(Demande d'avis n° 1 184 141)
La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'intérieur d'une demande d'avis portant sur le projet de décret pris pour l'application de l'article L. 611-6 du code de l'entrée et du séjour des étrangers et du droit d'asile portant création d'un traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa et modifiant la partie réglementaire de ce même code ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment son article L. 611-6 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27 ;
Vu la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Après avoir entendu M. François Giquel, commissaire, en son rapport, et Mme Catherine Pozzo Di Borgo, commissaire adjointe du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministère de l'intérieur d'une demande d'avis portant sur le projet de décret pris pour l'application de l'article L. 611-6 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) portant création d'un traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa et modifiant la partie réglementaire de ce même code.
Le nouveau traitement dénommé VISABIO généralise les expérimentations menées depuis 2004 par le ministère de l'intérieur et le ministère des affaires étrangères dans le cadre du programme BIODEV autorisé par le décret du 5 octobre 2004. Il s'agit désormais de collecter les données biométriques (photographie numérisée et empreintes digitales des dix doigts) de tous les demandeurs de visa et de les conserver dans deux bases centrales reliées par un lien chiffré, avec les donnée d'identité qui étaient déjà précédemment recueillies. Plus de deux millions d'étrangers ressortissants de pays soumis à l'obligation de visa seront concernés chaque année.
Lors du passage aux postes de contrôle de la frontière, le fonctionnaire habilité de la police de l'air et des frontières ou des douanes procédera au contrôle de la validité du visa et de l'identité de son détenteur par comparaison des empreintes de l'intéressé avec celles figurant dans les bases centrales. Le traitement VISABIO sera aussi accessible par les consulats (au moment de la délivrance des visas), les préfectures, les services de police et de gendarmerie (pour les contrôles sur le territoire), et les services habilités de la police nationale, de la gendarmerie et des services de renseignements du ministère de la défense chargés des missions de prévention et de répression du terrorisme.
La commission relève que le traitement VISABIO contient, outre les données sur les visas de court séjour, celles qui sont relatives aux demandeurs des autres types de visas.
La commission considère que ce traitement relève du 2° du I de l'article 27 de la loi du 6 janvier 1978 modifiée.
A titre préliminaire, la commission observe que, si le projet de décret qui lui est soumis est pris en application de l'article L. 611-6 du code de l'entrée et du séjour des étrangers et du droit d'asile, il intervient dans le domaine de la délivrance des visas, qui, au moins pour les visas de court séjour (représentant 95 % du total des visas), relève de la compétence communautaire. Dès lors, ses dispositions doivent être pleinement compatibles avec le droit communautaire en vigueur en ce domaine et prévoir leur adéquation avec les dispositions futures.
Elle relève à cet égard que le règlement du Parlement européen et du Conseil concernant le système d'information sur les visas (VIS) et l'échange de données entre les Etats membres sur les visas de court séjour a fait l'objet d'un accord entre les autorités codémissionnaires et sera formellement adopté dans les semaines à venir. En outre, une proposition de modification des instructions consulaires communes (ICC), visant notamment à définir les modalités de la collecte obligatoire des données biométriques traitées dans le cadre du VIS, est actuellement en cours de discussion dans le cadre de l'établissement d'un code communautaire des visas.
Sur la généralisation des éléments biométriques dans les visas :
La commission considère que les éléments biométriques peuvent avoir des avantages réels pour la vérification de l'identité du porteur du visa et de l'autorité du titre, mais que l'ensemble du traitement doit être entouré de strictes garanties.
Elle rappelle que le traitement, sous une forme automatisée et centralisée, de données telles que les empreintes digitales, compte tenu à la fois des caractéristiques de l'élément d'identitication physique retenu, des usages possibles de ces traitements et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant, ne peut être admis que dans la mesure où des exigences en matière de sécurité ou d'ordre public le justifient. En revanche, la conservation par l'intéressé de ses propres données biométriques dans une carte individuelle pose moins de problèmes du point de vue de la protection des données à caractère personnel.
C'est pourquoi la commission regrette que pour les visas cette dernière solution, expérimentée pendant quelques mois dans le traitement BIODEV, soit abandonnée, sans que tous les éléments de la comparaison entre la carte individuelle stockant les données biométriques et le dispositif de base centrale aient été réunis.
Sur les bilans des expérimentations précédentes :
La commission avait demandé, dans ses délibérations n° 2004-075 du 5 octobre 2004 et n° 2005-313 du 20 décembre 2005 sur le traitement BIODEV, qu'une étude approfondie soit conduite, de façon indépendante et selon une méthodologie précisément définie, sur les expérimentations menées.
Tout en se félicitant de la démarche progressive qui a été adoptée, la commission souligne que les expérimentations conduites semblent l'avoir été de façon plus limitée que prévu. Outre l'abandon, dès BIODEV II, du « visa électronique » à puce, le nombre de consulats équipés pour la biométrie fin 2006 est resté sensiblement inférieur à ce qui était programmé par BIODEV II (25 sur 40), de sorte que la base centrale alimentée depuis mars 2005 ne contenait, en décembre 2006, que 100 000 visas biométriques (1), soit 2,80 % du total des visas émis pour la période considérée (2). Elle relève également que le nombre de postes équipés dans les points de contrôle aux frontières est resté en deçà des prévisions.
De surcroît, deux des modalités principales du fonctionnement du traitement n'ont pas été expérimentées : la consultation des bases centrales par les agents consulaires afin de prévenir les usurpations d'identité et les contrôles à l'intérieur du territoire, à la différence de ce qui était prévu par le décret du 20 décembre 2005.
Enfin, bien qu'un certain nombre d'éléments d'appréciation et des bilans partiels aient été fournis, l'évaluation d'ensemble prévue à l'article 8 du décret n° 2004-1266 du 25 novembre 2004 n'a pas été réalisée. La CNIL ne dispose donc pas d'une étude indépendante, globale, reposant sur des critères et des objectifs bien identifiés.