Délibération n° 2012-293
du 13 septembre 2012
portant avis sur un projet de décret relatif à l'application de gestion des dossiers de ressortissants étrangers en France et au traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d'un visa
La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet de décret relatif à l'application de gestion des dossiers de ressortissants étrangers en France et au traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d'un visa ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le règlement (CE) n° 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d'information sur les visas (VIS) et l'échange de données entre les Etats membres sur les visas de court séjour (règlement VIS) ;
Vu le règlement (CE) n° 810/2009 du Parlement européen et du Conseil du 13 juillet 2009 établissant un code communautaire des visas (code des visas) ;
Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment ses articles L. 611-1, L. 611-3 et L. 611-5 à L. 611-7 ;
Vu le code de procédure pénale, notamment ses articles 28-1, 28-2, 78-2 et 78-3 ;
Vu le code de la sécurité intérieure, notamment son article L. 222-1 ;
Vu le code des douanes, notamment son article 67 quater ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-1 (2°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-645 du 10 juin 2010 relatif au traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d'un visa ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet de décret relatif à l'application de gestion des dossiers de ressortissants étrangers en France et au traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d'un visa.
Ce projet de décret vise à apporter certaines modifications aux conditions de mise en œuvre de ces deux traitements, dénommés AGDREF2 et VISABIO. Dans la mesure où ceux-ci sont mis en œuvre pour le compte de I'Etat et portent notamment sur des données biométriques, les modifications de leurs conditions de mise en œuvre doivent faire l'objet d'un décret en Conseil d'Etat pris après avis de la CNIL, en application des dispositions des articles 27-1 (2°) et 30 de la loi du 6 janvier 1978 modifiée.
1. Sur les modifications apportées au traitement AGDREF2
Rappel sur le traitement AGDREF2
La création de cette application, mise en œuvre par le ministère chargé de l'immigration, a été autorisée par le décret n° 2011-638 du 8 juin 2011, pris après l'avis de la CNIL en date du 10 février 2011, et ses caractéristiques de fonctionnement sont définies aux articles R. 611-1 à R. 611-7-4 du CESEDA. Ces nouvelles dispositions réglementaires ont permis des évolutions majeures du traitement AGDREF, initialement créé en 1993 et devenu techniquement obsolète, qui constitue le fichier principal de gestion administrative des étrangers et concerne ainsi environ sept millions de personnes.
Il permet notamment la gestion par les préfectures des dossiers de ressortissants étrangers et la fabrication des titres de séjour, en même temps qu'il permet aux agents habilités à examiner la situation des étrangers au regard du séjour en France d'effectuer les vérifications nécessaires. Depuis le décret du 8 juin 2011, le traitement AGDREF2 intègre en outre les fonctionnalités du traitement ELOI relatif aux étrangers faisant l'objet d'une mesure d'éloignement. Il comporte une base centralisée de données biométriques (les dix empreintes digitales et la photographie des personnes concernées) relatives aux demandeurs de titre de séjour, aux personnes en situation irrégulière et aux personnes faisant l'objet d'une mesure d'éloignement et permet la délivrance de titres biométriques de séjour et de voyage des étrangers. L'accès aux données enregistrées dans ce traitement est enfin ouvert, dans la limite du besoin d'en connaître, à tous les services de l'Etat et organismes rattachés intervenant dans la gestion administrative des étrangers.
La Commission s'est prononcée sur tous ces points dans sa délibération du 10 février 2011 ainsi que sur les nécessaires garanties à mettre en œuvre afin de mieux respecter le droit à la protection des données personnelles des étrangers concernés. Les nouvelles modifications projetées du traitement AGDREF2 concernent uniquement la liste des destinataires bénéficiant d'un accès en simple consultation aux données, mentionnée à l'article R. 611-5 du CESEDA.
