La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 10 août 2016 autorisant la création d'un traitement automatisé de données à caractère personnel dénommé « DOCVERIF » ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 89-I ;
Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par le ministère de l'intérieur d'un projet d'arrêté modifiant l'arrêté du 10 août 2016 autorisant la création d'un traitement automatisé de données à caractère personnel dénommé « DOCVERIF ».
Ce traitement, sur lequel la Commission s'est déjà prononcée en 2016 et en 2018, a pour finalité de faciliter le contrôle de la validité des documents émis par les autorités françaises afin de lutter contre la fraude documentaire.
Il peut être interrogé par les services de la police et de la gendarmerie nationales (utilisateurs du « périmètre 1 ») ainsi que par les administrations publiques, les organismes chargés d'une mission de service public et les établissements de crédit (utilisateurs du « périmètre 2 ») et permet à ces utilisateurs d'accéder à des données relatives au statut d'un document (« valide », « invalide », ou « inconnu »). Pour assurer l'accès à ces informations, « DOCVERIF » est alimenté par une interconnexion avec deux autres traitements :

- pour les données relatives aux cartes nationales d'identité et passeports : le traitement « titres électroniques sécurisés » (TES) ;
- pour les données relatives aux titres de séjour : l'application de gestion des dossiers des ressortissants étrangers en France (AGDREF).

Le projet d'arrêté soumis pour avis à la Commission permet l'évolution de plusieurs caractéristiques du traitement. Il prévoit :

- la remontée systématique, et non conditionnée au statut du document, de données d'état civil contenues dans le traitement TES ;
- l'extension du périmètre des utilisateurs du « périmètre 2 » aux agents de police municipale et aux gardes-champêtres qui sont amenés à effectuer des relevés d'identité des contrevenants, aux sociétés de financement mentionnées à l'article L. 511-1 du code monétaire et financier, aux fournisseurs de moyen d'identité électronique attestant d'un niveau de garantie substantiel ou élevé, et aux agents des services du secrétariat général du ministère de l'intérieur et de l'Agence nationale des titres sécurisés (ANTS) chargés de la maîtrise d'ouvrage et de la maîtrise d'œuvre du traitement « Service de garantie de l'identité numérique » (SGIN) ;
- l'enregistrement du motif de consultation et de communication et l'allongement de la durée de conservation des données de traçabilité ;
- la suppression de la mise en relation de « DOCVERIF » avec, d'une part, le système d'information Schengen et, d'autre part, la base de données « Stolen and Lost Travel Documents » (SLTD) gérée par Interpol.

Le traitement « DOCVERIF » a pour finalité la prévention, la recherche, la constatation ou la poursuite d'infractions pénales et relève, à ce titre, du titre III de la loi du 6 janvier 1978 modifiée et doit faire l'objet d'un arrêté, pris après avis motivé et publié de la Commission conformément aux dispositions de l'article 89-I de la loi du 6 janvier 1978 modifiée. Le responsable de traitement est le ministère de l'intérieur.
Sur l'économie générale du dispositif :
L'article 2 du projet d'arrêté modifie l'article 4 de l'arrêté du 10 août 2016 pour permettre la remontée systématique de données d'état civil contenues dans le traitement « TES ». Alors qu'actuellement ces informations ne sont enregistrées que pour les titres invalides, elles le seraient désormais pour l'ensemble des titres, au moins partiellement. Ainsi :

- les utilisateurs du « périmètre 1 », qui ne peuvent jusqu'à présent accéder aux nom, prénoms, date et lieu de naissance que s'ils sont rattachés à un document invalide, pourront consulter les nom et premier prénom lorsque le titre est valide ;
- les utilisateurs du « périmètre 2 », qui n'ont jusqu'à présent pas accès aux données d'état civil, pourront consulter le nom et premier prénom partiellement masqués et ce, indépendamment du statut du titre d'identité.

Le ministère précise que cette solution vise à lutter contre la fraude consistant en la présentation d'un titre comportant un numéro valide mais dont les éléments de l'état civil ont été falsifiés. En effet, l'interrogation de « DOCVERIF » permet uniquement aujourd'hui de savoir si le numéro de titre est valide ou non, sans couplage avec les éléments d'état civil associés. Il en résulte que, chaque fois qu'un titre est falsifié ou utilisé par une personne autre que son titulaire, sans qu'il ait été invalidé à la suite d'une déclaration de perte ou de vol par ce dernier, la vérification opérée ne permet pas de repérer la fraude. Or, selon le ministère, des éléments de l'état civil du titre peuvent être falsifiés et la comparaison avec les données d'état civil du véritable titre permettrait de repérer la fraude.
