La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'une demande d'avis sur un projet d'arrêté modificatif de l'arrêté du 28 janvier 2009 portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans le système de contrôle des départs des transporteurs aériens et visant à proroger l'expérimentation du « fichier des passagers aériens » (FPA) jusqu'au 31 décembre 2011 ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive n° 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 26 ;
Vu la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, notamment son article 7 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Vu le décret n° 2006-1630 du 19 décembre 2006 pris pour l'application de l'article 7 de la loi n° 2006-64 du 23 janvier 2006 et fixant les modalités de transmission au ministère de l'intérieur des données relatives aux passagers par les transporteurs aériens ;
Vu l'arrêté du 19 décembre 2006 pris pour l'application de l'article 7 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers et portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans les systèmes de contrôle des départs des transporteurs aériens ;
Vu l'arrêté du 28 janvier 2009 pris pour l'application de l'article 7 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers et portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans les systèmes de contrôle des départs des transporteurs aériens ;
Vu la délibération n° 2006-198 du 14 septembre 2006 de la Commission nationale de l'informatique et des libertés portant avis sur le projet d'arrêté créant, à titre expérimental, un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans le système de contrôle des départs des transporteurs aériens ;
Vu la délibération n° 2008-576 du 18 décembre 2008 de la Commission nationale de l'informatique et des libertés portant avis sur le projet d'arrêté portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans le système de contrôle des départs des transporteurs aériens ;
Après avoir entendu M. Eric PERES, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le ministère de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration a saisi la commission d'un projet d'arrêté modifiant l'arrêté du 28 janvier 2009 pris pour l'application de l'article 7 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers et portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans les systèmes de contrôle des départs des transporteurs aériens dénommé « fichier des passagers aériens » (FPA).
Le FPA a pour objet de collecter certaines données relatives aux passagers en provenance ou à destination d'une liste restreinte de pays, aux fins d'amélioration du contrôle aux frontières, de la lutte contre l'immigration clandestine ainsi que de la prévention et de la répression des actes de terrorisme.
En pratique, s'agissant des transports aériens, les listes des passagers de chaque vol concerné sont automatiquement transmises, à la clôture de l'enregistrement des passagers, aux services du ministère de l'intérieur. Ces données font alors l'objet d'une confrontation avec le fichier des personnes recherchées (FPR). Lorsqu'une concordance est décelée, une alerte est adressée au service chargé du contrôle aux frontières à l'aéroport de départ ou d'arrivée du passager signalé.
La mise en œuvre du FPA a été autorisée, à titre expérimental, pour une durée de deux ans, par un arrêté du 19 décembre 2006 pris après avis de la CNIL, exprimé dans sa délibération n° 2006-198 du 14 septembre 2006.
Cette expérimentation a ensuite été reconduite, pour une nouvelle période de deux ans, autorisée par l'arrêté du 28 janvier 2009, pris après avis de la CNIL rendu par sa délibération n° 2008-576 du 18 décembre 2008.
Le projet d'arrêté modificatif soumis à la commission vise à proroger la mise en œuvre à titre expérimental du fichier des passagers aériens jusqu'au 31 décembre 2011, afin, notamment, de réaliser des améliorations techniques qui permettront d'aboutir à un outil opérationnel évolutif capable de traiter un volume de données plus important.
Sur la communication des décisions interministérielles fixant la liste des pays concernés par le FPA :
L'article 1er de l'arrêté du 28 janvier 2009 prévoit qu'une décision du ministre de l'intérieur et du ministre de l'immigration, de l'intégration, de l'identité nationale et du développement solidaire, communiquée à la Commission nationale de l'informatique et des libertés, précise les provenances et les destinations situées dans des Etats n'appartenant pas à l'Union européenne concernées par le FPA.
La commission prend acte de ce que la décision interministérielle du 20 juillet 2010 lui a été communiquée le 8 février 2011 et rappelle que toute modification ou nouvelle décision interministérielle doit lui être communiquée sans délai, conformément à l'arrêté précité.
Sur les difficultés de mise en œuvre rencontrées et les solutions envisagées :
La commission relève que le FPA est mis en œuvre à titre expérimental depuis 2006, que l'alimentation du FPA par des données relatives aux passagers a débuté en mai 2007 et que le projet d'arrêté dont elle est saisie vise à reconduire cette expérimentation jusqu'au 31 décembre 2011.
La commission observe que l'expérimentation du FPA est en cours, au jour de sa délibération, depuis plus de quatre ans, sans pour autant que l'effectivité du dispositif ait été clairement démontrée.
La commission prend toutefois acte du bilan d'évaluation qui lui a été communiqué. Elle constate qu'une version rénovée de l'outil initial, désormais dénommé « FPA2 », a été mise en œuvre à la fin du mois d'avril 2010.
Elle relève que ce bilan fait état de difficultés techniques nouvelles, liées notamment à la montée en charge du dispositif et à l'augmentation du volume de données à traiter dans le cadre du FPA, à l'impossibilité technique pour certaines compagnies aériennes de respecter la norme unique sécurisée (EDIFACT) de transmission des données ainsi qu'à l'obsolescence de la borne SITA (anciennement Société internationale de télécommunications aéronautiques) implantée à la direction de la police de l'air et des frontières de l'aéroport Roissy - Charles-de-Gaulle.