Sur les nouveaux destinataires du traitement
Il s'agit en premier lieu d'ajouter au a du 7° dudit article " les agents des services fiscaux habilités à effectuer des missions de police judiciaire ", spécialement habilités à cet effet par le magistrat mentionné à l'article 28-2 du code de procédure pénale. Ces agents pourront ainsi consulter le traitement AGDREF2 aux fins de contrôle et de vérification de l'identité des personnes ainsi que de vérification de la validité et l'authenticité du titre de séjour, dans les conditions prévues à l'article L. 611-1 du CESEDA et aux articles 78-2 et 78-3 du code de procédure pénale (CPP), tout comme le peuvent déjà les officiers de police judiciaire (OPJ), les agents de police judiciaire (APJ) et agents de police judiciaire adjoints (APJA) ainsi que les agents des douanes. Certains agents des services fiscaux ayant les mêmes attributions que les agents des douanes, cette modification n'appelle pas d'observation particulière de la part de la Commission.
Il s'agit en second lieu de modifier le b du 7° du même article et d'y ajouter un b bis afin de permettre la consultation du traitement, au titre des enquêtes et procédures judiciaires, par les OPJ et APJ, ainsi que, au seul titre des procédures confiées par l'autorité judiciaire pour les infractions prévues aux articles 28-1 et 28-2 du CPP, par les agents des services fiscaux habilités à cet effet. Actuellement, l'article R. 611-5 du CESEDA ne vise en effet que la consultation du traitement par les agents des douanes dans le cadre des infractions prévues à l'article 28-1 dudit code.
Dans le cadre d'enquêtes judiciaires, tous ces agents constituent des tiers autorisés au sens du II de l'article 3 de la loi du 6 janvier 1978 modifiée. Les dispositions du CPP relatives aux réquisitions judiciaires permettent en effet déjà à l'autorité judiciaire d'avoir communication, à des fins d'enquête dans le cadre d'une procédure judiciaire, des données issues de tout traitement de données à caractère personnel, quelle que soit sa finalité et sans qu'il soit donc besoin de les mentionner parmi les destinataires du traitement concerné.
L'ajout de ces destinataires à la liste prévue à l'article R. 611-5 du CESEDA ne constitue pas une modification du traitement AGDREF2 et n'appelle donc pas d'observation complémentaire de la part de la Commission.
2. Sur les modifications apportées au traitement VISABIO
Rappel sur le traitement VISABIO
Les modalités de mise en œuvre du traitement VISABIO, relevant conjointement du ministère chargé de l'immigration et du ministère des affaires étrangères, sont définies aux articles R. 611-8 à R. 611-15 du CESEDA. Ces dispositions réglementaires ont été créées par le décret n° 2007-1560 du 2 novembre 2007, pris après l'avis de la Commission en date du 10 juillet 2007, et ont été substantiellement modifiées par le décret n° 2010-645 du 10 juin 2010, pris après l'avis de la CNIL en date du 17 septembre 2009.
Le traitement VISABIO constitue la première base centralisée de données biométriques mise en place pour le compte de l'Etat. Il concerne les ressortissants étrangers sollicitant la délivrance d'un visa, soit plus de deux millions d'étrangers par an, et a pour finalité générale " de mieux garantir le droit au séjour des personnes en situation régulière et de lutter contre l'entrée et le séjour irréguliers des étrangers en France, en prévenant les fraudes documentaires et les usurpations d'identité ". Ce traitement enregistre les empreintes digitales des dix doigts et la photographie numérisée des personnes concernées ainsi que des éléments alphanumériques d'identification et des données relatives à leur titre de voyage et au visa délivré, qui sont communiquées automatiquement par le traitement RMV 2 (Réseau Mondial Visas), conformément à l'article R. 611-9 du CESEDA. Ces données sont conservées cinq ans à compter de leur inscription dans le système.
Aux termes de l'article R. 611-12 du CESEDA, ces données sont accessibles aux autorités consulaires, aux services en charge du contrôle aux frontières ainsi qu'aux services de police et de gendarmerie nationales. Elles sont également accessibles aux agents des préfectures lorsque celles-ci reçoivent une demande de visa, ainsi que, jusqu'au 31 décembre 2012, aux agents chargés de la lutte antiterroriste.