A titre liminaire, la Commission estime que la lutte contre la fraude documentaire doit faire l'objet d'un ensemble de mesures destinées à contrer les différentes stratégies des fraudeurs, tout en limitant les risques pour les personnes concernées. Elle rappelle également l'importance des données d'état civil associées à des numéros de document d'identité pour chaque individu et la nécessité de prévenir tout risque de détournement de ces données. Au-delà de la nature des données traitées, elle souligne que l'évolution projetée conduira au traitement d'une partie des données d'état civil de la quasi-totalité de la population française.
Par ailleurs, la Commission considère que la sécurité des titres d'identité repose sur deux éléments principaux : la sécurité du processus de délivrance d'une part, et la sécurité du titre lui-même, d'autre part. A cet égard, la délivrance, jusqu'en 2021, de titres d'identité dont la conception date des années 80 constitue une opportunité de fraude significative, qui peut appeler des mesures additionnelles telles que le service « DOCVERIF ».
La Commission estime que l'objectif doit être qu'à terme la vérification des titres d'identité puisse être réalisée en s'assurant directement que le titre lui-même n'est pas physiquement falsifié. En particulier, pour les titres dotés d'une puce électronique (c'est-à-dire l'ensemble des passeports en circulation, les cartes nationales d'identité délivrées depuis août 2021 et les titres de séjour délivrés depuis 2011), la solution la plus respectueuse des principes de minimisation des données et de protection de la vie privée dès la conception pour atteindre l'objectif de vérification de la concordance entre des nom et prénom et le document d'identité présenté, repose sur la lecture hors ligne du contenu de la puce. Ce n'est que de façon résiduelle, pour lever un doute ou lorsque le composant électronique est endommagé (intentionnellement ou par usure), qu'une comparaison avec une base centrale devrait être maintenue. Ainsi, lorsque l'ensemble des titres français (passeports, cartes nationales d'identité et titres de séjour) sera doté d'une puce électronique, la consultation de la base « DOCVERIF » ne sera plus utile pour les titres pouvant être vérifiés grâce à cette puce. Il conviendra alors de réévaluer la proportionnalité des risques engendrés par la base « DOCVERIF » et de s'interroger sur une architecture alternative permettant de procéder, de façon résiduelle, aux seules vérifications de validité qui ne pourront pas être faites directement sur le titre.
En premier lieu, s'agissant de l'architecture du dispositif, la Commission avait observé, dans sa délibération n° 2021-022 du 11 février 2021 portant avis sur un projet de décret modifiant le décret n° 2016-1460 du 28 octobre 2016 relatif au traitement « TES », que la modification projetée, qui entraînerait une augmentation très importante du volume de données transmises au traitement « DOCVERIF », « ne doit pas conduire à ce que le traitement DOCVERIF, qui poursuit des finalités distinctes de celles de TES, devienne une base miroir de ce dernier ». Elle avait invité le ministère à identifier des solutions permettant de répondre à l'objectif poursuivi sans transmettre l'ensemble des données d'état civil à « DOCVERIF ». La Commission envisageait alors un scénario dans lequel les bases « DOCVERIF » « périmètre 1 » et « périmètre 2 » ne conserveraient, pour les documents valides, qu'une signature numérique du nom et prénom. Ainsi, « DOCVERIF » serait interrogé sur la base des mêmes éléments que le dispositif mis en œuvre avant la présente modification mais, dans le cas d'un retour « valide » pour lequel l'agent vérificateur aurait un doute, les nom et prénom présents sur le titre pourraient être vérifiés au regard de la signature stockée.
Pour répondre à cette demande, le ministère a exploré deux scénarios différents de minimisation des données transmises du traitement « TES » vers « DOCVERIF ». Il ressort des précisions apportées par le ministère que les deux scénarios évalués ont été écartés pour les utilisateurs du « périmètre 1 » dès lors qu'ils ne leur permettraient pas d'avoir accès à l'identité du véritable titulaire du titre enregistré comme valide dans DOCVERIF mais falsifié. Or, le ministère estime que cette information est essentielle à l'exercice des missions des policiers et gendarmes, notamment pour pouvoir contacter le véritable titulaire du titre afin de le prévenir, ou à des fins d'enquête. Le ministère souhaite donc que la base utilisée par le « périmètre 1 » contienne une copie directe du nom et premier prénom dans « DOCVERIF » et non une signature ou une empreinte issue de la combinaison de ces données.
