La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dénommé « dispositif de pré-enregistrement » et modifiant le code de la sécurité intérieure ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;
Vu le règlement (UE) 2017/2225 du Parlement européen et du Conseil du 30 novembre 2017 modifiant le règlement (UE) 2016/399 en ce qui concerne l'utilisation du système d'entrée/de sortie ;
Vu le règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d'un système d'entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d'entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des Etats membres et portant détermination des conditions d'accès à l'EES à des fins répressives, et modifiant la convention d'application de l'accord de Schengen et les règlements (CE) n° 767/2008 et (UE) n° 1077/2011 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 32 ;
Après avoir entendu le rapport de M. François PELLEGRINI, commissaire, et les observations de M. Damien MILIC, commissaire adjoint du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie en urgence le 4 mai 2022 par le ministère de l'intérieur d'un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dénommé « dispositif de pré-enregistrement » et modifiant le code de la sécurité intérieure.
La création de ce traitement s'inscrit dans la perspective de l'entrée en service du système d'information européen d'entrée/de sortie (« entry-exit system », ou « EES »), prévue pour fin novembre 2022, et d'une phase de tests préalables qui doit se tenir dès l'été.
Créé par le règlement (UE) 2017/2226 du 30 novembre 2017 (ci-après, le règlement « EES »), le traitement « EES » permettra l'enregistrement par voie électronique des entrées, sorties et refus d'entrée des ressortissants de pays tiers admis pour un court séjour sur le territoire des Etats membres ou pour lesquels l'entrée a été refusée et de calculer la durée de séjour autorisé. L'EES, qui a vocation à remplacer le système actuel d'estampillage des passeports, permettra donc aussi de détecter les personnes ayant dépassé leur durée de séjour autorisée. Dès l'entrée en service du système, un dossier individuel, une fiche d'entrée, une fiche de sortie, et/ou une fiche de refus d'entrée seront créés pour chaque personne, éligible à l'EES, franchissant une frontière extérieure. A cette fin, les autorités frontalières des Etats membres devront obligatoirement collecter des données alphanumériques et biométriques (image faciale et empreintes digitales) de la personne concernée.
Par ailleurs, le règlement (UE) 2017/2225 du 30 novembre 2017 modifie le règlement (UE) 2016/399 (ou code « frontières Schengen ») pour offrir la possibilité aux Etats membres de recourir à des systèmes en libre-service permettant d'effectuer les pré-enregistrements dans l'EES, ainsi que tout ou partie des vérifications aux frontières.
Indépendamment du choix de recourir ou non à un système en libre-service, et ainsi d'offrir aux voyageurs la faculté de se pré-enregistrer eux-mêmes dans l'EES, les autorités frontalières des Etats membres conserveront l'obligation de collecter les données alphanumériques et biométriques visées par le règlement « EES ».
Le ministère entend se saisir de la possibilité offerte par le règlement (UE) 2017/2225 précité en créant, via le présent projet de décret, un traitement de données à caractère personnel permettant l'utilisation d'un système en libre-service effectuant des vérifications aux frontières et utilisé pour le pré-enregistrement des données dans l'EES. Ainsi, ce traitement, dénommé « dispositif de pré-enregistrement », aura « pour finalités, pour les voyageurs par voie aérienne, maritime, routière et ferroviaire volontaires, d'améliorer et de faciliter les contrôles aux frontières extérieures » (article 1er du projet de décret).
Le traitement projeté, qui permettra aux ressortissants de pays tiers soumis aux dispositions du règlement « EES » de se pré-enregistrer à partir de kiosques ou de dispositifs mobiles, reposera sur le seul volontariat. La Commission observe qu'une personne choisissant d'utiliser un dispositif de pré-enregistrement devra ensuite se présenter devant une aubette dédiée aux vérifications aux frontières, où un garde-frontière procédera, parmi d'autres opérations, à la vérification visuelle de la cohérence entre le visage de la personne et la photo collectée au sein du dispositif, le cas échéant à la vérification des empreintes digitales de cette personne, et à la validation du dossier EES et de la fiche d'entrée/de sortie.
Compte tenu des finalités poursuivies par le traitement projeté, qui relèvent du champ d'application du RGPD, et dans la mesure où le traitement est mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance publique, qu'il porte sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes, il doit être autorisé par un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission conformément à l'article 32 de la loi du 6 janvier 1978 modifiée. La responsabilité de traitement sera exercée par le ministre de l'intérieur.
