Il n'a pas de valeur légale et peut contenir des erreurs.
Avis de la CNIL sur le projet de décret relatif à l'utilisation de la technologie PARAFE (PAssage Rapide Aux Frontières Extérieures)
| Date de l'avis : 8 février 2024 | N° de la délibération : 2024-010 | |:-----------------------------------------------------------------------------------------------------------|------------------------------------------------------------------------------------------------------------------------------------------------------------| | N° de demande d'avis : 23015126 |Textes concernés : projet de décret portant modification des dispositions relatives au traitement automatisé de données à caractère personnel dénommé PARAFE| | Organisme(s) à l'origine de la saisine : ministère de l'intérieur | | |Thématiques : contrôles aux frontières, système d'entrée / de sortie (EES), dispositif de pré-enregistrement| Fondement de la saisine : article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés |
L'essentiel :
Le traitement PARAFE repose sur le déploiement de sas visant à faciliter les contrôles aux frontières extérieures.
Le projet de décret modifie ce traitement pour notamment permettre l'utilisation de sas PARAFE par les ressortissants de pays tiers qui se sont préalablement pré-enregistrés dans le système européen d'entrée-sortie (« entry-exit system » ou « EES »).
En particulier, la CNIL estime qu'il conviendra de :
- renforcer l'information des voyageurs concernés ;
- clarifier la distinction des données traitées au moyen de PARAFE et de celles relevant d'autres traitements, notamment du dispositif de pré-enregistrement dans l'EES.
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 32 ;
Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
Le traitement PARAFE est encadré par les articles R. 232-6 à R. 232-11-2 du code de la sécurité intérieure (CSI). Il repose sur le déploiement de sas destinés à améliorer et faciliter les contrôles de police aux frontières extérieures.
En pratique, les voyageurs aériens, maritimes et ferroviaires éligibles au dispositif peuvent volontairement emprunter un sas PARAFE s'ils disposent d'un passeport comportant des données biométriques. Le contrôle aux frontières est alors réalisé au moyen d'une authentification biométrique du voyageur, via le traitement de l'image numérisée du visage.
Le traitement a été récemment modifié pour, en particulier, étendre le périmètre des voyageurs éligibles (v. CNIL, SP, 11 mai 2023, avis sur projet de décret, PARAFE, n° 2023-045, publié).
Un dispositif complémentaire de facilitation des contrôles aux frontières sera prochainement déployé. Il s'agit des systèmes en libre-service (kiosques ou dispositifs mobiles) pour le pré-enregistrement de ses données dans le système européen d'entrée / de sortie (« entry-exit system » ou « EES »). A cet égard :
- l'EES permettra, en remplacement du système actuel d'estampillage des passeports, l'enregistrement électronique des entrées, sorties et refus d'entrée des ressortissants de pays tiers admis pour un court séjour sur le territoire ou pour lesquels l'entrée a été refusée ;
- le pré-enregistrement dans l'EES repose sur le volontariat des voyageurs.
L'utilisation de ces systèmes implique la mise en œuvre d'un traitement de données à caractère personnel, sur lequel la CNIL s'est prononcée (CNIL, SP, 9 juin 2022, avis sur projet de décret, dispositif de pré-enregistrement, n° 2022-066, publié).
B. - L'objet de la saisine
Le ministère de l'intérieur a saisi la CNIL d'un projet de décret modifiant les dispositions relatives au traitement PARAFE. Les évolutions projetées visent à :
- prendre en compte l'entrée en service prochaine de l'EES, en permettant aux ressortissants de pays tiers qui se sont pré-enregistrés dans ce système d'utiliser PARAFE ;
- étendre le bénéfice de PARAFE aux voyageurs détenant une carte nationale d'identité électronique européenne (CNIe) ;
- ajouter les personnels de l'agence européenne de garde-frontières et de garde-côtes (Frontex) à la liste des accédants aux données du traitement ;
- permettre le déploiement de PARAFE en Polynésie française, en Nouvelle-Calédonie et à Wallis-et-Futuna.
Au-delà des modifications portées par le projet de décret, le ministère prévoit d'étendre la liste des mises en relation avec d'autres traitements, en ajoutant notamment une interconnexion avec le traitement « Travel Documents Associated with Notices database » (TDAWN).