Pour le « périmètre 2 », le projet d'arrêté prévoit que « DOCVERIF » sera interrogé à partir du type de document, du numéro de document et de la date de délivrance pour transmettre en retour le statut du titre ainsi que deux éléments de l'état civil (le nom et le premier prénom) sous un format partiellement masqué. La Commission prend toutefois acte de ce que le ministère s'engage à modifier le projet d'arrêté afin de prévoir l'interrogation de « DOCVERIF », par les utilisateurs du « périmètre 2 », à partir du type de document, de son numéro, de sa date de délivrance ainsi que, de manière facultative, des nom et premier prénom présentés par la personne. Seul sera transmis, en retour, le statut du titre.
La Commission observe enfin que, s'agissant du « périmètre 1 », le choix du ministère est guidé par des contraintes opérationnelles visant à limiter les manipulations devant être réalisées par les utilisateurs. En effet, l'utilisation d'un système d'interrogation de signatures ou d'empreintes nécessite que l'utilisateur remplisse toutes les données d'état civil, et non le seul numéro de titre, multipliant ainsi les risques d'erreur. S'il est certain que le taux d'erreur de saisie dépend de la quantité d'informations à saisir et que celle-ci est plus importante dans le scénario suggéré par la Commission que dans ceux étudiés par le ministère, il est également possible de réduire le risque d'erreur de saisie en automatisant la lecture des informations (ou, a minima, de la majorité d'entre elles), notamment avec la bande MRZ du titre. La Commission prend note de la remarque du ministère quant à la difficulté opérationnelle à court terme de mettre à disposition de l'ensemble du « périmètre 1 » des dispositifs permettant cette lecture automatique et de ce que leur absence rendrait difficilement utilisable, en pratique, un système de vérification des données côté serveur du fait du nombre d'erreurs qui seraient faites en tapant les données d'identité et donc du grand nombre de réponses « inconnu » qui seraient retournées en l'état des pratiques, du fait de ces erreurs. Par conséquent, elle recommande que, dès que ces moyens seront disponibles ou déployables, le dispositif relatif au « périmètre 1 » soit revu pour permettre la mise en œuvre d'une solution qui se limitera à confirmer ou infirmer une identité scannée et qui ne stockerait plus les données nominatives dans la base ou, a minima, plus en clair.
En deuxième lieu, s'agissant de la proportionnalité du dispositif, l'enregistrement de données d'état civil issues de « TES » dans les bases « DOCVERIF » des périmètres 1 et 2 doit être justifié par un besoin opérationnel déterminé et pertinent au regard des finalités du traitement et être proportionné au regard de ses objectifs.
S'agissant du besoin opérationnel invoqué et de l'efficacité du dispositif envisagé, le ministère a transmis des schémas de fraude. Il est en revanche difficile d'en évaluer l'ampleur aujourd'hui, notamment pour les titres de conception récente, puisque les policiers et gendarmes ne peuvent pas actuellement, dans un grand nombre de cas, repérer qu'il y a contrefaçon ou falsification du document qui est signalé comme valide par « DOCVERIF ». Une évaluation chiffrée du nombre de fraudes de ce type, pour chaque catégorie de titre, devra être réalisée pour confirmer l'ampleur du besoin opérationnel.
En regard des objectifs poursuivis par la réforme de « DOCVERIF », la Commission observe que les risques encourus sont réels et considère que des mesures de supervision et de contrôle devront être mises en place. En effet, la copie des données d'état civil et des numéros de titre pour la totalité de la population française disposant d'un titre augmentera la surface d'attaque pour ces données. Par le biais de « DOCVERIF », un nombre très important de personnes aura accès à des numéros de titre et des données d'état civil certifiées comme valides, susceptibles de mésusage.
