Il n'a pas de valeur légale et peut contenir des erreurs.
Avis de la CNIL sur le projet de décret modifiant le traitement France-Visas
| N° de demande d'avis : 23015742. | Thématiques : visas, données biométriques, fichiers de police. | |:-----------------------------------------------------------------|:------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : ministère de l'intérieur.|Fondement de la saisine : article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.|
L'essentiel :
Le traitement « France-Visas » a pour finalité principale de permettre l'instruction des demandes de visas.
Le projet de décret s'inscrit dans la perspective d'une refonte de ce traitement, engagée depuis plusieurs années. Il précise les finalités du traitement, les catégories de données pouvant être enregistrées, les durées de conservation, ou encore les accédants et destinataires.
La CNIL accueille favorablement ces évolutions et souligne que les échanges avec le ministère ont conduit à préciser certaines caractéristiques du traitement.
Néanmoins, elle émet des observations sur :
- l'articulation entre France-Visas et d'autres traitements relatifs aux visas, s'agissant notamment de l'enregistrement, dans ces traitements, de données biométriques ;
- le traitement de certaines catégories de données, enregistrées dans France-Visas, qui seront issues d'autres fichiers.
Par ailleurs, elle formule des recommandations sur les modalités d'information des personnes concernées par le traitement de leurs données et sur les mesures de sécurité.
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 32 ;
Après avoir entendu le rapport de Mme Sophie Lambremon, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
Mis en œuvre par le ministère de l'intérieur et le ministère de l'Europe et des affaires étrangères, le traitement « France-Visas » a pour finalité principale de permettre l'instruction des demandes de visas. Il a été créé initialement par un arrêté du 26 septembre 2017 pour remplacer progressivement le traitement dénommé « réseau mondial visas 2 » (RMV 2), qui permet la collecte des données nécessaires à cette instruction. La CNIL a déjà eu l'occasion de se prononcer sur ce projet d'évolution (CNIL, SP, 18 mai 2017, avis sur projet d'arrêté, France-Visas, n° 2017-151, publié).
D'autres traitements relatifs aux visas sont, en parallèle, mis en œuvre.
A cet égard, le traitement VISABIO permet la centralisation et le stockage des données biométriques de tous les demandeurs de visas ainsi que le contrôle des visas aux frontières extérieures et sur le territoire national (v. les art. R. 142-1 et s. du code de l'entrée et du séjour des étrangers et du droit d'asile ou « CESEDA »).
Par ailleurs, le système européen d'information sur les visas (VIS) permet de centraliser et de faciliter le partage d'informations relatives aux demandes de visas de court séjour déposées auprès des consulats des pays membres de l'espace Schengen.
Les dispositions encadrant le VIS ont été récemment modifiées pour renforcer la sécurité et la procédure de délivrance des visas de court séjour, inclure les visas de long séjour et les titres de séjour dans le système, et permettre l'interopérabilité entre le VIS et les autres systèmes d'information européens. Selon les précisions apportées, le déploiement opérationnel de la nouvelle version du VIS est prévu pour 2026.
B. - L'objet de la saisine
Le ministère de l'intérieur a saisi la CNIL d'un projet de décret portant autorisation d'un traitement de données à caractère personnel relatif aux étrangers sollicitant la délivrance d'un visa, dénommé France-Visas. L'article 32 de la loi « informatique et libertés » prévoit en effet que les traitements de données à caractère personnel comportant des données biométriques doivent être autorisés par décret en Conseil d'Etat pris après avis de la CNIL.
Ce projet s'inscrit dans une perspective de refonte de France-Visas. En effet, le traitement projeté vise à remplacer le traitement RMV 2 encadré par l'arrêté du 22 août 2001 ainsi que le traitement France-Visas autorisé par l'arrêté du 27 septembre 2017.
Le projet de décret prévoit des finalités similaires à celles du traitement « France-Visas » actuellement mis en œuvre. Il reprend, par ailleurs, la plupart des accédants et destinataires prévus par les textes encadrant RMV 2 et France-Visas. Néanmoins, il introduit la possibilité d'enregistrer dans France-Visas les empreintes digitales des demandeurs ainsi que des données issues de plusieurs autres fichiers.
II. - L'avis de la CNIL
A. - Sur les finalités de France-Visas
France-Visas a pour finalités :
- d'instruire les demandes de visas, en procédant notamment à l'échange d'informations, d'une part, avec les autorités nationales, d'autre part, avec les autorités des Etats mettant en œuvre l'acquis de Schengen ;
- d'améliorer les conditions de délivrance des visas au moyen, d'une part, d'un portail internet et d'un téléservice destinés à informer les demandeurs et à leur permettre de présenter des demandes de visa en ligne et, d'autre part, pour les entreprises et institutions habilitées, d'un espace de dépôt d'invitation en faveur de leurs partenaires étrangers soumis à l'obligation de visa ;
- dans le cadre de l'instruction des demandes de visas, de lutter contre l'entrée et le séjour irréguliers des étrangers en France, en prévenant les fraudes documentaires, les usurpations d'identité et les détournements de procédure.
