La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant le chapitre Ier du titre III du livre II de la partie réglementaire du code de la sécurité intérieure, relatif au traitement N-SIS ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement n° 1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) ;
Vu la décision n° 2007/533/JAI du Conseil du 12 juin 2007 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) ;
Vu la décision d'exécution n° 2016/1209 de la commission du 12 juillet 2016 remplaçant l'annexe de la décision d'exécution 2013/115/UE relative au manuel Sirene et à d'autres mesures d'application pour le système d'information Schengen de deuxième génération (SIS II) ;
Vu le code de la sécurité intérieure, notamment ses articles R. 231-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26, 27 et 30 ;
Vu le décret n° 87-249 du 8 avril 1978 modifié relatif au fichier automatisé des empreintes digitales géré par le ministère de l'intérieur ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-569 du 28 mai 2010 modifié relatif au fichier des personnes recherchées ;
Vu le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
Vu l'arrêté du 31 juillet 2001 relatif au traitement automatisé d'informations nominatives dénommé « gestion électronique de documents » ;
Vu l'arrêté du 17 mars 2014 portant autorisation à titre expérimental d'un traitement automatisé de données à caractère personnel dénommé « Fichier des objets et des véhicules signalés (FOVeS) » ;
Vu l'arrêté du 10 août 2016 autorisant la création d'un traitement automatisé de données à caractère personnel dénommé « DOCVERIF » ;
Vu la décision du Conseil constitutionnel n° 2012-652 DC du 22 mars 2012 ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant le chapitre 1er du titre III du livre II de la partie réglementaire du code de la sécurité intérieure, relatif au traitement N-SIS II. Le projet de décret vise à modifier les articles R. 231-1 à R. 231-16 du code de la sécurité intérieure (CSI), qui fixent les modalités de mise en œuvre du système informatique national du système d'information Schengen dénommé « N-SIS ». Ce traitement relève des dispositions des articles 26 et 27 de la loi du 6 janvier 1978 modifiée et les modifications projetées doivent dès lors faire l'objet d'un décret en Conseil d'Etat pris après avis motivé et publié de la commission.
A titre liminaire, la commission rappelle que le système d'information Schengen (SIS) a été initialement prévu par l'article 92 de la convention du 19 juin 1990 d'application de l'accord de Schengen du 14 juin 1985 et que la deuxième génération du SIS est désormais encadrée par le règlement (CE) n° 1987/2006 (« règlement SIS II ») et la décision 2007/533/JAl du Conseil susvisés (« décision SIS II »).
Ces textes organisent l'architecture et le fonctionnement du dispositif, qui repose sur un système central (SIS II central) comprenant notamment une base de données (CS­CIS) alimentée par des traitements nationaux. L'architecture française repose sur deux bases de données (SIB et N-SIS II), qui, en amont, sont alimentées par le FPR, le FOVeS et TES, dont les conditions de mise en œuvre sont respectivement prévues par le décret du 28 mai 2010, l'arrêté du 17 mars 2014 et le décret du 28 octobre 2016 susvisés et, en aval, alimentent le système central.
Ainsi, les textes européens précités prévoient que, dans chaque Etat membre, le système national est constitué des systèmes de données nationaux reliés au SIS II central et que « les données du SIS II sont introduites, mises à jour, supprimées et consultées par le biais des différents systèmes N. SIS II ». Les mêmes dispositions prévoient également que le système national « peut contenir un fichier de données (une “copie nationale”) comprenant une copie complète ou partielle de la base de données du SIS II » et que cette copie nationale, unique, « est disponible pour effectuer des interrogations automatisées ». Au regard de ces éléments, la commission s'interroge sur la légalité du dispositif mis en œuvre par le ministère de l'intérieur et plus particulièrement sur l'existence de multiples bases.
En tout état de cause, des impératifs opérationnels ont nécessité des évolutions de la partie française du système d'information Schengen. Cette adaptation des dispositions nationales concernant le SIS II s'inscrit également dans le cadre de l'évaluation, menée en octobre dernier par des experts nommés par les Etats membres et des représentants de la commission, de l'application de « l'acquis de Schengen » par les autorités françaises. De même, l'adoption du nouveau cadre juridique précité régissant la mise en œuvre du SIS II rend nécessaire une adaptation des dispositions nationales, en particulier concernant la création de l'office N-SIS II et la possibilité de collecter des données biométriques (photographies et empreintes digitales).