II. - L'avis de la CNIL
A. - Sur les conditions d'utilisation des sas PARAFE et l'information des personnes
Le projet de décret prévoit que l'usage d'un sas PARAFE est subordonné, pour certains ressortissants de pays tiers, au pré-enregistrement préalable dans l'EES à partir de systèmes en libre-service.
Il ressort des précisions apportées que :
- seule une partie des personnes éligibles au dispositif de pré-enregistrement pourront bénéficier de PARAFE à la suite de leur pré-enregistrement (les personnes disposant d'un dossier EES constitué lors d'un précédent passage à la frontière de l'espace Schengen) ;
- parmi ces personnes, seules certaines d'entre elles pourront utiliser PARAFE en entrée et en sortie (le bénéfice de PARAFE à l'entrée étant réservé, s'agissant des ressortissant de pays tiers, aux seules nationalités éligibles énumérées par l'arrêté du 30 juin 2023 fixant la liste des pays tiers dont les ressortissants sont autorisés à bénéficier du traitement PARAFE en entrée sur le territoire).
Ces modalités d'articulation des dispositifs de pré-enregistrement et des sas PARAFE entrainent une multiplication des parcours de franchissement de la frontière possibles (en fonction de la nationalité, de la durée de séjour autorisée et, le cas échéant, de l'existence ou non d'un dossier préalablement enregistré dans l'EES).
Cette diversification des procédures risque d'être source de confusion et d'incertitude pour les voyageurs, pour ce qui concerne :
- leur éligibilité à l'un ou l'autre des dispositifs de facilitation des contrôles aux frontières ;
- le caractère facultatif du pré-enregistrement dans l'EES et de l'utilisation de sas PARAFE, et ainsi la possibilité alternative de se présenter devant un garde-frontière pour réaliser les contrôles.
La CNIL rappelle que, pour assurer la transparence des traitements et l'effectivité des droits, les personnes devront être informées :
- par les gestionnaires d'infrastructures (aéroports, ports maritimes, gares ferroviaires), de leur éligibilité aux sas PARAFE et du caractère optionnel de leur utilisation ;
- de l'articulation de PARAFE avec les dispositifs de pré-enregistrement (v. CNIL, SP, 11 mai 2023, avis sur projet de décret, PARAFE, n° 2023-045, publié).
En particulier :
- la signalétique mise en place pourrait être complétée par l'affichage ou la fourniture d'une information écrite avant le passage de la frontière ;
- les personnels chargés d'orienter et d'informer les voyageurs devront être déployés en nombre suffisant (v. en ce sens l'article 8 quater du règlement (UE) 2016/399 ou « code frontières Schengen ») et bénéficier d'une formation appropriée.
Lors de l'instruction de la saisine, le projet de décret a été modifié pour étendre le périmètre des personnes qui, pour pouvoir utiliser PARAFE, devront préalablement passer par un dispositif de pré-enregistrement. Il s'agira :
- en plus des ressortissants de pays tiers éligibles à l'EES (catégories de personnes initialement visées par le projet de décret) ;
- des ressortissants de pays tiers non éligibles à l'EES (à l'exception des ressortissants d'Andorre, de Monaco et de Saint-Martin) qui incluent, par exemple, les ressortissants de pays tiers disposant d'un titre de séjour.
Selon les précisions apportées, il est prévu que le dispositif de pré-enregistrement, qui concerne actuellement les seuls ressortissants de pays tiers éligibles à l'EES (en vue de leur enregistrement dans ce dernier système), soit étendu aux ressortissants de pays tiers disposant d'un titre de séjour ou d'un visa long séjour délivré par la France.
La CNIL souligne qu'il conviendra :
- de s'assurer de la conformité des évolutions projetées avec les dispositions pertinentes de droit de l'Union européenne ;
- de prévoir la modification du décret encadrant le dispositif de pré-enregistrement, dont elle devra être saisie.
B. - Sur l'articulation des traitements PARAFE, « dispositif de pré-enregistrement » et EES
a) L'architecture de PARAFE et du dispositif de pré-enregistrement
Selon les précisions apportées, les traitements « dispositif de pré-enregistrement » et PARAFE reposeront sur le déploiement d'un central commun aux frontières (CCAF), qui permettra :
- d'interroger certains fichiers (le fichier des personnes recherchées ou « FPR », par exemple) et de consulter le résultat de ces interrogations (« hit »/« no hit ») dans le cadre des vérifications aux frontières ;
- pour le dispositif national de pré-enregistrement dans l'EES, d'interroger l'EES pour déterminer l'éligibilité de la personne et de stocker temporairement les données pré-enregistrées ;
- pour PARAFE, de demander la création d'une fiche (d'entrée ou de sortie) dans l'EES.