Sur les conditions générales de mise en œuvre du traitement :
En premier lieu, la Commission observe que, s'agissant de la chronologie du déploiement du dispositif, la mise en œuvre généralisée de ce traitement pour l'alimentation de l'EES sera précédée d'une phase expérimentale visant à tester la conformité fonctionnelle et opérationnelle des dispositifs de pré-enregistrement en conditions réelles, avant l'entrée en service du système d'information européen. Si la Commission observe que ni le projet de décret, ni l'analyse d'impact relative à la protection des données (AIPD) qui lui a été transmise, ne distinguent les deux phases du traitement, elle prend acte de ce que l'AIPD sera mise à jour pour englober la phase d'expérimentation. Elle rappelle qu'elle devra le cas échéant être informée en cas de modification des conditions de mise en œuvre du traitement, conformément à l'article 33 de la loi du 6 janvier 1978 modifiée, et consultée sur toute modification du texte.
En second lieu, la Commission relève que le traitement projeté est susceptible d'être mis en œuvre parallèlement à d'autres traitements poursuivant des finalités similaires dans le cadre des vérifications aux frontières. Il apparaît en particulier que certains ressortissants de pays tiers soumis aux dispositions du règlement « EES » et pouvant ainsi utiliser le dispositif de pré-enregistrement sont également éligibles au sas « PARAFE ». En effet, le décret n° 2020-1735 du 29 décembre 2020 a modifié les dispositions du code de la sécurité intérieure encadrant le traitement « PARAFE », afin d'élargir aux ressortissants de huit pays tiers le périmètre des personnes éligibles au dispositif. Selon les précisions apportées par le ministère, l'utilisation du sas « PARAFE » sera subordonnée au pré-enregistrement préalable dans l'EES, de sorte que le kiosque remplira une fonction de pré-enregistrement et que le passage par le sas « PARAFE » jouera celle de contrôle aux frontières. La Commission rappelle que bien qu'étant effectué de manière automatisée, le contrôle dont relève le traitement « PARAFE » se déroule sous la supervision d'un garde-frontière, situé dans une aubette, qui autorise ou non le franchissement des frontières. Enfin, la Commission prend acte de ce que l'AIPD relative au traitement « PARAFE » sera mise à jour et rappelle qu'elle devra également être consultée si une modification de l'acte encadrement ce traitement s'avérait nécessaire.
Sur les catégories de données :
A titre liminaire, la Commission observe que les données enregistrées dans le traitement correspondent aux données, énumérées par le règlement « EES » précité, devant être collectées et enregistrées dans le traitement « EES », ainsi qu'à d'autres données nécessaires à la réalisation des vérifications aux frontières prévues par le code « frontières Schengen ». S'agissant des données ayant vocation à alimenter l'EES, il ressort néanmoins des dispositions du règlement portant création de ce dernier système que les catégories de données enregistrées aux fins de création d'un dossier diffèrent selon la situation de la personne concernée, et ce sur les points suivants.
En premier lieu, « les images des empreintes digitales de quatre doigts de la main droite ou, à défaut, de la main gauche posés à plat du porteur du document de voyage » ainsi que « l'image numérisée du visage du porteur du document de voyage prise lors de l'utilisation du dispositif de pré-enregistrement » pourront être enregistrées dans le traitement.
D'une part, la Commission observe que l'image numérisée des empreintes digitales des ressortissants de pays tiers non soumis à l'obligation de visa seront enregistrées dans le traitement « dispositif de pré-enregistrement » pour alimenter le dossier « EES » de la personne concernée. Concernant les empreintes digitales des ressortissants de pays tiers soumis à l'obligation de visa, ces données ne seront collectées et enregistrées dans le dispositif de pré-enregistrement que pour des motifs de vérification, par comparaison avec les données dactyloscopiques déjà présentes au sein du système d'information européen sur les visas (« VIS »), consulté via l'EES. L'interconnexion des traitements « VIS » et « EES » est prévue dans ce but par le règlement « EES ». La Commission prend acte de ce que les empreintes digitales collectées pour vérification seront supprimées du traitement « dispositif de pré-enregistrement » après consultation du VIS via l'EES, et de ce que le VIS ne sera consulté que par l'intermédiaire de l'EES. Au regard des différents éléments apportés par le ministère, la Commission conserve toutefois des interrogations concernant l'articulation des différents flux de données entre le dispositif de pré-enregistrement, l'EES et le VIS, qui rendent nécessaire la conservation des empreintes digitales des ressortissants de pays tiers non soumis à l'obligation de visa dans le dispositif national, ainsi que sur la conservation dans l'EES, même temporaire, de ces données.