Dans ces conditions, la Commission recommande que le traitement soit déployé à titre expérimental de manière à apprécier la réalité du besoin invoqué. Son maintien ou sa pérennisation devrait être conditionné à une démonstration combinée d'un besoin opérationnel précis, d'un niveau déterminé de fraude et de l'effectivité du dispositif dans un délai fixé. Dans cette perspective, la Commission s'interroge sur l'opportunité de limiter dans « DOCVERIF » l'information concernant les titres valides aux seuls titres pouvant faire l'objet d'un doute concernant leur authenticité (comme par exemple le fait que la puce électronique a été détruite ou la présence du numéro sur des listes de numéros de titres proposés à la vente) et invite le ministère à ce que l'expérimentation permette de déterminer s'il est possible d'avoir une efficacité suffisante avec un système alternatif où une base des seuls titres faisant l'objet d'un doute serait utilisée. Elle prend acte avec satisfaction de l'engagement du ministère de modifier le projet d'arrêté afin de prévoir la communication de données d'état civil aux utilisateurs du « périmètre 1 » pour les titres valides à titre expérimental et de ce que l'éventuelle pérennisation de cette évolution, justifiée par son efficacité, nécessitera une modification du texte et une nouvelle saisine de la Commission.
En troisième lieu, il ressort de l'analyse d'impact relative à la protection des données (AIPD) transmise qu'une évolution du II de l'article R. 611-1 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) est envisagée pour permettre la remontée des éléments de l'état civil issus du traitement « AGDREF » pour les titres de séjour invalides et valides. Sans préjudice des observations précédemment formulées sur l'enregistrement non conditionné au statut du titre de données d'état civil dans « DOCVERIF », observations qui sont applicables également pour les titres de séjour, la Commission prend acte de ce que le calendrier de mise en place de cette évolution n'est pas encore défini et qu'il le sera en fonction du déploiement du programme « Administration Numérique pour les Etrangers en France » (ANEF).
En tout état de cause, elle rappelle qu'elle devra le cas échéant être tenue informée et saisie, dans les conditions prévues à l'article 33-II de la loi du 6 janvier 1978 modifiée, de toute modification substantielle affectant les caractéristiques du traitement. Au même titre, elle rappelle que l'AIPD qui lui a été transmise, dans les conditions prévues à l'article 90 de la loi précitée, devra faire l'objet d'une mise à jour.
Sur les finalités du traitement et les catégories de données traitées :
En premier lieu, la modification projetée, à savoir le traitement de données d'état civil pour les titres valides, vise à permettre « de lutter contre l'utilisation indue de tels documents, leur falsification et leur contrefaçon », ainsi que le prévoit l'article 1er de l'arrêté.
Le ministère souligne que l'information délivrée par « DOCVERIF » s'agissant de l'état civil pour les documents valides aux utilisateurs du « périmètre 1 » et du « périmètre 2 » ne permettra pas de faire le lien avec une personne physique ni de procéder à un contrôle d'identité au sens de l'article 78-2 du code de procédure pénale. Ainsi, les évolutions envisagées, ayant pour unique objectif et conséquence de renforcer la lutte contre l'utilisation indue des titres d'identité, leur falsification et leur contrefaçon, entrent dans les finalités du traitement prévues à l'article 1er de l'arrêté précité.
En deuxième lieu, le projet d'arrêté étend l'accès des utilisateurs de « DOCVERIF » à de nouvelles catégories de données.
D'une part, les utilisateurs du « périmètre 1 », qui ont déjà accès aux nom, prénom(s), date et lieu de naissance en cas de titre invalide, auront accès aux nom et premier prénom en cas de titre valide.
La Commission avait considéré, dans les délibérations du 21 juillet 2016 et du 11 octobre 2018 précitées, s'agissant des utilisateurs du « périmètre 1 », que seuls peuvent avoir accès au traitement les agents ayant des missions de contrôle de l'identité des personnes et de vérification de la validité des documents. En revanche, elle ne dispose pas d'éléments sur l'existence d'autres cadres dans lesquels « DOCVERIF » pourrait être interrogé.
Dans l'hypothèse où les données d'état civil du traitement « TES » seraient déjà accessibles à des utilisateurs du « périmètre 1 », la Commission estime, sans remettre en cause l'utilisation de « DOCVERIF » pour obtenir le statut du titre, que la consultation de ces mêmes données d'état civil à partir de « DOCVERIF » ne serait pas nécessaire.
D'autre part, le projet d'arrêté prévoyait que les utilisateurs du « périmètre 2 » pouvaient, s'agissant des titres valides et invalides, accéder aux nom et premier prénom partiellement masqués.