Si la commission regrette à cet égard le retard pris dans la mise en conformité des textes français à la réglementation européenne, la formulation retenue par le projet de décret s'agissant de la finalité assignée au N-SIS II, des personnes concernées et des données collectées est similaire à celle des dispositions correspondantes du « règlement SIS II » et de la « décision SIS II ». Dès lors, les modalités concrètes d'application de ces dispositions sont principalement examinées par la commission dans le cadre du présent avis.
A cet égard, la commission estime que les informations portées à sa connaissance sur ces modalités de mise en œuvre du dispositif ne lui permettent pas de s'assurer de sa conformité aux règles nationales en matière de protection des données à caractère personnel, notamment concernant le traitement de la photographie et des empreintes digitales. Au regard de la sensibilité des données biométriques et des nombreux traitements français dans lesquels de telles données sont susceptibles d'apparaître, la commission estime qu'il conviendra d'être particulièrement vigilant concernant la mise en œuvre concrète de cette fonctionnalité. En particulier, elle rappelle que les empreintes digitales qui alimenteront le SIS II doivent avoir été initialement collectées pour des finalités compatibles avec celles poursuivies par le système d'information Schengen et qu'elle devra être consultée concernant les modifications des textes réglementaires encadrant les traitements qui auront vocation à alimenter le SIS II.
De même, de récents contrôles diligentés par la commission ont révélé de nombreux dysfonctionnements, notamment quant aux mises à jour des différentes bases. Dès lors, dans la perspective de la mise en œuvre de l'ensemble des fonctionnalités prévues par le « règlement SIS II » et la « décision SIS II », la commission appelle l'attention du ministère sur l'impérieuse nécessité de mettre les pratiques nationales ainsi que les textes nationaux en conformité avec les règles européennes et la loi du 6 janvier 1978 modifiée, notamment concernant l'obligation de sécurité et le principe d'exactitude et de mise à jour des données, prévus respectivement par les articles 34 et 6 (4°) de cette loi.
Au-delà de ces observations générales, le projet de décret appelle les observations suivantes de la part de la commission.
Sur la finalité du traitement :
L'article R. 231-5 du CSI, relatif à la finalité assignée au traitement N-SIS II, est peu modifié par le présent projet de décret. Il s'agit en effet d'ajustements rédactionnels et de la mention expresse du nouveau cadre juridique encadrant le système d'information Schengen, ce qui n'appelle pas d'observation de la part de la commission.
La finalité du dispositif reste en effet de permettre aux autorités désignées par les Etats membres de partager les informations utiles et de mettre ainsi en œuvre des conduites à tenir relatives aux personnes et objets recherchés, conformément aux textes précités.
S'agissant du responsable de traitement et du service chargé de sa mise en œuvre, le projet de décret vise à modifier l'article R. 231-1 du CSI afin de procéder à des ajustements rédactionnels, conformément aux articles 1er du règlement (CE) n° 1987/2006 et de la décision 2007/533/JAI du Conseil susvisés, ce qui n'appelle pas d'observation de la part de la commission.
Tandis que l'article R. 231-2 du CSI est abrogé par le projet de décret, l'article R. 231-3 du même code, décrivant la partie nationale du système d'information Schengen, est modifié à plusieurs égards. Le dispositif se compose désormais de trois entités, contre deux auparavant : le système informatique national dénommé « N-SIS II », l'office N-SIS II et le bureau Sirene.
En premier lieu, la commission relève que, si la nouvelle formulation retenue pour le décrire reprend les termes de la décision et du règlement, elle ne permet pas de déterminer avec précision le fonctionnement concret du système d'information Schengen, alors même que la base européenne (le CS-CIS) comprend des données sur un grand nombre de personnes et d'objets et que le N-SIS II est consulté, en France, de manière indirecte par de très nombreux traitements.
Aussi, elle prend acte que, à sa demande, l'article R. 231-3 du CSI tel que prévu par le projet de décret sera modifié par le ministère de l'intérieur afin de rendre cette disposition plus lisible et prévisible pour les personnes concernées.