Le projet de décret prévoit également que les mineurs de moins de douze ans ne sont pas soumis à la collecte des images numérisées de leurs empreintes digitales. La Commission observe néanmoins que, selon les dispositions de l'article 17-4 du règlement « EES », sont également exemptées de l'obligation de fournir leurs empreintes digitales « les personnes dont il est physiquement impossible de relever les empreintes digitales », et s'interroge sur les raisons pour lesquelles cette dispense n'est pas expressément prévue par le projet de décret encadrant le dispositif de pré-enregistrement.
D'autre part, le projet de décret prévoit l'enregistrement de l'image numérisée du visage. Selon les précisions apportées par le ministère, une photographie sera prise pour vérifier que la personne concernée correspond bien au porteur du document de voyage et, le cas échéant, alimenter le dossier EES de cette personne. Cette image sera ensuite utilisée par un processus de reconnaissance faciale visant à authentifier la personne concernée.
S'agissant des gabarits issus des photographies, le ministère précise que ces données sont générées par une fonctionnalité distincte du dispositif de pré-enregistrement et ne seront pas enregistrées dans le traitement projeté. La Commission rappelle à cet égard que le gabarit constitue une donnée relevant d'une catégorie distincte de celles listées dans le projet de décret, comme elle l'avait indiqué dans sa délibération sur le traitement « PASP » (délibération n° 2020-064 du 25 juin 2020 portant avis sur un projet de décret modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé « Prévention des atteintes à la sécurité publique »). Elle considère ainsi que, dès lors que des gabarits seraient générés et feraient ainsi l'objet d'un traitement, et quand bien même les opérations de traitement correspondantes seraient réalisées par un sous-traitant, le gabarit devrait être mentionné dans le projet de décret parmi les catégories données traitées dans le cadre du dispositif de pré-enregistrement. En tout état de cause, elle souligne qu'en l'absence de définition de la notion d'« image numérisée du visage », cette dernière ne peut être entendue comme recouvrant la photographie combinée au gabarit biométrique. Dès lors, elle demande que le projet de décret soit complété en ce sens.
En deuxième lieu, s'agissant des modalités de collecte des données relatives aux mineurs, la Commission prend acte des garanties prévues reposant sur l'accompagnement des mineurs par les agents de facilitation, une attention particulière étant accordée aux enfants non accompagnés, qui seront redirigés par les agents vers des gardes-frontières.
En dernier lieu, s'agissant des catégories de personnes pouvant accéder aux données du traitement, la Commission observe que certains agents de Frontex constituent des accédants au traitement. A l'issue des derniers échanges avec le ministère, le projet de décret a été modifié pour prévoir que ces personnes correspondent aux « membres du personnel opérationnel du contingent permanent du corps européen de gardes-frontières et de garde-côtes mentionnés à l'article 54 du règlement (UE) 2019/1896 du Parlement européen et du Conseil du 13 novembre 2019, déployés dans le cadre des équipes affectées à la gestion des frontières lors d'opérations conjointes aux frontières extérieures avec les agents ou les militaires mentionnés au 1° » du même projet d'article. La Commission relève que le périmètre des agents concernés est plus large que celui initialement prévu par le projet de décret. Elle regrette ainsi de n'avoir pu, dans ces conditions d'urgence, apprécier la pertinence de cette extension, et s'interroge sur les raisons ayant conduit à modifier le projet de décret en ce sens.
Sur le recours à un dispositif de vidéosurveillance :
Le règlement (UE) 2017/2225 modifie le code « frontières Schengen » pour prévoir que les systèmes en libre-service « fonctionnent sous la supervision d'un garde-frontière qui est chargé de détecter tout usage inapproprié, frauduleux ou anormal du système en libre-service » (art. 8bis-7 et art. 8ter-8 créés par le règlement (UE) 2017/2225). Le considérant 9 du même règlement précise que « dans le cadre de cette supervision, les gardes-frontières devraient, en outre, porter une attention particulière aux mineurs et être en mesure d'identifier les personnes qui ont besoin d'une protection ». Dans ce contexte, le projet de décret prévoit que l'utilisation du dispositif de pré-enregistrement peut faire l'objet d'un dispositif de vidéosurveillance et que les images captées lors de l'utilisation de ce dernier dispositif sont transmises en temps réel au poste de contrôle.