La Commission relève qu'il n'est pas exclu que, malgré le masquage prévu, il soit possible, pour un utilisateur du « périmètre 2 », de retrouver le nom ou le prénom de la personne concernée.
Dès lors, elle accueille favorablement l'engagement du ministère de modifier l'arrêté afin de prévoir, pour les utilisateurs du « périmètre 2 », une interrogation de « DOCVERIF » à partir du type de document, de son numéro, de sa date de délivrance ainsi que, de manière facultative, des nom et premier prénom présentés par la personne. Seul sera transmis, en retour, le statut du titre.
S'agissant en dernier lieu de l'exactitude des données traitées, une vigilance particulière s'impose en matière de mise à jour des données, compte tenu des conséquences importantes qu'emporteraient, pour les personnes contrôlées, d'éventuelles erreurs sur le statut du document présenté à l'occasion d'un contrôle.
Sur les accédants et destinataires du traitement :
Le projet d'arrêté étend la liste des utilisateurs du « périmètre 2 » sans modifier le périmètre des utilisateurs du « périmètre 1 ».
A titre liminaire, l'utilisation de « DOCVERIF » est une faculté laissée à la discrétion des utilisateurs, sauf pour les fournisseurs de moyens d'identification électronique visant le niveau substantiel ou élevé.
En cas de titre invalide ou de titre valide comportant des données falsifiées, les utilisateurs du « périmètre 2 » ne sont pas compétents pour mener une procédure d'enquête. Si la Commission prend acte de ce que les suites de la procédure seront, en ces circonstances, assurées par les services de police ou de gendarmerie compétents et de ce que la construction d'une chaîne de signalement des utilisateurs auprès des policiers et des gendarmes est à l'étude, elle regrette néanmoins de ne pas disposer d'informations sur l'objet, les modalités et les conditions de l'introduction de tels signalements.
En premier lieu, le projet d'arrêté ajoute les agents de police municipale et les gardes champêtres aux utilisateurs du « périmètre 2 ».
S'agissant des missions dans le cadre desquelles ces nouveaux destinataires pourront accéder aux données de « DOCVERIF », la Commission prend acte de ce qu'ils auront accès au traitement dans le seul cadre de leurs missions de relevés d'identité telles qu'encadrées, pour les premiers, par l'article 78-6 du code de procédure pénale et, pour les seconds, par l'article L. 522-4 du code de la sécurité intérieure.
En deuxième lieu, les sociétés de financement mentionnées au 2° de l'article L. 511-1 du code monétaire et financier s'inscrivent parmi les nouveaux accédants du « périmètre 2 » prévus par le projet d'arrêté. Les sociétés de financement sont, de la même manière que les établissements de crédit qui ont déjà accès au traitement, tenues de vérifier l'identité de leurs clients sur le fondement de l'article L. 561-5 du même code dans le cadre de la lutte contre le blanchiment des capitaux et le terrorisme. La Commission souligne que l'accès de ces utilisateurs aux données du traitement doit être pertinent au regard des finalités du traitement, à savoir la facilitation du contrôle de la validité des titres et la lutte contre l'utilisation indue, la falsification ou la contrefaçon de tels documents.
En troisième lieu, le projet d'arrêté ajoute un 4° à l'article 6 de l'arrêté du 10 août 2016 pour inclure, parmi les utilisateurs du « périmètre 2 », les « fournisseurs de moyen d'identification électronique bénéficiant d'une certification ou d'une attestation de conformité par l'Agence nationale de la sécurité des systèmes d'information aux exigences du niveau de garantie substantiel ou élevé au sens de l'article Ier du règlement d'exécution 1502/2015 du 8 septembre 2015 fixant les spécification techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électroniques visés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur ». Ces destinataires, qui sont listés par une annexe 2 créée par le projet d'arrêté, comprennent le fournisseur « Identité numérique » du groupe La Poste. La Commission accueille favorablement cette évolution, nécessaire pour mettre en place une identité numérique avec un niveau de garantie substantiel ou élevé.
Le projet d'arrêté ajoute également un 5° à l'article 6 pour prévoir que les agents mentionnés au I de l'article 3 du décret autorisant la création d'un moyen d'identification électronique dénommé « Service de garantie de l'identité numérique » (SGIN), sur lequel la Commission s'est récemment prononcée, ont accès au traitement. Ces utilisateurs recouvrent, selon les termes du I de l'article 3 précité, les agents des services du secrétariat général du ministère de l'intérieur et de l'ANTS chargés de la maîtrise d'ouvrage et de la maîtrise d'œuvre du traitement SGIN.