En deuxième lieu, le bureau Sirene, qui est mentionné dans les dispositions en vigueur du CSI, voit ses missions expressément prévues dans le projet de décret. Il est notamment chargé de coordonner la vérification de la qualité des informations introduites dans le SIS II. Or, les contrôles diligentés par la CNIL ont révélé qu'aucun contrôle régulier ou aléatoire n'était effectué sur le contenu des données inscrites dans le N-SIS II. La commission appelle dès lors l'attention sur la nécessité de mettre en œuvre ces contrôles, permettant de garantir que les données enregistrées sont adéquates, pertinentes et non excessives au regard des finalités assignées au traitement, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
En troisième lieu, le projet de décret vise à tenir compte de la création, au sein de chaque Etat membre, d'un office N-SIS II, qui en application desdits textes, « assume la responsabilité centrale du N. SIS II (…) et est responsable du bonfonctionnement et de la sécurité du N. SIS II, fait en sorte que les autorités compétentes aient accès au SIS II et prend les mesures nécessaires pour assurer le respect des dispositions » du règlement et de la décision. Le ministère a indiqué qu'en pratique, les missions de cet office étaient jusque-là partiellement assurées par la direction des systèmes d'information et de communication (DSIC) du ministère de l'intérieur. Toutefois, des dysfonctionnements et, d'une manière générale, un manque général de maîtrise du dispositif Schengen ont conduit le ministère à mettre en place cet office à l'été 2015.
La commission estime que l'articulation des missions respectives du nouvel office avec celles du bureau Sirene nécessiterait d'être clarifiée et prend acte de l'engagement du ministère de préciser, dans un texte distinct, leurs missions respectives.
Sur les personnes concernées et la nature des données traitées :
S'agissant des personnes concernées, l'article R. 231-6 du CSI est peu modifié par le projet de décret, toutes les catégories de personnes mentionnées audit article étant reprises dans ledit projet, en s'alignant sur les formulations du « règlement SIS II » et de la « décision SIS II ».
Ainsi, les personnes mentionnées aux 1° (personnes signalées en vue d'une arrestation aux fins de remise sur la base d'un mandat d'arrêt européen ou aux fins d'extradition), 3° (personnes disparues devant être placées sous protection dans l'intérêt de leur propre sécurité ou pour la prévention de menaces et les personnes disparues ne devant pas être placées sous protection) et 5° (personnes signalées par l'autorité judiciaire dans le cadre d'une procédure pénale ou pour la notification ou l'exécution d'une décision pénale) du projet d'article R. 231-6 du CSI sont prévues respectivement par les articles 26, 32 et 34 de la « décision SIS II », tandis que la collecte des données concernant les personnes mentionnées au 2° du même article (personnes signalées aux fins de non-admission ou d'interdiction de séjour à la suite d'une décision administrative ou judiciaire) est encadrée par l'article 20 du « règlement SIS II ».
En revanche, une nouvelle catégorie de personnes est expressément ajoutée au projet d'article R. 231-6 du CSI : il s'agit des « personnes signalées aux fins de contrôle discret et de contrôle spécifique dans le cadre de la répression d'infractions pénales, pour la prévention de menaces pour la sécurité publique ou de menaces graves pour la sûreté intérieure et extérieure de l'Etat », mentionnées à l'article 36 de la « décision SIS II ».
Cette catégorie de personnes n'apparaît en effet pas à l'article R. 231-6 en vigueur du CSI mais est indirectement évoquée à l'article R. 231-7 du même code, relatif aux modalités de mise en œuvre d'une « surveillance discrète et de contrôle spécifique ». Cet article R. 231-7 du CSI est dès lors également modifié afin de détailler les différentes hypothèses justifiant l'émission d'un signalement à ce titre, conformément aux dispositions de l'article 36 de la « décision SIS II ».
Pour rappel, le signalement de ces personnes dans le N-SIS II aux fins d'un contrôle discret ou d'un contrôle spécifique interviendra par l'intermédiaire d'un signalement au Fichier des personnes recherchées (FPR). Le contrôle dit « discret » consiste à noter le déplacement de la personne concernée et relever ses données à caractère personnel, sans attirer son attention, tandis que le contrôle spécifique vise à fouiller la personne ou l'objet concerné. Ces signalements peuvent intervenir aussi bien dans un cadre judiciaire qu'administratif.