En premier lieu, le ministère a fait le choix d'une supervision au moyen d'un dispositif de vidéosurveillance auquel ont accès les seuls gardes-frontières pour les kiosques, et d'une supervision physique par un garde-frontière pour ce qui concerne l'utilisation des équipements mobiles de pré-enregistrement.
La Commission rappelle que, conformément au considérant 9 du règlement (UE) 2017/2225, des mesures devront être mises en place pour assurer que, dans le cadre d'une supervision effectuée au moyen de la vidéosurveillance, les gardes-frontières pourront effectivement porter une attention particulière aux mineurs et identifier les personnes nécessitant une protection.
En second lieu, les images captées lors de l'utilisation du dispositif de vidéosurveillance seront conservées pendant vingt-quatre heures. Selon les précisions apportées par le ministère, cette durée permettrait de couvrir les situations dans lesquelles une tentative de fraude au kiosque aurait été détectée lors d'un visionnage des images en différé. La Commission considère néanmoins que, dès lors que ces images peuvent faire l'objet d'un visionnage en temps réel, la conservation projetée n'est pas suffisamment justifiée. Ainsi, les images ne devraient être visionnées qu'en temps réel, à l'instar de ce que prévoit l'article R. 232-7 du code de la sécurité intérieure pour le traitement « PARAFE » qui poursuit des finalités similaires.
Sur les mises en relation avec d'autres traitements :
L'AIPD transmise par le ministère précise que le traitement projeté sera mis en relation avec le fichier des personnes recherchées (« FPR 2 »), le système d'information sur les visas « VIS », le système d'information Schengen (à travers la base nationale « N-SIS II »), l'« EES » et le fichier des documents de voyage volés et perdus d'Interpol. Ces traitements seront interrogés à partir de données collectées par le dispositif de pré-enregistrement.
A titre liminaire, la Commission rappelle que chaque mise en relation doit respecter la règlementation relative à la protection des données à caractère personnel, qui impose notamment que les données soient collectées pour des finalités déterminées, explicites et légitimes et ne puissent pas être traitées ultérieurement d'une manière incompatible avec ces finalités. En outre, s'agissant des traitements encadrés par des actes réglementaires, les mises en relation doivent être conformes aux finalités, aux données et aux accédants et destinataires fixés par ceux-ci (v. en ce sens la délibération n° 2021-061 du 27 mai 2021 portant avis sur un projet de décret portant modification du décret n° 2011-111 du 27 janvier 2011 autorisant la mise en œuvre par le ministère de l'intérieur - direction générale de la gendarmerie nationale - d'un traitement automatisé de données à caractère personnel d'aide à la rédaction des procédures, LRPGN).
En premier lieu, le traitement « dispositif de pré-enregistrement » sera interconnecté avec le traitement « VIS ».
Il ressort des précisions apportées par le ministère que le dispositif de pré-enregistrement interrogera le « VIS » via le traitement « EES », de manière à ce que le garde-frontière puisse comparer les empreintes digitales collectées à partir du dispositif précité avec celles contenues dans le « VIS ». La Commission observe en effet que l'article 8 du règlement « EES » prévoit une interconnexion entre l'« EES » et le « VIS », permettant notamment d'extraire les données relatives aux visas directement depuis le « VIS » et de les importer dans l'« EES », de vérifier l'authenticité et la validité du visa, ou encore de vérifier l'identité d'un titulaire de visa en comparant les empreintes digitales du titulaire de visa avec les empreintes digitales enregistrées dans le « VIS ». La Commission prend acte de ce que l'interconnexion projetée s'effectuera uniquement par l'intermédiaire de l'« EES », ce qui n'appelle pas d'observation particulière.
En second lieu, il ressort des échanges avec le ministère que le dispositif de pré-enregistrement sera mis en relation avec un traitement d'Interpol, le traitement « SLTD », ce qui implique un transfert de données vers une organisation internationale au sens du chapitre V du RGPD. La Commission rappelle que de tels transferts ne pourront être opérés que sous réserve du respect des conditions énoncées aux articles 45 et suivants du RGPD. En l'absence de décision d'adéquation adoptée par la Commission européenne, ces transferts ne pourront être réalisés que sous réserve que des garanties appropriées soient mises en œuvre conformément à l'article 46 du RGPD, en prenant en compte les circonstances du transfert ainsi que les recommandations du comité européen de la protection des données sur les mesures qui complètent les outils de transfert pour garantir le respect du niveau de protection des données à caractère personnel de l'Union européenne.