La Commission prend acte des précisions apportées selon lesquelles l'accès du SGIN à « DOCVERIF » ne sera pas soumis à la condition d'un avis conforme de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) au niveau substantiel ou élevé, afin de ne pas retarder les travaux techniques en cours, étant entendu que l'avis conforme de l'ANSSI sur l'atteinte par le SGIN du niveau élevé est prévu pour l'été 2022. Elle observe ainsi que cet accès, dans la mesure où il ne sera pas soumis à la condition d'un avis conforme au niveau substantiel ou élevé, se distingue de l'accès accordé aux autres fournisseurs de moyens d'identification électronique visés par le 4° de l'article 6 créé par le projet d'arrêté.
La Commission s'interroge toutefois, au regard de la rédaction du projet d'arrêté, sur les modalités et conditions de l'accès projeté.
En effet, dès lors que l'accès des agents chargés de la maîtrise d'ouvrage et de la maîtrise d'œuvre serait nécessaire aux seuls travaux techniques requis pour la mise en place du SGIN, la Commission estime que cet accès devrait être limité dans le temps et que la disposition pertinente du projet d'arrêté devrait être modifiée en ce sens. Néanmoins, si un tel accès visait à garantir le fonctionnement du moyen d'identification électronique SGIN dans l'attente d'une attestation de conformité de l'ANSSI, elle s'interroge sur le choix de limiter cet accès aux agents chargés de la maîtrise d'ouvrage et de la maîtrise d'œuvre dans la mesure où cet accès ne permettra pas de traiter les données pour les fins poursuivies.
Sur les conventions conclues entre l'organisme concerné et le responsable de traitement :
L'article 6 de l'arrêté prévoit que l'accès aux informations contenues dans le traitement par les utilisateurs privés du « périmètre 2 » est subordonné à la conclusion préalable d'une convention avec le responsable de traitement.
En premier lieu, l'AIPD transmise par le ministère indique notamment que la convention conclue entre les utilisateurs et le responsable de traitement stipule qu'aucune décision prise par un utilisateur ne peut se fonder uniquement sur une mention « invalide » ou « inconnu ». Il est aussi précisé que le ministère a la possibilité de diligenter périodiquement des audits à l'égard d'un utilisateur afin de s'assurer du respect des engagements pris contractuellement. La convention prévoit la possibilité d'interrompre immédiatement le service en cas de manquement constaté, ou sous un délai de dix jours ouvrés sans justification.
Si la Commission relève que des garanties sont prévues dans la convention, elle s'interroge néanmoins sur l'efficacité pratique de ces éléments et notamment la possibilité de garantir que le résultat de chaque consultation du traitement ne constituera pas l'élément principal sur la base duquel l'utilisateur du « périmètre 2 » prend une décision dans le cadre de ses missions. Elle relève en effet que des caractères non concordants seraient un indice fort de fraude, susceptible de fonder la décision prise.
En deuxième lieu, il ressort du bilan établi à l'issue de la première phase d'utilisation de DOCVERIF par les utilisateurs du « périmètre 2 » et détaillé dans l'AIPD que des erreurs de saisie entraînent un taux important de titres invalides (confusion du numéro de titre et du numéro étranger pour les titres de séjour, et autres erreurs de saisie dues notamment à la lisibilité des titres numérisés). A cet égard, les utilisateurs sont informés, via la convention d'utilisation du traitement, du fait que la mention « inconnu » peut avoir pour cause une erreur de saisie et qu'ils sont par ailleurs invités à procéder aux vérifications nécessaires pour limiter le risque d'erreur. Les conventions comportent un point d'attention sur la distinction entre numéro de titre et numéro d'étranger visibles sur un titre de séjour.
Le bilan précité souligne également la difficulté, pour certains utilisateurs, d'interpréter les retours « invalides » ou « inconnus » en l'absence d'informations complémentaires sur les motifs et d'adapter la conduite à tenir face aux personnes concernées.
Au regard de ces éléments, la Commission recommande de compléter les conventions d'utilisation conclues avec les organismes concernés avec, d'une part, des recommandations pour réduire les erreurs de saisie et, d'autre part, des lignes de conduite à tenir en cas de de titre « invalide » ou « inconnu ». Elle recommande également que les conventions encouragent les organismes concernés à utiliser des modalités de vérification directe et automatique du titre, par la lecture de la puce électronique notamment lorsque c'est possible.