S'agissant plus précisément des « personnes signalées aux fins de contrôle discret et de contrôle spécifique dans le cadre de la répression d'infractions pénales », l'article 36 de la « décision SIS II » limite les infractions concernées aux infractions graves, « telle qu'une des infractions visées au paragraphe 2 de l'article 2 de la décision cadre 2002/584/JAI » relative au mandat d'arrêt européen et aux procédures de remise entre Etats membres. Dans la mesure où le projet de décret fait référence aux infractions prévues à l'article 695-23 du code de procédure pénale, qui liste les infractions pouvant entraîner l'exécution d'un mandat d'arrêt européen sans contrôle de la double incrimination des faits reprochés, la commission estime que le champ des infractions retenu par le projet de décret est conforme aux textes européens.
Le projet de décret vise en outre à ajouter de nouvelles catégories de données susceptibles d'être traitées dans le cadre du N-SIS II.
La commission relève en premier lieu qu'il sera désormais possible de collecter et d'enregistrer les photographies et les empreintes digitales de certaines personnes, comme le prévoient expressément les dispositions communautaires précitées. A cet égard, le ministère a précisé que l'alimentation automatique du SIS II avec les empreintes digitales et les photographies n'est pas, à ce stade, opérationnelle.
Or, la commission relève qu'il est déjà procédé au traitement de ces données dans certains cas, comme elle l'a d'ailleurs constaté dans l'exercice de ses missions de contrôle et en matière de droit d'accès indirect. L'alimentation du SIS II, par le bureau Sirene, en empreintes digitales est d'ailleurs systématique s'agissant des signalements relatifs aux mandats d'arrêt européens et aux « combattants étrangers ». En pratique, les services inscripteurs annexent au signalement les photographies et empreintes des personnes concernées lorsqu'ils en disposent et les font parvenir au bureau Sirene, qui procède à un enregistrement manuel de ces données dans le SIS II. Les données ne sont utilisées qu'à des fins de vérification de l'identité de la personne, conformément aux dispositions européennes précitées.
En outre, si le « règlement SIS II » et la « décision SIS II » sont des actes contraignants et directement applicables, la commission relève toutefois que le décret susvisé du 8 avril 1987 relatif au fichier automatisé des empreintes digitales (FAED) ne prévoit pas que les empreintes digitales peuvent être communiquées à un organisme tel que le bureau Sirene ou alimenter d'autres traitements. Elle rappelle dès lors que la légalité de cette transmission nécessite une modification dudit décret, sur laquelle la commission doit être préalablement consultée pour avis.
Elle considère en outre que les empreintes digitales traitées dans le cadre du traitement N-SIS II ne sauraient en aucun cas provenir du traitement dénommé « TES », dont les modalités de mise en œuvre sont prévues par le décret du 28 octobre 2016 susvisé et qui enregistre les images numérisées du visage et des empreintes digitales des demandeurs de carte d'identité et de passeport. La commission rappelle en effet que ces données sont collectées pour des finalités exclusivement administratives et liées à la délivrance de ces titres, expressément mentionnées dans le décret précité, et que leur réutilisation ultérieure pour une finalité différente ne serait pas conforme à la loi « Informatique et Libertés ». Elle prend dès lors acte de l'engagement du ministère à ne pas permettre l'alimentation duN-SIS II par le traitement TES.
A titre plus général, la commission rappelle que les textes européens relatifs au système d'information Schengen II prévoient des règles spécifiques concernant ces données particulièrement sensibles. Ainsi en est-il notamment de la mise en place d'un contrôle de qualité spécifique visant à garantir le respect de normes minimales ; de même, ces textes limitent dans un premier temps l'utilisation des empreintes digitales à la seule confirmation de l'identité d'un ressortissant d'un pays tiers déjà identifié suite à la consultation de ses données alphanumériques enregistrées dans le SIS II, l'identification sur la base de ses identifiants biométriques étant une fonctionnalité qui ne pourra être mise en œuvre que dans un second temps.
De tels contrôles de qualité doivent dès lors être mis en œuvre de façon effective par le ministère de l'intérieur, afin de garantir que les données enregistrées sont d'une qualité suffisante pour permettre le contrôle en question et ne donnent pas lieu, entre autres, à des faux positifs.
Au regard de l'ensemble de ces éléments, la commission demande à être consultée préalablement à la mise en œuvre de ces fonctionnalités, s'agissant tant des modalités techniques de transmission des photographies et des empreintes digitales que des evolutions des textes réglementaires encadrant la mise en œuvre des fichiers nationaux susceptibles d'être concernés par ces transmissions.