Par ailleurs, le traitement VISABIO constitue la partie nationale biométrique du Visa Information System (VIS), en cours de déploiement au niveau européen, dont les modalités de mise en œuvre sont définies par le " règlement VIS " susvisé. VISABIO intervient en effet dans le domaine de la délivrance des visas qui, pour les visas de court séjour qui représentent la grande majorité des visas délivrés par l'Etat français, relève de la pleine compétence communautaire. Depuis la modification de l'article R. 611-8 du CESEDA introduite par le décret n° 2010-645, le traitement VISABIO a ainsi pour finalité de permettre l'instruction des demandes de visas en procédant notamment à l'échange d'informations avec des autorités nationales et avec les autorités des Etats Schengen au travers du système d'information sur les visas (VIS) pour les données relatives aux visas court séjour dits " visas Schengen ".
Ce décret a enfin introduit une modification majeure des conditions de collecte des données enregistrées dans le traitement, en autorisant, à titre expérimental dans trois consulats (Alger, Londres et Istanbul) et pour une durée d'un an, le recours à un prestataire de services agréé par chaque poste consulaire pour la collecte des identifiants biométriques enregistrés dans VISABIO. Cette externalisation, qui repose notamment sur l'utilisation de l'application BIONET, fournie par l'administration française aux prestataires agréés aux fins de cette collecte, a fait l'objet d'une évaluation dont le bilan a été communiqué à la Commission, conformément aux dispositions de l'article R. 611-15 du CESEDA.
Dans ce contexte, plusieurs modifications du traitement sont envisagées par les ministères concernés. Il est notamment prévu d'élargir les finalités du traitement VISABIO, afin de faciliter l'identification des étrangers en situation irrégulière, et de modifier la liste des destinataires du traitement ainsi que celle des données transmises par le réseau RMV 2 et enregistrées dans VISABIO. Toutefois, la principale modification consiste à généraliser la possibilité, pour tous les postes consulaires, de recourir à des prestataires privés pour collecter les identifiants biométriques des demandeurs de visa.
Sur l'ajout d'une finalité et de nouvelles données enregistrées dans le traitement
Aux termes de l'article R. 611-8 du CESEDA, le traitement VISABIO vise à améliorer les conditions de délivrance des visas en permettant de déceler les demandes présentées par la même personne sous plusieurs identités, à améliorer la vérification de l'authenticité des visas ainsi que de l'identité de leurs détenteurs aux points de contrôle des frontières et à faciliter les vérifications d'identité opérées en application de l'article 78-3 du code de procédure pénale ainsi que la vérification de l'authenticité des visas et de la régularité du séjour. Les ministères de l'intérieur et des affaires étrangères prévoient d'ajouter à cet article un dixième alinéa ainsi rédigé :
" 5° A faciliter l'identification des étrangers en situation irrégulière en vue de leur éloignement. "
La mise en œuvre des mesures d'éloignement participe de la lutte contre le séjour irrégulier, qui constitue la finalité générale du traitement VISABIO prévue par les articles L. 611-6 et R. 611-8 du CESEDA. En outre, l'établissement de l'identité et de la nationalité d'une personne en situation irrégulière conditionne la mise en œuvre d'une mesure d'éloignement. La Commission considère dès lors que la facilitation de cette identification est conforme aux objectifs du traitement et que cette nouvelle finalité assignée au traitement VISABIO est donc déterminée, explicite et légitime, conformément aux dispositions de la loi du 6 janvier 1978 modifiée.
La modification de l'annexe 6-3 du CESEDA, qui liste les données transmises par le RMV 2 et enregistrées dans le traitement VISABIO, a pour unique objectif d'articuler pleinement les dispositions réglementaires dudit code avec les dispositions communautaires relatives au VIS. Il s'agit ainsi de permettre la consultation, par l'application VISABIO, de l'ensemble des données consultables en application du " règlement VIS ". Les nouvelles données mentionnées dans cette nouvelle annexe, relatives à la demande de visa et à ses suites (délivrance, refus, annulation, etc.), n'appellent pas d'observation particulière de la part de la Commission.