Il conviendra de garantir la possibilité de distinguer les données et opérations relevant de PARAFE d'une part, et du dispositif de pré-enregistrement d'autre part. Cela permettra, en particulier, de garantir l'effectivité des droits des personnes concernées et d'assurer le contrôle et la sécurité de chacun des traitements indépendamment l'un de l'autre.
La CNIL prend acte des dernières précisions apportées selon lesquelles une traçabilité propre à chaque traitement sera assurée.
b) Les vérifications effectuées au moyen de ces traitements
Lorsqu'une personne utilise le dispositif de pré-enregistrement puis PARAFE, la consultation des bases de données pour les vérifications aux frontières est effectuée à deux reprises, au niveau de chaque dispositif.
Dans cette hypothèse, une interrogation des bases de données à partir de PARAFE ne serait pas nécessaire.
Dès lors, des mesures devront être mises en place pour garantir que cette consultation n'est pas effectuée, au niveau de PARAFE, pour les personnes pré-enregistrées dans l'EES.
La CNIL prend acte des dernières précisions apportées selon lesquelles l'architecture des systèmes est amenée à évoluer en ce sens.
Ces interrogations conduiront à l'affichage, au niveau de la console de supervision du garde-frontière, de l'indication selon laquelle la personne est inscrite ou non dans les bases de données consultées.
La CNIL prend acte de ce que cette information, qui constitue une donnée à caractère personnel, transite par le CCAF sans être enregistrée dans PARAFE.
Elle rappelle que les opérations de traitement le cas échéant réalisées au moyen du CCAF devront être conformes aux dispositions encadrant les fichiers dont elles relèvent (FPR ou N-SIS, par exemple).
c) La création de fiches dans l'EES à partir de PARAFE
Les sas PARAFE permettront la création dans l'EES de fiches d'entrée et de sortie, en communiquant à ce dernier système des informations relatives à l'entrée et à la sortie (à ce propos, v. not. les art. 14, 16 et 17 du règlement (UE) 2017/2226).
Dans cette perspective, le projet de décret autorise le traitement, dans PARAFE, des informations relatives à la date et l'heure de l'entrée et de la sortie, au point de passage frontalier d'entrée et de sortie, et à l'autorité qui a autorisé l'entrée.
Selon les précisions apportées, ces données seront collectées pour les seuls voyageurs de nationalité éligible à l'EES (identifiée à partir de la bande MRZ du document de voyage).
Il conviendra, également, de prendre en compte le pré-enregistrement préalable de la personne dans l'EES. La prise en compte de ce critère permettrait de prévenir la collecte, non nécessaire, de données relatives aux personnes de nationalité couverte par l'EES mais non éligibles à ce dernier dispositif (ressortissants de pays tiers bénéficiant d'un titre de séjour, par exemple).
La CNIL prend acte de l'engagement du ministère de préciser dans le décret que les personnes concernées par le traitement des données relatives à l'entrée et à la sortie correspondent aux seules personnes éligibles à l'EES.
C. - Sur les mises en relation avec d'autres traitements
a) Le périmètre des mises en relation projetées
PARAFE est actuellement mis en relation avec le fichier des personnes recherchées (FPR), le système informatique national du système d'information Schengen (N-SIS) et le fichier des documents de voyage volés et perdus d'Interpol (SLTD). Ces mises en relation s'inscrivent dans le cadre des vérifications aux frontières (v. supra, §§17-26).
Le ministère prévoit que PARAFE sera, dans cette même perspective, interconnecté avec le traitement TDAWN d'Interpol.
Au regard de l'architecture du traitement et des flux de données projetés (v. supra, §§17-31), la CNIL estime que PARAFE sera également mis en relation avec les traitements EES et « dispositif de pré-enregistrement ».
Les AIPD de ces traitements devront être complétées en ce sens, ce à quoi le ministère s'engage.