En deuxième lieu, concernant les données relatives aux « liens vers d'autres signalements introduits dans le SIS », le manuel Sirene, prévu par la décision d'exécution du 12 juillet 2016 susvisée, indique qu'une personne ou un objet ne peut donner lieu qu'à un seul signalement dans le SIS II par Etat membre et prévoit à cet effet une procédure spécifique. Il s'agit d'éviter les signalements contradictoires ou qui ne seraient pas compatibles et, d'une manière générale, qu'une même personne ou objet fasse l'objet de plusieurs signalements. Or, si le bureau Sirene procède à un contrôle a priori dans quelques hypothèses, le ministère de l'intérieur ne met pas en œuvre d'outil technique d'alerte permettant d'identifier de tels signalements multiples.
En troisième lieu, l'article R. 231-16 du CSI, relatif au traitement par le bureau Sirene de données relevant de l'article 8 de la loi du 6 janvier 1978 modifiée, est modifié par le projet de décret, afin de ne plus faire référence à la conservation de telles données « dans le cadre du traitement automatisé dénommé “Gestion électronique de documents” (GED) ». Ce traitement, créé par l'arrêté du 31 juillet 2001 susvisé, constitue le système d'archivage des principales données relatives aux échanges entre les différents bureaux Sirene. Dans la mesure où ce dispositif sera maintenu dans le cadre duN-SIS II, la commission prend acte que, à sa demande, la référence à la GED sera maintenue dans le projet d'article R. 231-16 du CSL.
En quatrième lieu, s'agissant des objets signalés dans le N-SIS II, la commission relève que l'article R. 231-8 du CSI ne fait pas mention des objets signalés aux fins de contrôle discret ou de contrôle spécifique. Elle estime que le projet de décret devrait être modifié en ce sens et que, d'une manière générale, dans un souci de cohérence et de lisibilité du dispositif, l'ensemble des dispositions relatives aux objets devraient être regroupées, ce à quoi s'est engagé le ministère.
Le projet de décret vise également à modifier l'article R. 231-10 du CSI, relatif aux données concernant les objets signalés dans le N-SIS II, afin de mentionner les objets prévus par les dispositions de l'article 38 de la « décision SIS », ce qui n'appelle pas d'observation particulière de la part de la commission.
Enfin, le projet de décret vise à ajouter un II à cet article R. 231-10 du CSI, listant les signalements concernant des objets aux fins de contrôle discret ou de contrôle spécifique, conformément à l'article 36 de la décision. Ces dispositions ne précisent pas les catégories de données qui pourront être enregistrées pour chaque objet. Conformément à l'article 29 de la loi du 6 janvier 1978 modifiée, la commission invite le ministère à faire figurer dans le projet de décret les catégories de données à caractère personnel traitées dans ce cadre. Le ministère a répondu favorablement à cette observation et le projet de décret sera dès lors modifié en ce sens.
Sur la durée de conservation des données :
Ni les dispositions réglementaires en vigueur du CSI ni le projet de décret ne mentionnent les durées de conservation des données dans le N-SIS II.
S'agissant des données relatives aux personnes, les durées de conservation de ces données sont celles appliquées aux « fichiers sources » alimentant le N-SIS II, c'est-à­dire le FPR, le FOVeS et TES. Toutefois, ces durées sont également à articuler avec les dispositions du règlement n° 1987/2006 et de la décision 2007/533/JAI du Conseil susvisés, qui prévoient plusieurs procédures particulières.
Ainsi, il est prévu que les signalements sont automatiquement effacés à l'expiration d'un certain délai, qui varie entre un et trois ans en fonction des catégories de personnes concernées. En outre, le CS-CIS signale automatiquement aux Etats membres cet effacement programmé des données quatre mois avant l'expiration dudit délai. Dans cet intervalle, l'Etat membre signalant examine la nécessité de maintenir un tel signalement « au terme d'une évaluation individuelle globale ». Si aucune définition précise de cette évaluation ne figure dans les textes européens, la formulation semble imposer un examen au cas par cas et exclure le maintien automatique des signalements.
Jusqu'à récemment, de telles fonctionnalités n'étaient pas mises en œuvre, notamment concernant le FPR. Aussi, le CS-CIS respectait scrupuleusement ces durées de conservation et procédait à l'effacement des signalements provenant du FPR à l'expiration de ces durées. Il en résultait que des données pouvaient être effacées du SIS II tout en étant maintenues dans le FPR, ce qui entraînait une discordance.