Sur la modification de la liste des destinataires du traitement
Les ministères compétents projettent d'ajouter différentes catégories d'agents à la liste des destinataires des données enregistrées dans le traitement VISABIO, qui figure à l'article R. 611-12 du CESEDA. Il s'agit tout d'abord d'élargir l'accès des agents préfectoraux, en remplaçant, au I (2°) dudit article, la mention " agents compétents en matière de délivrance et de prorogation des visas " par " agents chargés de l'application de la réglementation relative aux étrangers ".
Cette modification vise à permettre aux agents compétents en matière de délivrance des titres de séjour, lorsqu'ils instruisent une demande de titre, d'authentifier les visas présentés à l'appui de la demande afin de prévenir une éventuelle usurpation d'identité. Il s'agit également de permettre l'accès à VISABIO des services préfectoraux chargés du traitement des demandes d'asile, conformément à l'article 22 du " règlement VIS ". Cette modification est enfin corollaire à l'ajout de la finalité d'identification des étrangers en situation irrégulière en vue de leur éloignement : aux fins de la préparation de la mise en œuvre des mesures d'éloignement prononcées à leur encontre, les agents préfectoraux en charge de cette mission doivent pouvoir accéder au traitement VISABIO afin d'établir l'identité et la nationalité des personnes concernées.
La Commission considère que ces nouveaux accès sont justifiés au regard des finalités du traitement VISABIO. Elle demande néanmoins que la rédaction du I (2°) de l'article R. 611-12 du CESEDA soit précisée afin de mentionner expressément les circonstances dans lesquelles ces accès sont autorisés.
La facilitation de l'éloignement des étrangers en situation irrégulière a également pour corollaire l'ajout d'un 3° bis au I de l'article R. 611-12 du CESEDA afin de permettre l'accès des agents de la police et la gendarmerie nationales chargés de l'éloignement des étrangers au traitement VISABIO. Cette modification doit permettre aux agents compétents, lorsqu'un étranger détenu, gardé à vue ou placé en rétention administrative fait l'objet d'une mesure d'éloignement, de préparer la mise en œuvre de celle-ci. Au vu de la nouvelle finalité assignée au traitement VISABIO, ces nouveaux accès n'appellent pas d'observation particulière de la part de la Commission.
Les ministères compétents projettent également de modifier le I (3°) de l'article R. 611-12 du CESEDA afin de prévoir la possibilité, pour les personnels de gendarmerie auxquels sont confiées, dans certains cas, des missions de contrôle aux frontières, d'accéder au traitement VISABIO. Dans cette seule circonstance, il apparaît dès lors légitime de prévoir l'accès des personnels de gendarmerie à VISABIO, dans les mêmes conditions que celui prévu s'agissant des autres personnels chargés du contrôle aux frontières (police aux frontières de la police nationale et douanes).
Il est en outre prévu de permettre l'accès au traitement des APJ dans le cadre des vérifications d'identité effectuées dans les conditions prévues à l'article 78-3 du CPP, le I (4°) du même article prévoyant uniquement l'accès des OPJ de la police et de la gendarmerie nationales dans le cadre de telles missions. A cet égard, la Commission ne peut que souligner que les dispositions de l'article 78-3 du CPP ne permettent pas aux APJ de réaliser des missions de vérification d'identité, contrairement aux dispositions relatives aux missions de contrôle d'identité (art. 78-2 du CPP) ou de contrôle de l'authenticité des visas et de la régularité du séjour (art. L. 611-1 du CESEDA). Elle estime dès lors qu'un tel accès n'est pas juridiquement fondé.