Par ailleurs, le périmètre des mises en relation diffère selon le territoire sur lequel les sas sont mis en place. Dans la mesure où les territoires d'outre-mer se situent en dehors de l'espace Schengen, les sas qui y sont déployés ne pourront interroger les systèmes d'information européens (EES) ni les traitements nationaux associés (dispositif de pré-enregistrement ; N-SIS).
La CNIL prend acte de ce que l'interrogation des bases de données à partir de PARAFE fera l'objet d'un paramétrage spécifique pour les sas déployés outre-mer.
b) Les transferts de données qu'impliquent certaines mises en relation
Les mises en relation avec les traitements SLTD et TDAWN d'Interpol impliquent un transfert de données vers une organisation internationale au sens du chapitre V du RGPD. En effet :
- ces mises en relation reposent sur la transmission de données à caractère personnel relatives au document de voyage ;
- ces données sont communiquées par un responsable de traitement soumis au RGPD à un responsable de traitement « importateur » qui est une organisation internationale (v. Lignes directrices 05/2021 sur l'interaction entre l'application de l'article 3 et des dispositions relatives aux transferts internationaux du chapitre V du RGPD, adoptées le 14 février 2023).
De tels transferts ne pourront être opérés que sous réserve du respect des conditions énoncées aux articles 45 et suivants du RGPD.
D. - Sur les mesures de sécurité
L'extension du dispositif aux titres d'identité comportant des données biométriques n'appelle pas de mesures de sécurité spécifiques mais appelle à accroître la vigilance à porter sur les performances biométriques des systèmes déployés, en raison de l'augmentation prévisible du nombre de personnes concernées par le traitement. La CNIL incite le ministère à suivre la performance des dispositifs biométriques dans le temps et pour chaque déploiement au regard des critères détaillés dans l'une de ses délibérations précédentes (CNIL, SP, 28 janvier 2016, avis sur projet de décret, PARAFE, n° 2016-012, publié).
Les nouveaux accédants prévus par le décret seront soumis à la même politique d'authentification et d'habilitation spécifique que les accédants actuels, permettant un niveau de sécurité approprié en ce qui concerne le contrôle d'accès logique.
L'audit de sécurité, initialement prévu pour arriver à son terme avant fin 2023 dans le cadre de l'homologation SSI, a débuté mais n'est pas terminé. La CNIL encourage le ministère à déployer les efforts nécessaires à l'aboutissement rapide de cet audit de sécurité, en particulier en raison de la mutualisation de certains dispositifs, tels que le CCAF, avec d'autres traitements de données, qui peut être source d'accroissement des risques.
La CNIL accueille positivement le déploiement du dispositif de gestion de crise qui était prévu dans le plan d'action et incite le ministère à le citer parmi les mesures déployées en raison de son impact positif sur la disponibilité du système permettant de réduire les effets sur les personnes en cas de problèmes de fonctionnement imprévus. Elle invite aussi le ministère à préciser certaines mesures de sécurité déployées, notamment concernant les contrôles d'intégrité (dont les conditions de déclenchement ne sont pas précisées) et la supervision (pour laquelle aucun détail n'est donné hormis l'outil utilisé).
Enfin, la CNIL invite à mettre en cohérence les évaluations des mesures de chiffrement, de gestion des incidents et des violations de données, et de supervision entre leurs descriptions détaillées et la synthèse.
Les autres mesures de sécurité décrites par le responsable de traitement semblent conformes à l'exigence de sécurité prévue par les articles 5.1.f et 32 du RGPD et n'appellent pas d'observations.
E. - Sur l'analyse de risques
La CNIL considère que les risques issus de la nouvelle architecture basée sur CCAF devraient faire partie de l'analyse. Aussi, elle considère que les risques liés à l'indisponibilité des données devraient être évalués et positionnés dans la cartographie, en cohérence avec les échelles de gravité et de vraisemblance, en raison de leur impact sur la vie privée des personnes.
Enfin, et de manière plus générale, le positionnement des risques devrait être mis en cohérence entre l'analyse et l'estimation des risques, d'une part, et les cartographies, d'autre part, afin de permettre la bonne analyse des enjeux du traitement. Aussi, l'ensemble des risques devrait être évalué selon des valeurs comprises dans les échelles définies et les éléments obsolètes retirés de l'analyse.
1 version