Sur les droits des personnes concernées :
Le projet de décret prévoit que les droits d'accès, de rectification, à la limitation et d'opposition s'exercent auprès de la direction générale des étrangers en France (DGEF). La Commission rappelle que l'article 35 de la loi n° 78-17 du 6 janvier 1978 modifiée prévoit que le projet d'acte autorisant la création du traitement précise le service auprès duquel s'exerce le droit d'accès. Elle souligne qu'au regard du texte de l'article 35, ainsi que dans une perspective d'effectivité du droit d'accès, le ministère devrait identifier un interlocuteur plus précis, au sein de la DGEF, pour l'exercice des droits, et indiquer cet interlocuteur a minima sur son site web et dans les mentions d'information à destination des personnes concernées. A cet égard, il ressort des dernières précisions apportées par le ministère que deux points de contact, à savoir le conseiller juridique du directeur général des étrangers en France et le délégué ministériel à la protection des données, auprès desquels les personnes concernées pourront exercer leurs droits, seront indiqués sur le site web du ministère et sur les mentions d'information à destination des personnes concernées.
S'agissant du droit à l'information, la Commission prend acte de ce que les gestionnaires d'infrastructures aéroportuaires, routières, portuaires ou ferroviaires seront tenus, dans le cadre d'une convention les liant à l'administration, de déployer des supports de communication en amont de la ligne frontière, et de ce qu'une information ministérielle sur les dispositifs sera fournie sur les sites web du ministère de l'intérieur et du ministère de l'économie, des finances et de la relance. L'information fournie sera, également, adaptée aux mineurs.
Si, par ailleurs, la Commission prend acte des précisions apportées selon lesquelles une campagne de communication sur le système « EES » sera organisée par la Commission européenne, permettant ainsi de fournir une information aux ressortissants de pays tiers éligibles à l'« EES » en amont de leur voyage, elle considère néanmoins que cette information portera exclusivement sur l'« EES », qui constitue un traitement distinct du traitement national projeté.
Elle estime en outre qu'au regard du caractère facultatif du dispositif, il est nécessaire de prévoir une information spécifique des personnes sur ce point.
Enfin, la Commission considère que les opérations de traitement résultant de la mise en place d'un dispositif de vidéosurveillance doivent l'objet d'une information spécifique. A cet égard, elle prend acte de ce que les sites web précités mentionneront le flux vidéo et de ce qu'une information particulière relative au système de vidéosurveillance sera intégrée au dispositif des kiosques de pré-enregistrement.
Sur les mesures de sécurité :
En premier lieu, la Commission prend note que le ministère a engagé un processus d'homologation de sécurité du système d'information mis en œuvre dans le cadre du traitement. Elle rappelle au ministère la nécessité de publier l'attestation d'homologation à l'issue de cette démarche.
Elle relève que les échanges de données sont réalisés via des canaux de communication chiffrés entre des serveurs mutuellement authentifiés par certificat. Des mesures de filtrage ayant pour but de restreindre l'émission et la réception des flux réseau aux machines identifiées et autorisées sont également mises en œuvre. Enfin, les accès distants sont sécurisés via un réseau privé virtuel chiffré.
Par ailleurs, des mesures sont prévues pour assurer le cloisonnement du traitement. Les transferts de données sont sécurisés par l'utilisation de réseaux isolés et compartimentés.
Les données stockées sont chiffrées avec des algorithmes et des procédures de gestion de clés conformes à l'annexe B1 du référentiel général de sécurité. L'intégrité des données transmises et stockées est vérifiée. L'intégrité des logiciels utilisés dans le cadre du traitement est également assurée.
Un contrôle d'accès logique des personnels habilités est mis en œuvre.
Les interventions de maintenance font l'objet d'une traçabilité et sont encadrées par la doctrine d'emploi de la direction du numérique du ministère ainsi que par des dispositions contractuelles.
Un traçage applicatif est mis en place afin d'évaluer les aspects fonctionnels relatifs à l'utilisation des dispositifs constitutifs du traitement ainsi que les aspects techniques relatifs à leur fonctionnement.
La Commission prend acte de ce que le ministère considère que ces traces ne peuvent pas être considérées comme des données à caractère personnel, puisque ne concernant que des informations relatives aux fonctionnalités du dispositif, aux opérations réalisées ou aux éventuelles erreurs techniques constatées. Une durée de conservation de trois mois est prévue.