Cependant, et dès lors que cette modification a pour objet de favoriser une utilisation plus importante du traitement dans le cadre de la sécurité publique, en permettant aux APJ de consulter VISABIO dans certaines circonstances, la Commission souligne que le II dudit article pourrait être modifié en ce sens. En effet, ces dispositions prévoient l'accès des OPJ de la police et de la gendarmerie nationales, pour des missions de contrôle de l'authenticité des visas et de régularité du séjour, aux données du traitement, à l'exclusion néanmoins des empreintes digitales des demandeurs de visa. Or, dans le cadre de telles missions, il n'apparaît pas nécessaire de limiter cet accès aux seuls OPJ, les APJ étant expressément mentionnés à l'article L. 611-1 du CESEDA relatif à l'obligation de preuve du caractère régulier du séjour ou de la circulation en France. L'accès des APJ au traitement VISABIO dans le cadre de leurs missions de contrôle de l'authenticité des visas et de régularité du séjour apparaîtrait dès lors légitime et justifié au regard des finalités de VISABIO.
En ce qui concerne ce II de l'article R. 611-12 du CESEDA, il est en outre prévu de supprimer la mention " à l'exclusion des empreintes digitales " afin de permettre un accès des services mentionnés à toutes les données enregistrées dans VISABIO. La Commission relève qu'une telle modification apparaît conforme aux dispositions de l'article 19 du " règlement VIS ", qui prévoient expressément la possibilité de vérifier les empreintes digitales du titulaire du visa aux fins de contrôle de l'identité de son titulaire, de l'authenticité du visa ou du caractère régulier des conditions d'entrée et de séjour de la personne concernée.
Les ministères concernés projettent également d'ajouter au I du même article les agents des douanes, aux fins d'exercice de leurs missions de contrôle sur le territoire national prévues par l'article 67 quater du code des douanes. Ces dispositions prévoient en effet que les agents des douanes peuvent " vérifier le respect des obligations de détention, de port et de présentation des pièces ou documents prévue à l'article L. 611-1 " du [CESEDA] dans certaines parties du territoire. Dans ces conditions, la Commission estime légitime d'autoriser de tels accès au traitement VISABIO, tout comme ils sont d'ailleurs prévus pour le traitement AGDREF2.
Il est en outre prévu d'ajouter au même article les agents de l'Office français de l'immigration et de l'intégration (0FII) chargés des procédures d'admission au séjour " pour les besoins de la procédure d'attestation visée au 6° de l'article R. 313-3 du [CESEDA] " et spécialement habilités à cet effet par le directeur général de l'OFII. Ces dispositions concernent le visa long séjour valant titre de séjour (VLS-TS). Les titulaires de tels visas sont en effet dispensés, pendant la première année de leur séjour en France, de se présenter à la préfecture pour obtenir un titre de séjour, à condition de subir la visite médicale de l'OFII et de faire valider le visa par celui-ci. La Commission considère dès lors que l'accès des agents de l'OFII aux données du traitement, aux fins de s'assurer de l'identité du titulaire du VLS-TS, est justifié au regard des finalités du traitement VISABIO.
Enfin, il est prévu une modification d'ordre strictement rédactionnel concernant l'accès des services chargés de la prévention et de la répression des actes de terrorisme au traitement VISABIO. En application de l'article L. 222-1 du code de la sécurité intérieure, les services spécialisés bénéficient en effet, à titre transitoire jusqu'au 31 décembre 2012, d'un accès en consultation à plusieurs fichiers administratifs mis en œuvre par le ministère de l'intérieur, et notamment à VISABIO. Afin d'éviter de modifier les dispositions réglementaires du CESEDA concernées à chaque modification de la date d'applicabilité de ces dispositions législatives, les ministères compétents prévoient un simple renvoi vers ces dernières. Sous réserve que la rédaction projetée soit modifiée pour prévoir un renvoi vers les dispositions pertinentes du code de la sécurité intérieure, cette modification n'appelle pas d'observation particulière de la part de la Commission.