Désormais, des mesures techniques sont mises en place afin de permettre au CS-SIS, à l'expiration de ces délais, de vérifier automatiquement dans le FPR si la fiche concernée est toujours active et de maintenir, le cas échéant, les données dans le N-SIS II. Il en résulte que l'effacement des données à caractère personnel dans le N-SIS II n'intervient qu'en cas d'effacement dans le traitement national. La commission rappelle à cet égard que les textes communautaires prévoient expressément que ce maintien du signalement doit faire l'objet d'une évaluation et ne peut en aucun cas être reconduit automatiquement.
Pour les objets, les durées de conservation sont définies par les textes européens.
Si la durée de conservation n'est pas une information qui doit obligatoirement figurer dans l'acte réglementaire portant création d'un traitement, conformément à l'article 29 de la loi du 6 janvier 1978 modifiée, le ministère complétera toutefois, à la demande de la commission, le projet de décret en ce sens, afin de préciser que la durée de conservation des données enregistrées dans le traitement correspond, pour chaque signalement, à la durée de conservation des données enregistrées dans les traitements transmettant les signalements relatifs aux personnes ou aux objets.
Sur les destinataires des données :
L'article R. 231-11 du CSI liste les personnels habilités à être destinataires de tout ou partie des informations enregistrées dans le N-SIS II.
La modification principale dudit article porte sur l'ajout des agents de l'Unité d'information passagers (UIP), rattachée au ministre chargé des douanes, dont la création et les missions ont été prévues par le décret n° 2014-1566 du 22 décembre 2014.
Ce nouvel accès s'inscrit dans le cadre de la mise en œuvre du traitement dénommé « système API-PNR France », encadré par les articles R. 232-12 et suivants du CSI. Ce traitement porte sur les données de réservation et les données d'enregistrement et d'embarquement de tous les passagers aériens.
Au titre des garanties qui avaient été prévues figure notamment la mise en place de cette UIP, chargée de collecter les données, de les conserver et de procéder à leur exploitation, afin que les données des passagers aériens ne soient pas directement accessibles aux services de police, de gendarmerie et aux services de renseignement.
Dans ce contexte, les données transmises par les compagnies aériennes font l'objet de rapprochement automatique et systématique avec d'autres fichiers de police judiciaire ou administrative relatifs à des personnes ou des objets recherchés ou surveillés, et notamment le SIS-II.
Sur la base des indicateurs d'alerte générés par les rapprochements ou à son initiative, l'UIP procède, avant la transmission de l'information aux services demandeurs, à une première levée de doute, c'est-à-dire à des investigations complémentaires permettant de s'assurer de la pertinence du résultat obtenu. L'accès aux données enregistrées dans le N-SIS II permettra ainsi aux agents de l'UIP de procéder à cette levée de doute, ce qui permet d'assure un premier niveau de contrôle interne de la qualité des données traitées dans le système API-PNR.
La commission relève en outre que l'accès des agents de l'Office N-SIS II au N-SIS II n'est pas prévu dans le projet de décret, alors même qu'ils disposent d'ores et déjà d'un accès audit traitement. Le ministère de l'intérieur s'est donc engagé à modifier le projet de décret en ce sens. De même, la commission prend acte que, conformément au règlement n° 1986/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l'accès des services des Etats membres chargés de l'immatriculation des véhicules au SIS II, seront ajoutés, au titre des personnels habilités à accéder aux données enregistrées dans le N-SIS II, les agents individuellement désignés et habilités des services chargés de l'immatriculation des véhicules.
Au regard de ces éléments, la commission estime que ces nouveaux destinataires ont un intérêt légitime à connaître des données enregistrées dans le traitement projeté.
Sur les droits des personnes :
Les articles R. 231-4 à R. 231-13 du CSI ne prévoient pas d'exclure l'information des personnes et le projet de décret ne contient pas de dispositions concernant le droit d'information.
La commission estime que, pour certains signalements, notamment les propriétaires des véhicules volés ou des objets perdus ou volés ainsi que les oppositions « judiciaires » à sortie du territoire de mineur, l'information des personnes concernées ne remet pas en cause les finalités assignées au traitement.
