La Commission nationale de l'informatique et des libertés,
Saisie pour avis, le 3 décembre 2008, par le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales et le ministère de l'immigration, de l'intégration, de l'identité nationale et du développement solidaire d'un projet de décret en Conseil d'Etat relatif à l'accès à certains traitements automatisés mentionnés à l'article 9 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95 / 46 / CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment ses articles R. 611-12 et R. 611-21 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 27 ;
Vu la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, modifiée par la loi n° 2008-1245 du 1er décembre 2008, notamment ses articles 9, 32 et 33 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Vu le décret n° 2007-86 du 23 janvier 2007 relatif à l'accès à certains traitements automatisés mentionnés à l'article 9 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;
Vu le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports électroniques ;
Vu la délibération n° 2005-208 du 10 octobre 2005 portant avis sur le projet de loi relatif à la lutte contre le terrorisme ;
Vu la délibération n° 2006-223 du 5 octobre 2006 portant avis sur le projet de décret modifiant le système national des permis de conduire, le fichier national des immatriculations, modifiant le décret n° 2004-1266 du 25 novembre 2004 créant un traitement relatif aux ressortissants étrangers sollicitant la délivrance d'un visa et modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, en application de l'article 9 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;
Vu la délibération n° 2007-008 du 18 janvier 2007 portant avis sur le projet de décret pris pour l'application des articles L. 611-3 à L. 611-5 du code de l'entrée et du séjour des étrangers et du droit d'asile et portant création du fichier des non-admis (FNAD) ;
Vu la délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
Après avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
L'article 9 de la loi n° 2006-64 du 23 janvier 2006 permet aux agents, individuellement désignés et dûment habilités, des services des directions générales de la police nationale, de la gendarmerie nationale ainsi qu'aux agents des services de renseignement du ministère de la défense individuellement désignés et dûment habilités, pour les besoins de la prévention des actes de terrorisme, d'accéder aux données enregistrées dans les traitements suivants :
― fichier national des immatriculations (FNI) ;
― système national de gestion des permis de conduire (SNPC) ;
― système de gestion des cartes nationales d'identité (CNI) ;
― système de gestion des passeports (TES) ;
― système informatisé de gestion des dossiers des ressortissants étrangers en France (AGDREF) ;
― système de délivrance des visas des ressortissants étrangers (VISABIO) ;
― application destinée à gérer les données mentionnées aux articles L. 611-3 à L. 611-5 du code de l'entrée et du séjour des étrangers ayant été contrôlés aux frontières et ne remplissant pas les conditions d'entrée requises.
Ces dispositions, applicables jusqu'au 31 décembre 2008, ont été prolongées jusqu'au 31 décembre 2012, en application de la loi n° 2008-1245 du 1er décembre 2008.
En conséquence, il convient de modifier les actes réglementaires portant création des traitements relatifs au système informatisé de gestion des dossiers des ressortissants étrangers en France (AGDREF), au fichier national des immatriculations (FNI), au système national des permis de conduire (SNPC), à la carte nationale d'identité (CNI), à la délivrance des passeports (TES), aux visas biométriques (VISABIO) et au fichier national des non-admis (FNAD).
La commission constate que ces traitements obéissent à des régimes juridiques différents selon qu'il s'agit de traitements de gestion pour lesquels elle est tenue de délivrer un récépissé, sans délai, conformément aux dispositions de l'article 23 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, ou de traitements comportant des données biométriques déclarés sur le fondement de l'article 27 de la loi précitée, lesquels doivent être autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL.
Dans ce cadre, la commission a été saisie pour avis, le 3 décembre 2008, par le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales et le ministère de l'immigration, de l'intégration, de l'identité nationale et du développement solidaire d'un projet de décret en Conseil d'Etat relatif à l'accès à certains traitements automatisés mentionnés à l'article 9 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, en l'espèce les traitements relatifs à la délivrance des passeports (TES), aux visas biométriques (VISABIO) et au fichier national des non-admis (FNAD).
Ce projet de décret a pour objet la modification des actes réglementaires portant création desdits traitements afin de permettre leur consultation par les services de lutte contre le terrorisme désignés précités. Ainsi, son article 1er modifie le III des articles R. 611-12 et R. 611-21 du code de l'entrée et du séjour des étrangers et du droit d'asile en remplaçant les mots : « jusqu'au 31 décembre 2008 » par : « jusqu'au 31 décembre 2012 ». Son article 2 modifie l'article 21-1 du décret du 30 décembre 2005 modifié relatif aux passeports en remplaçant les mots : « jusqu'au 31 décembre 2008 » par : « jusqu'au 31 décembre 2012 ».
En premier lieu, la commission rappelle que le Gouvernement s'était engagé en 2006 à ce que les services de lutte contre le terrorisme concernés ne puissent accéder aux traitements qu'en consultation sans qu'aucune réutilisation des données ou nouveau traitement soit mis en œuvre.
En second lieu, elle souligne que, s'agissant du traitement relatif à la délivrance des passeports, les mêmes destinataires ne pourront accéder à l'image numérisée des empreintes digitales, conformément aux dispositions de l'article 21-1 du décret n° 2005-1726 du 30 décembre 2005 modifié.
S'agissant du fichier national des non-admis, la commission observe que le premier rapport d'évaluation que le Gouvernement s'était engagé à lui remettre au terme de la première année d'expérimentation du traitement ne lui a pas été transmis et demande, en conséquence, à en être rendue destinataire.
La commission relève que les droits d'accès et de rectification aux données contenues dans le traitement s'exerceront directement, conformément aux dispositions des articles 39 et 40 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004.
Elle rappelle enfin que les personnes dont les données à caractère personnel sont enregistrées dans le traitement doivent être informées, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978, de l'identité du responsable du traitement, des finalités de ce traitement, du caractère obligatoire (en l'espèce) des réponses, des destinataires des données et de leurs droits d'accès et de rectification de celles-ci.
Fait à Paris, le 18 décembre 2008.