Sur la généralisation de l'externalisation de la collecte des identifiants biométriques des demandeurs de visa
Les ministères de l'intérieur et des affaires étrangères prévoient une autre modification substantielle du traitement VISABIO en ce qui concerne les modalités de collecte des données qui y sont enregistrées. Elle consiste à généraliser la possibilité, pour tous les postes consulaires, de recourir à des prestataires privés pour collecter les identifiants biométriques des demandeurs de visa, tout comme cela est déjà le cas concernant leurs données alphanumériques enregistrées dans le RMV 2. Il est ainsi prévu de supprimer toutes les dispositions concernant le caractère expérimental de cette collecte externalisée, qui figurent à l'article R. 611-10 du CESEDA (relatif aux conditions de collecte des données) et à l'article R. 611-15 du même code (concernant l'évaluation de l'expérimentation).
A titre liminaire, la Commission rappelle qu'elle s'est prononcée dans sa délibération n° 2009-494 du 17 septembre 2009 sur l'expérimentation de cette modalité de collecte. Elle a ainsi considéré que l'intervention d'un prestataire extérieur dans le processus de collecte des données comporte un risque de compromission de l'intégrité du processus de délivrance des visas, et notamment du niveau de fiabilité et de sécurité de ce processus, ainsi que des garanties entourant la protection des données personnelles relatives aux demandeurs de visa. Elle a en outre relevé que des garanties d'ordre contractuel risquent d'être insuffisantes s'agissant de prestataires étrangers relevant de la souveraineté de leur Etat d'implantation, alors même que l'introduction d'identifiants biométriques a précisément pour but de renforcer le niveau de sécurité du processus de délivrance des visas. C'est pourquoi la Commission a exprimé " de sérieuses réserves sur la possibilité de recourir à des prestataires extérieurs pour collecter les identifiants des demandeurs de visa ".
Dans ce même avis, elle avait néanmoins considéré que les sécurités techniques entourant cette externalisation ainsi que la politique de contrôle des prestataires agréés par les postes consulaires et les administrations centrales des ministères de l'intérieur et des affaires étrangères constituent des mesures " de nature à satisfaire les exigences minimales de protection des personnes à l'égard du traitement automatisé de données à caractère personnel, et qu'elles pourraient permettre de se prémunir, sous la réserve exprimée plus haut, des risques de divulgation ou d'utilisation détournée des données biométriques des demandeurs de visa ".
Dans ces conditions, la Commission avait estimé que cette expérimentation " devra permettre d'apprécier précisément si les mesures prises pour assurer le contrôle de l'activité des prestataires garantissent ou non la confidentialité des données traitées et évitent en particulier tout risque de divulgation et d'utilisation détournée de celles-ci " et " qu'une évaluation précise est nécessaire avant de pouvoir envisager une éventuelle extension du dispositif à d'autres consulats ".
A cet égard, la Commission souligne que, outre le rapport d'évaluation de cette expérimentation communiqué par le Gouvernement, plusieurs missions de contrôle, diligentées par la Commission en application de l'article 44 de la loi du 6 janvier 1978 modifiée, ont été réalisées auprès de postes consulaires et des administrations centrales concernées afin de contrôler les traitements mis en œuvre aux fins de délivrance des visas. Si ces missions ont porté sur l'ensemble des traitements mis en œuvre dans ce cadre, une attention toute particulière a été portée aux conditions d'externalisation de la collecte des identifiants biométriques à des prestataires agréés. Deux des trois consulats concernés par l'expérimentation ont ainsi été contrôlés par la Commission (Istanbul et Londres) et les modalités de fonctionnement de l'application BIONET, fournie par l'administration française aux prestataires agréés aux fins de la collecte des identifiants biométriques des demandeurs de visa, ont également fait l'objet de contrôles au sein des administrations centrales concernées.
Tant le rapport d'évaluation que ces missions de contrôle ont permis de constater que la grande majorité des mesures prévues de sécurisation (physique, logique et organisationnelle) de cette modalité de collecte des données biométriques ont effectivement été mises en œuvre par les postes consulaires et les ministères compétents dans le cadre de l'expérimentation.