Ces finalités reprennent, en grande partie, celles du traitement actuellement mis en œuvre.
La CNIL souligne cependant que le fait d'améliorer les conditions de délivrance des visas par l'informatisation du service (deuxième finalité prévue par le décret) ne constitue pas une finalité du traitement des données mais plutôt une description des moyens mis en œuvre pour ce traitement. Elle invite donc le ministère à ne pas présenter cela comme une finalité mais comme une caractéristique du traitement.
S'agissant de la finalité relative à l'instruction des demandes de visas et aux échanges d'informations afférents, le projet de décret supprime la mention des visas de « court séjour » et la précision selon laquelle les échanges d'informations sont réalisés « au moyen du VIS ».
Selon les précisions apportées, ces échanges pourront être réalisés tant au moyen du VIS que d'autres systèmes d'information européens (système d'entrée/de sortie ou « EES », système d'information Schengen ou « SIS », ou encore modules européens d'interopérabilité).
S'agissant de l'EES, la CNIL prend acte de ce que les échanges d'informations seront opérés au moyen de l'interconnexion entre le VIS et l'EES, dans les conditions prévues par les règlements encadrant ces traitements.
Elle regrette, néanmoins, de ne pas disposer d'informations supplémentaires sur les échanges réalisés au moyen d'autres systèmes européens, et notamment des futurs modules d'interopérabilité.
B. - Sur l'articulation de France-Visas avec d'autres traitements relatifs aux visas
France-Visas s'articulera avec les traitements VISABIO et VIS (v. supra, §§3-5) selon les modalités suivantes :
- les données traitées dans France-Visas seront versées soit dans le VIS, soit dans VISABIO, selon la catégorie de visa (le VIS ne contenant, pour l'instant, que les données relatives aux visas de court séjour) ;
- au niveau national, France-Visas a vocation à couvrir l'instruction des demandes de visas, tandis que VISABIO permettra le stockage des données relatives aux visas ;
- VISABIO est également utilisé dans le cadre, par exemple, des contrôles et vérifications effectués par les services de la police et de la gendarmerie nationales.
En premier lieu, il ressort des textes encadrant respectivement France-Visas et VISABIO que ces deux traitements poursuivent en partie les mêmes finalités, dans la mesure où l'une des finalités de VISABIO est de permettre l'instruction des demandes de visas.
La CNIL prend acte de ce que VISABIO participe à l'instruction des demandes de visas dans la mesure où il est interrogé, à partir de France-Visas, pour vérifier l'existence d'antécédents de visas (long-séjour ou outre-mer) et de données biométriques qui auraient été préalablement collectées.
En second lieu, la collecte et le stockage de données biométriques sont réalisés par l'intermédiaire de VISABIO. En parallèle, le projet de décret prévoit l'enregistrement des empreintes digitales des demandeurs dans France-Visas, ce qui n'était pas le cas précédemment (v. CNIL, SP, 18 mai 2017, avis sur projet d'arrêté, France-Visas, n° 2017-151, publié).
Selon les précisions apportées, les empreintes digitales seront enregistrées dans France-Visas aux seules fins de l'instruction des demandes, pour une durée limitée (un mois), soit jusqu'à leur enregistrement pérenne dans le VIS ou VISABIO. En ce sens, les empreintes digitales ne seraient pas enregistrées, de façon concomitante, dans France-Visas et d'autres fichiers.
La CNIL rappelle toutefois que le traitement de données biométriques dans VISABIO entraine déjà de forts risques du point de vue de la protection des données à caractère personnel en cas de violation de données, car ces données ne sont pas modifiables.
Dès lors, elle invite le ministère à réfléchir à une architecture informatique qui permette d'éviter le traitement des empreintes digitales des demandeurs de visas dans plusieurs fichiers.
C. - Sur le traitement de données issues des consultations sécuritaires
Le projet de décret autorise le traitement de données relatives aux « consultations sécuritaires » qui sont opérées dans le cadre de l'instruction des demandes de visas. Ces données sont issues de la consultation du fichier des personnes recherchées (FPR) et du système d'information Schengen (SIS). Elles recouvrent également le sens de l'avis qui aurait le cas échéant été émis par la direction générale de la sécurité intérieure (DGSI) ainsi que des données relatives à l'avis consolidé du bureau de l'instruction des demandes de la sous-direction des visas.