Dès lors, le ministère de l'intérieur a indiqué qu'il procèdera à une modification du projet de décret afin de prévoir que le droit d'information ne s'applique pas au présent traitement, à l'exception des victimes de vols et des propriétaires d'objets perdus, conformément à ce que prévoit l'arrêté du 17 mars 2014 susvisé concernant le FOVeS. La commission estime toutefois que la refonte des textes réglementaires encadrant le FPR et le FOVeS devrait être l'occasion de renforcer l'information des personnes concernées et d'indiquer également, dans ces textes, que les données recueillies alimentent le traitement N-SIS II.
L'article R. 231-12 du CSI, relatif aux modalités d'exercice des droits d'accès et de rectification, est modifié afin de faire référence aux nouveaux textes européens encadrant la mise en œuvre du système d'information Schengen.
Il prévoit toujours que le droit d'accès s'exerce de manière indirecte auprès de la commission, « sans préjudice des dispositions réglementaires relatives aux données susceptibles d'être consultées directement par l'intéressé exerçant ce droit », ce qui renvoie aux 1° et 2° de l'article 9 du décret n° 2010-569 du 28 mai 2010 relatif au fichier des personnes recherchées qui listent les données pour lesquelles le droit d'accès s'exerce de manière indirecte.
Or, la commission estime que cette formulation ne permet pas aux personnes concernées de déterminer avec précision les modalités d'exercice de leurs droits d'accès et de rectification et les contraint à s'adresser systématiquement à la CNIL. Ce n'est qu'à l'issue des vérifications que cette dernière les renvoie vers le ministère de l'intérieur si les données concernées relèvent du droit d'accès direct.
Aussi, la commission prend acte de l'engagement du ministère de l'intérieur de clarifier les modalités d'exercice des droits d'accès et de rectification. Il s'agira plus précisément de mieux distinguer les données qui relèvent du droit d'accès direct de celles qui relèvent du droit d'accès indirect.
Enfin, le projet de décret ne modifie pas l'article R. 231-13 du CSI qui prévoit que le droit d'opposition ne s'applique pas au traitement N-SIS II, ce qui n'appelle pas de réserve de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
L'accès aux données du SIS II se fait de façon indirecte, par consultation de la base N­SIS II à l'aide des applications nationales telles que, notamment, le FPR, le FOVeS, les traitements de données à caractère personnel PARAFE (Passage rapide aux frontières extérieures) et SETRADER (Système européen de traitement des données d'enregistrement et de réservation), ainsi que l'application de gestion des dossiers des ressortissants étrangers en France (AGDREF 2) et le traitementAPI-PNR.
La gestion des habilitations d'accès au système s'effectue par conséquent au travers de ces applications, par l'intermédiaire du portail d'authentification CHEOPS/CHEOPS­NG, sur lequel la commission a déjà été amenée à se prononcer.
La traçabilité des actions effectuées sur le N-SIS II s'effectue de façon indirecte, par l'intermédiaire des traces générées par les « applications sources » qui permettent de déterminer les actions effectuées, les agents et les données concernées.
Afin d'identifier de façon nominative l'agent à l'origine des traces, un croisement doit être réalisée avec les journaux générés par le portail d'authentification CHEOPS/CHEOPS­NG. Depuis 2014, le système de gestion des traces de consultation est opérationnel au sein du FPR et permet de rendre ce mode de fonctionnement pleinement effectif.
En ce qui concerne les modalités techniques de mise à jour des données enregistrées dans le N-SIS, l'Agence EU-Lisa (European Agency for the operational management of Large-Scale IT Systems) met en œuvre un outil de contrôle de synchronisation (« Data Consistency Check » ou DCC) entre le SIS II et la SIB française. Depuis le mois de septembre dernier, un dispositif analogue est mis en œuvre par les autorités françaises entre la SIB et le N-SIS II, afin de vérifier et de maintenir la cohérence entre les données résentes au sein des différentes bases.
La commission relève enfin que le ministère a engagé des travaux de simplification du système d'information Schengen. Il développe dans ce cadre un dispositif de DCC entre le N-SIS II et la nouvelle version du fichier des personnes recherchées. Il a également pour projet de ne conserver qu'une seule base, en l'espèce la SIB (le N-SIS, copie technique, devant disparaître) dans un but de simplification et de sécurisation.
Si la commission prend acte de ces évolutions à venir, elle appelle l'attention du ministère de l'intérieur sur la nécessité de mettre en œuvre, dès à présent, des mesures techniques, opérationnelles et juridiques permettant de garantir la conformité du N­ SIS II aux dispositions de la réglementation européenne encadrant le système d'information Schengen.