'authentification de la source et de la destination. L'accès aux données est sécurisé au moyen du protocole HTTPS. La commission recommande d'utiliser la version de TLS la plus à jour possible.
La commission estime par ailleurs appropriées la journalisation des opérations de consultation, création, modification et suppression du traitement et les mesures de cloisonnement et de compartimentation du réseau sur lequel repose le traitement.
Enfin, un logiciel antivirus est installé et régulièrement mis à jour sur tous les postes prenant part au traitement et une analyse des pièces jointes justificatives fournies par l'usager est réalisée afin d'assurer la sécurité du traitement.
Dans ces conditions, la commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que l'obligation résultant de l'article 34 susmentionné nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.