Une interrogation directe du FPR et du SIS permettra aux personnels habilités d'avoir accès à des données complètes et à jour, ce que la CNIL accueille favorablement (en ce sens, v. CNIL, SP, 18 mai 2017, avis sur projet d'arrêté, France-Visas, n° 2017-151, publié).
Elle conduira, néanmoins, à enregistrer dans France-Visas des données issues de ces fichiers. Ainsi, le projet de décret prévoit l'enregistrement de « l'indication de l'enregistrement ou non » de la personne dans ces fichiers et des documents de voyage en sa possession. En cas d'enregistrement de la personne dans le FPR ou de « suspicion d'enregistrement » dans le SIS, plusieurs données pourront être versées dans France-Visas.
a) Données inscrites en cas de « suspicion d'enregistrement » dans le SIS
Selon les précisions apportées, la « suspicion d'enregistrement » mentionnée par le décret renvoie au « hit » obtenu après consultation du SIS, c'est à dire à l'existence dans ce fichier de données totalement ou partiellement identiques à celles communiquées par le demandeur de visa.
D'une part, la CNIL invite le ministère à employer un critère différent de celui de la « suspicion d'enregistrement » dans le SIS, pour utiliser une notion plus objective. Elle souligne qu'une telle suspicion devra nécessairement être établie à la suite d'une interrogation du SIS à partir des données alphanumériques du demandeur de visa, au regard des résultats de cette consultation. En tout état de cause, et en vue de garantir l'exactitude des données, les informations afférentes devront être clairement distinguées des données pour lesquelles il n'existe aucun doute qu'elles correspondent au demandeur (par le biais d'un marquage spécifique, par exemple).
D'autre part, l'information relative à une possible inscription dans le SIS devra être conservée pour la seule durée nécessaire à l'instruction de la demande de visa.
b) Conservation des données issues des consultations sécuritaires
Les données issues des consultations sécuritaires seront conservées pendant une durée maximale de cinquante jours, par dérogation au principe de conservation des données pendant cinq ans prévue pour les autres données de France-Visas. Seule la référence au résultat positif de la consultation (identifiant du signalement) sera conservée pendant cinq ans.
La CNIL observe que certaines durées de conservation des données ont, au cours de l'instruction du dossier, été réduites.
A cet égard, une durée de conservation maximale de cinquante jours apparait pertinente et nécessaire aux finalités du traitement, dans la mesure où elle s'aligne sur les délais d'instruction des demandes de visas.
En revanche, la CNIL s'interroge sur la nécessité, pour atteindre les finalités du traitement, de conserver pendant cinq ans l'information de la présence du demandeur dans le FPR ou le SIS, alors qu'entre-temps la fiche correspondant à cette personne dans ces fichiers aura pu disparaître.
D. - Sur les destinataires des données du traitement
Le projet de décret prévoit, parmi les destinataires des données du traitement, les « opérateurs de protection sociale dans le cadre de la lutte contre la fraude » ainsi que certains services du ministère de l'intérieur et du ministère des armées.
A titre liminaire, la CNIL rappelle qu'un destinataire est la personne qui reçoit ou accède aux données pour une autre finalité que la finalité du traitement, et qui peut les traiter ensuite pour son propre compte. Les finalités du traitement de destination doivent, toutefois, être compatibles avec celles du traitement dont les données sont issues (en ce sens, v. CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié).
En l'espèce, le ministère précise que la transmission de données aux opérateurs de protection sociale :
- s'inscrit dans le cadre des échanges d'informations prévus par l'article L. 114-11 du code de la sécurité sociale ;
- permettra aux opérateurs de protection sociale de s'assurer qu'une personne demandant le bénéfice de l'aide médicale d'Etat (AME) ne dispose pas d'un visa et, ainsi, remplit les critères d'attribution de l'AME.
Néanmoins, les organismes de sécurité sociale peuvent déjà consulter VISABIO pour vérifier les conditions de prise en charge au titre de l'AME (à ce propos, v. CNIL, SP, 19 mars 2020, avis sur projet de décret, VISABIO, n° 2020-035, publié).
La CNIL invite le ministère à garantir que les données de France-Visas ne pourront être transmises aux opérateurs de protection sociale que dans la seule hypothèse où VISABIO ne couvrirait pas l'ensemble des demandes de visas.
Il conviendra, le cas échéant, d'adapter les dispositions encadrant VISABIO, dans la mesure où elles semblent couvrir tout type de visa, y compris les visas de court séjour.
Le projet de décret prévoit également la transmission des données à certains services du ministère de l'intérieur et des armées à raison de leurs attributions. La CNIL invite le ministère à préciser davantage pour quelles finalités les données sont transmises à ces services.
