J.O. 282 du 4 décembre 2004       J.O. disponibles       Alerte par mail       Lois,décrets       codes       AdmiNet
Ce document peut également être consulté sur le site officiel Legifrance


Délibération n° 2004-075 du 5 octobre 2004 portant avis sur le projet de décret en Conseil d'Etat pris pour l'application de l'article 8-4 de l'ordonnance du 2 novembre 1945 relative aux conditions d'entrée et de séjour des étrangers en France et portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa (demande d'avis n° 1034770)


NOR : CNIX0407821X



La Commission nationale de l'Informatique et des Libertés,

Saisie pour avis par le ministère de l'intérieur d'un projet de décret en Conseil d'Etat pris pour l'application de l'article 8-4 de l'ordonnance du 2 novembre 1945 relative aux conditions d'entrée et de séjour des étrangers en France et portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa ;

Vu la Convention no 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive no 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la Charte des droits fondamentaux de l'Union européenne proclamée par la Commission européenne, le Parlement européen et le Conseil de l'Union européenne lors du Conseil européen de Nice du 7 décembre 2000, et notamment son article 8 ;

Vu l'ordonnance no 45-2658 du 2 novembre 1945 modifiée relative aux conditions d'entrée et de séjour des étrangers en France, et notamment son article 8-4 ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi no 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27 ;

Vu l'arrêté du 22 août 2001 modifié portant création d'un traitement informatisé d'informations nominatives relatif à la délivrance des visas dans les postes diplomatiques et consulaires ;



Vu la délibération no 2003-015 du 24 avril 2003 de la commission portant avis sur les articles 4 et 5 d'un projet de loi relatif à l'immigration ;

Vu l'avis du 11 août 2004 du groupe de travail réunissant les autorités nationales de contrôle en charge de la protection des données, institué par l'article 29 de la directive 95/46 /CE, sur l'insertion d'éléments biométriques dans les visas et titres de séjour en tenant compte de la création du système d'information Visas VIS ;

Après avoir entendu M. François Giquel, commissaire, en son rapport, et Mme Charlotte Marie Pitrat, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

Il résulte de l'analyse du projet de décret et du dossier technique complémentaire présenté à la commission que, dans le cadre des objectifs de l'article 8-4 de l'ordonnance du 2 novembre 1945, le ministère de l'intérieur souhaite procéder dans sept postes consulaires à une expérimentation ayant pour objet, d'une part, de constituer une base centralisant certaines données personnelles concernant les demandeurs de visas, déjà collectées dans le réseau mondial Visas (RMV2) créé par l'arrêté du 22 août 2001 susvisé, ainsi que leurs empreintes digitales et leur photographie, sous forme numérisée, et, d'autre part, d'inscrire ces informations dans un composant électronique associé au visa quand il est accordé, aux fins de vérification et de comparaison avec celles des personnes concernées lors du passage à sept postes frontières.

Se référant tout à la fois à l'avis adopté le 11 août 2004 par le groupe de travail européen sur la protection des personnes à l'égard des données à caractère personnel et à ses propres positions antérieures dans ce domaine, exprimées notamment dans l'avis du 24 avril 2003 susvisé, la commission rappelle que le traitement, sous une forme automatisée et centralisée, de données biométriques telles que les empreintes digitales, compte tenu à la fois des caractéristiques de l'élément d'identification physique retenu, des usages possibles de ces traitements et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant, ne peut être admis que dans la mesure où des exigences impérieuses en matière de sécurité ou d'ordre public le justifient.

Un tel traitement doit en tout état de cause respecter les principes qui, consacrés par l'article 8 de la charte des droits fondamentaux de l'Union européenne et énoncés par la directive du 24 octobre 1995 et l'article 6 de la loi du 6 janvier 1978 modifiée, instituent une protection des droits des personnes à l'égard du traitement automatisé de leurs données à caractère personnel.

La commission souligne, au titre de ces principes, que les données à caractère personnel ne peuvent être traitées que pour des finalités déterminées, explicites et légitimes ; qu'elles doivent être adéquates, pertinentes et non excessives au regard de ces finalités et conservées pendant une durée qui n'excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.



Elle rappelle aussi qu'il lui incombe, en application des dispositions de l'article 11 de la loi du 6 janvier 1978 modifiée, de veiller à ce que les traitements projetés soient mis en oeuvre conformément aux dispositions de la loi ; qu'à ce titre, la commission doit notamment apprécier, au regard de la finalité déclarée des traitements qui lui sont soumis, la proportionnalité des moyens utilisés ainsi que la pertinence des différents éléments de ces traitements.

Elle rappelle enfin que le traitement des données biométriques, considéré comme présentant des risques particuliers au regard des droits et des libertés, est soumis par l'article 27 de la même loi à un régime d'autorisation spécifique.

Le respect de ces principes impose tout d'abord que la finalité du traitement dont la création est proposée soit définie de façon précise, afin que la commission soit en mesure d'apprécier si l'utilisation de données biométriques est proportionnée au regard des objectifs poursuivis.