En particulier, il a été constaté au sein des postes consulaires concernés une sécurité physique élevée des lieux abritant les stations BIONET. La protection physique de ces stations, qui stockent temporairement les données biométriques collectées, est globalement satisfaisante, bien que les mesures prises aux fins de cette protection soient inégalement mises en œuvre en fonction des consulats. La sécurité logique de l'environnement BIONET (authentification au système, mesures de protection contre les intrusions, mesures de sécurisation des flux de données, stockage des données biométriques, etc.) satisfaisait de même aux conditions prévues par l'article 34 de la loi du 6 janvier 1978 modifiée.
La mise en œuvre de mesures strictes de surveillance et de contrôle, à distance et sur place, de l'ensemble des activités du prestataire a également été constatée lors des missions de contrôle. Les principales mesures concernées figurent dans le cahier des charges que le prestataire s'engage à respecter lors de la signature de l'agrément par le chef de poste consulaire concerné. Ce cahier des charges a été renforcé depuis sa présentation dans le cadre de la demande d'avis de 2009 afin de mieux contrôler les risques juridiques et technologiques liés à l'externalisation.
Dans ces conditions, il apparaît que les risques mentionnés par la Commission dans son avis du 17 septembre 2009 ont été globalement maîtrisés dans le cadre de l'expérimentation. Les garanties prévues par les ministères concernés ont ainsi permis de se prémunir contre les risques de divulgation ou d'utilisation détournée des données biométriques des demandeurs de visa et le niveau de fiabilité et de sécurité du processus de délivrance des visas ne semble pas avoir été altéré par cette modalité de collecte.
Néanmoins, la Commission estime que les risques mentionnés en 2009, notamment sur l'utilisation des données collectées par les autorités locales, restent en tout point d'actualité. Il apparaît dès lors nécessaire de maintenir la plus grande vigilance sur cette modalité de collecte et de poursuivre les travaux visant à en améliorer la sécurité.
A cet égard, il apparaît nécessaire de renforcer davantage la sécurité physique des stations BIONET, notamment en les dotant systématiquement d'un cadenas de sécurité empêchant l'ouverture physique et l'accès aux disques durs de stockage temporaire des données biométriques. En outre, la sécurité logique de l'environnement BIONET serait améliorée si les ports USB des stations étaient systématiquement désactivés depuis le BIOS ou s'ils étaient physiquement bloqués, afin d'empêcher l'insertion de tout support.
Il convient en outre de réserver cette externalisation de la collecte des identifiants biométriques aux postes consulaires dont la situation le justifie, au regard notamment du nombre de demandes de visas instruites, de l'inadaptation des locaux ou de la superficie du territoire. La Commission rappelle en effet que le code communautaire des visas dispose que " dans des circonstances particulières ou pour des raisons liées à la situation locale " et " lorsque les formes de coopération susvisées [représentation limitée par un autre Etat membre, colocation des représentations diplomatiques et établissement d'un centre commun de dépôt des demandes] s'avèrent inappropriées pour les Etats membres concernés, un Etat membre peut, en dernier ressort, coopérer avec un prestataire de services extérieur ".
La prise en compte de ces modalités alternatives de collecte des données biométriques apparaît en particulier nécessaire pour un certain nombre de pays, comme l'Iran, le Pakistan ou l'Inde qui interdisent ou imposent des restrictions importantes sur l'utilisation de moyens de chiffrement pour protéger des données échangées par le réseau. Dans la mesure où la mise en œuvre du chiffrement des échanges réseau apparaît prépondérante dans la sécurité du dispositif d'externalisation, la Commission demande à être tenue informée des solutions qui seront mises en œuvre dans les pays imposant de telles restrictions sur l'utilisation de moyens de chiffrement.
Enfin, la Commission souligne qu'elle maintiendra un contrôle étroit sur les modalités de mise en œuvre de cette externalisation. A ce titre, elle demande que l'article R. 611-15 du CESEDA relatif à l'évaluation du traitement VISABIO soit modifié afin de prévoir que le rapport qui lui est communiqué tous les trois ans fasse en particulier état de l'évaluation de la collecte des données par les prestataires agréés. La Commission procédera en outre régulièrement à des missions de contrôle sur place portant sur les traitements mis en œuvre aux fins de délivrance des visas à titre général, et plus particulièrement sur l'externalisation de la collecte des données qui y sont enregistrées.