En outre, la Commission recommande de compléter ces conventions afin d'inciter les organismes à informer les personnes concernées du fait qu'ils sont susceptibles de réaliser une interrogation de « DOCVERIF ». Par ailleurs, si elle relève qu'il est prévu par le projet d'arrêté que « les droits d'information, d'accès, de rectification, d'effacement et à la limitation prévus aux articles 104 à 106 de la même loi s'exercent auprès de la directement de la modernisation et de l'administration territoriale », elle considère que la rédaction du projet d'arrêté relative au droit à l'information mériterait d'être modifiée dans la mesure où, en vertu de l'article 104-I de la loi du 6 janvier 1978 modifiée, il incombe au responsable de traitement de mettre à la disposition de la personne concernée les informations listées et non à la personne de demander communication de ces informations.
En troisième lieu, la Commission observe que la convention type d'utilisation de « DOCVERIF » indique que l'autorisation d'utilisation est donnée pour le territoire français (métropole, départements d'Outre-mer, régions d'outre-mer), ce qui signifie, selon les précisions apportées par le ministère, que les interrogations s'effectuent exclusivement sur le territoire français et que les réponses sont consultées et stockées exclusivement sur le territoire français.
Elle relève que la convention pourra être modifiée par les utilisateurs sur ce point et que, en l'état, la convention ne comporte pas d'interdiction de tout transfert de données hors de l'Union européenne.
En tout état de cause, la Commission rappelle que les transferts de données vers des Etats n'appartenant pas à l'Union européenne ne pourront être opérés que sous réserve du respect des conditions énoncées à l'article 112 de la loi du 6 janvier 1978 modifiée. Le cas échéant, il conviendra notamment que des garanties appropriées en matière de protection des données à caractère personnel soient fournies par un instrument juridiquement contraignant. En l'absence de décision d'adéquation adoptée par la Commission européenne ou de garanties appropriées, et par dérogation à l'article 112 précité, de tels transferts ne pourront alors être réalisés que sous réserve de respecter les conditions énoncées à l'article 113 de la loi du 6 janvier 1978 modifiée.
La Commission prend acte de ce que la convention sera modifiée pour que soit mentionnée explicitement l'interdiction des transferts de données vers des Etats n'appartenant pas à l'Union européenne.
Sur les mesures de sécurité :
En raison de l'importance du risque pour les personnes en cas de détournement des finalités du traitement et de la fréquence d'occurrence de telles pratiques, la durée de conservation de certaines données de journalisation de trois années est considérée comme proportionnée par la Commission. En effet, cette journalisation participe par sa capacité dissuasive à la sécurité du traitement. La Commission souligne l'importance de l'analyse proactive des traces pour identifier des comportements anormaux et limiter au plus tôt l'impact sur les personnes concernées.
Les données d'état civil sont conservées chiffrées avec des algorithmes et des procédures de gestion de clés conformes à l'annexe B1 du référentiel général de sécurité. La Commission observe que des travaux sont en cours pour s'assurer que la gestion des clés soit, elle aussi, en conformité avec les recommandations de l'ANSSI courant 2022.
La plupart des acteurs s'authentifient avec leur carte agent (notamment, pour les agents de la police nationale, de la gendarmerie nationale, agents de l'ANTS, des CERT ou de Tracfin). La Commission approuve ce choix, considérant qu'une authentification forte est indispensable pour les accès du « périmètre 1 ». Au vu des risques relatifs au traitement, ainsi que des modifications proposées par le ministère sur le « périmètre 2 », la Commission considère que l'authentification forte pour ce périmètre est une pratique à encourager.
La Commission observe que des audits ont été effectués dans le cadre de l'homologation du dispositif et souligne que la correction des principaux écarts a été effectuée ou est prévue d'ici fin 2022. Pour assurer un niveau de sécurité adapté aux risques, des audits réguliers ainsi que la mise en œuvre des corrections nécessaires pour tout écart au moins important sont considérés comme indispensables par la Commission.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement semblent conformes à l'exigence de sécurité prévue par l'article 99 de loi « informatique et libertés ».
La Commission rappelle toutefois que cette obligation nécessite la mise à jour de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.