La commission considère en l'espèce que le rappel, à l'article 1er du projet de décret, des objectifs généraux posés par le législateur ne peut être tenu pour suffisant : le projet de décret encadrant l'expérimentation devrait circonscrire explicitement la finalité du traitement envisagé à celle qui résulte de l'ensemble du dossier et des autres dispositions du décret, c'est-à-dire l'amélioration du contrôle de la validité des visas présentés aux personnels de la police de l'air et des frontières et de l'identité de leurs détenteurs, lors du passage aux frontières.

Elle estime en outre que le projet de décret qui lui est soumis ne saurait constituer le décret d'application de l'article 8-4 de l'ordonnance du 2 novembre 1945, puisque l'expérimentation a justement pour objet de tirer les enseignements qui permettront de fixer les modalités d'application dudit article et qu'il ne précise ni les conditions de mise à jour des informations enregistrées, ni les modalités d'habilitation des personnes pouvant y accéder, prescriptions exigées cependant par le législateur.

En second lieu, au regard de la finalité d'amélioration du contrôle aux frontières de la validité des visas et de l'identité de leurs détenteurs, la commission considère que le recours à un dispositif reposant sur la comparaison des empreintes digitales du détenteur du visa avec celles enregistrées dans le composant électronique associé au visa, pour s'assurer que la personne qui présente un visa est bien la personne à qui il a été délivré, est adéquat, pertinent et non excessif, dès lors que des précautions particulières sont adoptées lors de l'enrôlement dans les postes consulaires des données biométriques et que des mesures de sécurité spécifiques sont prises pour garantir la confidentialité des données, tout particulièrement contre les risques de captation irrégulière, notamment grâce à des méthodes sûres de chiffrement et de signature électronique.

En troisième lieu, s'agissant du projet de création d'une base centralisée, la commission estime que l'enregistrement et la conservation dans une telle base des données biométriques des personnes ayant demandé un visa et ne l'ayant pas obtenu ne sont pas pertinents et justifiés par rapport à la finalité du contrôle aux frontières : en effet, pour celles d'entre elles qui se présenteraient à la frontière, nécessairement sans visa, la consultation du fichier central ne ferait que confirmer l'absence de visa, le fait de l'avoir demandé ou non n'ayant pas d'effet sur le droit d'entrer sur le territoire français.



Pour les personnes qui ont obtenu un visa, la création d'une base centralisée comportant leurs données biométriques peut être admise à titre expérimental dans le cadre envisagé, à des fins de comparaison, et à la condition que soient strictement définies les conditions de mise en oeuvre, d'alimentation, de consultation, de mise à jour et d'effacement de cette base. Un tel traitement ne saurait en tout état de cause être pérennisé au-delà de la fin de l'expérimentation sans que la commission ait été en mesure de connaître les avantages et les inconvénients précis qui auraient été retirés du recours à la base centrale, par comparaison notamment avec l'autre dispositif, tout particulièrement sur le plan de la protection des droits des intéressés au regard du traitement des données biométriques les concernant et sur celui du respect du principe de proportionnalité.

La commission demande en conséquence que lui soit adressé tout document, d'étape ou définitif, propre à lui apporter l'information nécessaire.

Ces éléments d'information devront être accompagnés :

- du protocole d'évaluation qui aura été établi, lequel devrait intégrer la prise en compte d'incidents ou de défaillances techniques graves ou une défaillance due à une compromission interne ;

- du descriptif des procédures prévues dans l'hypothèse où une personne bénéficiaire d'un visa valide se verrait refuser son entrée en France après comparaison de ses empreintes avec les informations la concernant enregistrées dans le composant associé à son visa ou dans la base expérimentale ;

- d'un bilan des éventuels avantages retirés de l'enregistrement dans la base centralisée des empreintes des dix doigts des intéressés ;

- d'un bilan concernant les différents composants électroniques testés et les avantages et inconvénients respectifs qu'ils présentent au regard de la finalité du traitement, comparés à ceux d'une base centralisée ;

- d'un rapport d'évaluation de la fiabilité des dispositifs et outils de lecture des empreintes digitales et du contenu du composant électronique associé au visa installés dans les postes frontières.

La commission recommande que sur le plan technique l'élaboration de ces documents soit menée avec le concours de la direction centrale de la sécurité des systèmes d'information, responsable de la définition, de l'application et du suivi de la politique des systèmes d'information au niveau interministériel, ou de tout autre organisme habilité et susceptible d'homologuer tout ou partie des dispositifs prévus.

En quatrième lieu, s'agissant des durées de conservation envisagées - soit deux ans en cas de délivrance d'un visa de court séjour et cinq ans pour un visa de long séjour -, la commission estime qu'aucune durée ne devrait dépasser celle de l'expérimentation, qui, selon l'article 5 du projet de décret, est prévue pour deux ans.

Enfin, la commission recommande que toutes dispositions soient prises pour permettre au titulaire d'un visa comportant des données biométriques d'avoir accès, à sa demande, au contenu des informations le concernant enregistrées sur le composant électronique associé au visa.



Le président,

A. Türk