Sur les autres modifications à apporter au traitement
Au-delà des modifications envisagées par le Gouvernement du traitement VISABIO, la Commission estime nécessaire de faire part des autres constatations concernant ce traitement et BIONET, effectuées lors des contrôles et qui nécessitent la prise de mesures correctives de la part des ministères concernés.
En premier lieu, ces contrôles ont révélé qu'aucune des données enregistrées dans le traitement depuis le début de sa mise en œuvre, c'est-à-dire depuis 2005, n'a été effacée de la base centrale. Le ministère de l'intérieur a indiqué qu'une fonctionnalité de purge de l'application VISABIO, automatisée et périodique, est actuellement en cours de développement. Dès lors, la Commission invite le ministère à mettre en œuvre cette fonctionnalité dans les plus brefs délais afin que les durées de conservation prévues par les dispositions de l'article R. 611-11 du CESEDA soient respectées, et demande à être informée sans délai de la date et des résultats de cette purge.
En outre, il a été constaté que des empreintes digitales de mineurs de moins de douze ans ont été collectées après le décret du 10 juin 2010, qui a notamment élevé l'âge minimal de collecte de ces identifiants de six à douze ans, conformément aux demandes de la Commission. Celle-ci rappelle donc l'impérieuse obligation de ne pas enregistrer dans le traitement VISABIO de tels éléments et d'effacer, lorsque la fonctionnalité de purge sera mise en œuvre, toutes les données illégalement enregistrées dans le traitement.
Par ailleurs, il ressort des missions de contrôle que les dates d'entrée et de sortie du territoire des titulaires d'un visa, données mentionnées au 3° de l'article R. 611-9 du CESEDA, ne font l'objet d'aucun enregistrement dans le traitement VISABIO. Dans son avis du 10 juillet 2007, la Commission avait à cet égard considéré qu'en l'absence de l'implantation systématique dans les autres Etats membres de l'Union européenne d'un dispositif similaire enregistrant les dates d'entrée et de sortie des titulaires de visa, le traitement de ces données n'apparaissait pas pertinent. De fait, le bilan du fonctionnement de VISABIO communiqué par le ministère souligne l'inutilité de l'enregistrement de ces informations, dans l'attente de la mise en place d'un système européen cohérent d'enregistrement des entrées et des sorties des titulaires de visa. Eu égard au caractère non pertinent de ces informations, au sens de l'article 6 de la loi du 6 janvier 1978 modifiée, la Commission demande donc la suppression des dispositions en cause.
Enfin, les missions de contrôle réalisées dans les postes consulaires et auprès des prestataires agréés auxquels la collecte d'information est confiée ont permis de constater une insuffisante information des personnes concernées quant au traitement de données dont elles font l'objet.
En particulier, le récépissé de demande de visa édité par l'application BIONET à l'issue du recueil des empreintes digitales et de la photographie du demandeur de visa par les prestataires n'est disponible qu'en français. Il ne permet donc pas aux personnes concernées de prendre pleinement connaissance des mesures d'information prévues par l'article 32 de la loi du 6 janvier 1978 modifiée.
En outre, contrairement aux engagements pris par les ministères concernés en 2009, ce récépissé n'est pas remis aux personnes concernées après sa signature, mais simplement conservé par le prestataire dans le dossier de demande de visa. Afin de favoriser une meilleure information de celles-ci quant au traitement de données dont elles font l'objet, la Commission demande donc de prévoir l'édition de récépissés dans une langue compréhensible par les personnes concernées et qu'une copie de ce récépissé leur soit remise.
L'information des personnes concernées par les consulats, lorsque la demande de visa est déposée dans leurs locaux, doit également être améliorée, en s'assurant que les notices d'information mises à disposition par les ministères sont affichées dans les locaux accueillant le public ou qu'un récépissé identique à celui édité par l'application BIONET leur est remis.
La présidente,
I. Falque-Pierrotin