La commission observe également que le taux d'alertes FPR erronées demeure anormalement élevé. Elle relève toutefois, à cet égard, que le ministère de l'intérieur indique avoir mis en place un système de recherche phonétique, afin d'améliorer les performances du rapprochement des données enregistrées dans le FPA avec celles contenues dans le FPR.
La commission prend acte des conclusions du bilan selon lesquelles il est considéré nécessaire de poursuivre l'expérimentation du FPA jusqu'au 31 décembre 2011, afin de réaliser des travaux d'amélioration technique qui permettront d'aboutir à un outil opérationnel plus performant, évolutif, et capable de traiter un volume de données plus important ainsi que de préparer une future plate-forme française de traitement de données relatives aux passagers dans le cadre de la mise en œuvre d'un futur système APIS-PNR basé sur une réglementation européenne, actuellement en cours de discussion.
La commission prend acte des différentes mesures correctives annoncées par le ministère et rappelle qu'elle avait demandé, dans sa délibération n° 2008-576 du 18 décembre 2008, à être informée du délai de mise en œuvre des mesures prises pour répondre aux difficultés du FPA ainsi que de toute autre nouvelle mesure d'amélioration ou de toute adaptation technique apportée au traitement.
Elle réaffirme cette position et demande à être tenue informée en temps utile, au fur et à mesure de leur déploiement et préalablement à leur mise en œuvre, des différentes mesures d'amélioration ou fonctionnalités nouvelles du système.
Sur les modalités de transmission des données relatives aux passagers par les transporteurs :
La commission relève que le dernier bilan d'évaluation qui lui a été communiqué fait état de l'impossibilité, pour certains transporteurs de respecter la norme sécurisée de transmission des données (norme EDIFACT) imposée par le décret n° 2006-1930 du 19 décembre 2006.
Elle observe que le ministère envisage une modification à court terme de ce décret visant à permettre aux transporteurs d'utiliser d'autres formats alternatifs de transmission.
La commission rappelle que la loi informatique et libertés du 6 janvier 1978 modifiée en 2004 impose aux responsables de traitements automatisés de données à caractère personnel de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
La commission estime, dès lors, que les formats alternatifs de transmission des données ainsi envisagés devraient être entourés d'exigences fortes de sécurité et de confidentialité.
La commission relève que le ministère a procédé au lancement d'une étude sur la définition des formats de transmission souhaitables, reposant sur les propositions des transporteurs ainsi que sur une étude comparative des systèmes mis en œuvre par d'autres pays utilisant des systèmes identiques au FPA.
Elle prend acte de l'engagement du ministère de lui communiquer les résultats de cette étude ainsi que de lui soumettre pour avis la prochaine modification du décret n° 2006-1930 du 19 décembre 2006. La commission demande que ces éléments lui soient communiqués en temps utile.
Sur la mise en œuvre du criblage des données du FPA avec celles contenues dans le système d'information Schengen (SIS) :
La commission observe, alors que la loi autorise le raccordement du FPA au fichier des personnes recherchées (FPR) et au système d'information Schengen (SIS), que seul le raccordement du FPA au FPR a été réalisé.
Elle prend acte de ce que le raccordement du FPA avec le SIS sera réalisé dans le courant de l'année 2011.
La commission demande à être informée en temps utile et préalablement à leur mise en œuvre des éléments et conditions techniques dans lesquelles s'effectueront ce raccordement ainsi que le criblage des données.
Sur la durée de conservation des données relatives aux passagers collectées dans le cadre du FPA :
La commission observe qu'en vertu de l'article 4 de l'arrêté du 28 janvier 2009, les données enregistrées dans le FPA sont conservées pendant cinq ans à compter de leur inscription, à l'exclusion de la mention « connue » ou « inconnu(e) » au fichier des personnes recherchées ainsi que dans le système d'information Schengen, qui n'est conservée que pendant un délai de vingt-quatre heures.
La commission relève en particulier qu'en vertu de ce texte, dans le cadre de la lutte contre l'immigration clandestine, les données du FPA ne peuvent être consultées que dans les vingt-quatre heures qui suivent leur transmission.
Elle souligne également que les données conservées au-delà de vingt-quatre heures ne sont accessibles qu'aux seuls agents individuellement désignés et dûment habilités des services chargés de la prévention et de la répression du terrorisme.
La commission prend acte des précisions du ministère selon lesquelles une procédure automatique de suppression des données, à l'expiration de ces délais, est mise en œuvre.
Elle prend également acte de l'engagement du ministère, dans l'hypothèse où le Gouvernement déciderait de ne pas pérenniser l'expérimentation, de supprimer l'ensemble des données collectées depuis le début de la mise en œuvre de l'expérimentation du FPA.
Sur les modalités d'information des passagers de leurs droits :
Dans sa délibération n° 2006-198 du 14 septembre 2000, la commission rappelait que les notices d'information destinées aux passagers sur la mise en œuvre du FPA doivent préciser les destinataires des données, les finalités du recueil obligatoire des informations ainsi que les modalités d'exercice des droits d'accès et de rectification. Elle demandait également à être saisie, préalablement à leur diffusion, de ces documents.
La commission observe que ces documents ne lui ont pas été transmis.
Elle relève, toutefois, que l'alinéa VI de l'article 7 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers dispose que l'obligation d'information des passagers concernés incombe aux transporteurs aériens, maritimes et ferroviaires.
La commission invite le ministère à rappeler les transporteurs concernés à leurs obligations et à leur rappeler les termes des délibérations adoptées par la CNIL s'agissant de l'information des passagers quant au FPA.