Elle prend acte des dernières précisions apportées selon lesquelles l'AIPD a été complétée en ce sens.
E. - Sur l'information des personnes
Selon l'analyse d'impact relative à la protection des données (AIPD), l'information des personnes est effectuée selon les modalités prévues par les articles 13 et 14 du RGPD. En pratique,
- une information contenant les mentions requises par le RGPD sera disponible, en six langues, sur le portail « France-Visas » ;
- une information sera disponible sur les formulaires ainsi que dans les cabines biométriques.
La CNIL souligne que les mentions d'information devront être :
- facilement accessibles lors de la saisie de la demande (onglet visible, mentions sur le formulaire, etc.) ;
- clairement différenciées des autres informations non liées à la vie privée, et ainsi se distinguer des « conditions générales d'utilisation », par exemple (v. en ce sens les lignes directrices du CEPD sur la transparence au sens du RGPD) ;
- fournies par les consulats et prestataires de service extérieurs ;
- rédigées en des termes simples et clairs.
Par ailleurs, les données collectées pour l'instruction des demandes de visas ont vocation à alimenter, outre France-Visas, les fichiers « VIS » et « VISABIO ».
Dès lors, les personnes concernées devront également être informées du traitement de leurs données dans le VIS et VISABIO.
A des fins d'intelligibilité et de clarté de l'information transmise, plusieurs niveaux d'information pourraient être prévus. A un premier niveau (via un encadré synthétique, par exemple), une information sur l'ensemble des traitements concernés, leurs finalités, ainsi que l'identité des responsables de traitement pourrait être communiquée.
F. - Sur les mesures de sécurité
En premier lieu, une homologation de sécurité du traitement France-Visas a été réalisée en mars 2022. Cette homologation, attribuée pour une durée d'un an, a été reconduite pour une durée d'un an en mars 2023. Selon les précisions apportées, des audits de sécurité réguliers sont effectués. La nouvelle commission d'homologation de mars 2024 a attribué une décision d'homologation, sans réserve, pour une durée de trois ans.
En deuxième lieu, les données personnelles stockées dans France-Visas ne sont pas chiffrées. Il ressort des précisions apportées que l'opportunité de chiffrer certaines données, telles que les pièces justificatives ou encore les données biométriques, était à l'étude.
La CNIL demande au ministère de chiffrer les données, en base, à l'aide d'algorithmes et de procédures de gestion des clés réputés sûrs, conformément à ses recommandations et à celles de l'ANSSI en la matière. Un tel chiffrement est nécessaire en premier lieu pour les données les plus sensibles et, à terme, pour la totalité des données.
En outre, le chiffrement des socles, c'est-à-dire des stations de travail utilisées par les agents et prestataires de services extérieurs (PSE), n'est pas systématiquement mis en œuvre. Si les disques durs des ordinateurs portables sont chiffrés, d'une manière générale les stations de travail fixes ne le sont pas. Pour le périmètre du ministère de l'Europe et des affaires étrangères (MEAE), le décommissionnement des postes en fin de vie suit des procédures strictes, le traitement est en mode client-serveur sans stockage permanent de données sur les stations.
Néanmoins, la CNIL propose, au regard des caractéristiques du traitement, de déployer des solutions de chiffrement des disques.
En troisième lieu, il est prévu de centraliser les journaux du « Front-Office » (composé du module d'information, du module de demande et du module guichet) au sein d'un puits de journalisation. De même, il est envisagé de mettre en œuvre une analyse automatique de ces journaux au cours du premier semestre 2024. Enfin, dans un second temps, il sera envisagé de réaliser ces actions d'analyse pour l'ensemble des journaux du traitement. La CNIL prend acte de ces éléments et invite vivement le ministère à les mener à terme au plus tôt.
S'agissant de la gestion de l'authentification, la politique de mot de passe du « Front-Office » est choisie conformément à la délibération de la CNIL n° 2022-100 du 21 juillet 2022 (prestataires de services extérieurs et usagers). Pour les agents du MEAE, cette politique est définie par l'authentification unique (SSO) du ministère. S'agissant de l'accès au « Back-Office », le ministère indique que la politique des mots de passe (ou l'utilisation de la carte agent) est de la responsabilité des différents fournisseurs d'identité et que l'authentification s'effectue, de fait, par le biais des solutions des différents ministères. La CNIL demande au ministère de préciser aux différents partenaires ministériels le minimum attendu au sujet de l'authentification.
Enfin, la CNIL prend acte des mesures mises en œuvre au niveau du chiffrement des échanges, qu'il s'agisse des flux sur Internet, des flux entre les prestataires de services extérieurs et le ministère ou encore l'ensemble des flux internes, en Back-Office, sur le réseau Interministériel de l'Etat (RIE).
1 version