La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif à la lutte contre la fraude documentaire et l'usurpation d'identité ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-1 (2°) ;
Vu le décret n° 55-1397 du 22 octobre 1955 modifié instituant la carte nationale d'identité ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi du 6 janvier 1978 modifiée ;
Vu le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
Vu le décret n° 2010-569 du 28 mai 2010 relatif au fichier des personnes recherchées ;
Vu l'arrêté du 28 novembre 2008 modifié portant organisation et attribution de la direction des libertés publiques et des affaires juridiques ;
Après avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration, d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif à la lutte contre la fraude documentaire et l'usurpation d'identité, en application des dispositions de l'article 26-1 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement :
Aux termes de l'article 1er du projet d'arrêté, le traitement projeté a pour finalité « la gestion des dossiers instruits dans le cadre de la lutte contre la fraude documentaire et de l'usurpation d'identité sur les cartes nationales d'identité et les passeports ». Il est mis en œuvre par la direction des affaires juridiques et des libertés publiques (DLPAJ) du ministère de l'intérieur.
Conformément à l'article 4 de l'arrêté du 28 novembre 2008 modifié, cette direction, et plus particulièrement le bureau national des titres d'identité et de voyage (BNTIV), est en effet chargée de préparer les décisions individuelles relevant de la compétence du ministre de l'intérieur s'agissant des cartes d'identité et des passeports. Seuls les dossiers relatifs à ces deux catégories de titre sont concernés par ce traitement. Les personnes dont les données à caractère personnel font l'objet d'un enregistrement sont donc les demandeurs de passeport ou de carte d'identité ayant déposé, auprès des consulats ou des préfectures, des dossiers de demande dans lesquels une fraude est soupçonnée.
Le traitement projeté a pour objet de rassembler tous les éléments recueillis dans le cadre des enquêtes diligentées lorsqu'une demande douteuse de carte d'identité ou de passeport est détectée. Il doit ainsi permettre de faciliter le travail de recherche en vue de l'identification des états civils frauduleux ou usurpés, d'une part, et de décider des suites administratives à donner, d'autre part. Ainsi, les investigations conduites peuvent permettre l'invalidation des titres d'identité ou de voyage indûment délivrés. Elles peuvent également permettre l'inscription au FPR des personnes qui font l'objet d'une décision de retrait d'une carte d'identité ou d'un passeport obtenus indûment, ou qui ont tenté d'obtenir la délivrance de ces titres en violation des dispositions légales, en application du 4° du IV de l'article 2 du décret n° 2010-569 du 28 mai 2010.
La commission prend acte des finalités du traitement projeté. Elle relève que ce dernier peut en outre être utilisé à des fins statistiques, afin de permettre le suivi d'activité du service en charge de la lutte contre la fraude documentaire et l'usurpation d'identité ainsi que l'évaluation du phénomène de fraude documentaire à l'identité et de ses évolutions. La commission prend cependant acte que seules des données anonymisées seront utilisées à ces fins.
Sur les données enregistrées :
L'article 2 du projet d'arrêté précise les données à caractère personnel et informations susceptibles d'être enregistrées dans le traitement. Il s'agit tout d'abord des données d'identification (nom, prénom, date et lieu de naissance, sexe, adresses postales et électroniques, coordonnées téléphoniques, filiation, nationalité, photographie, signature) relatives à l'état civil réel ou supposé des personnes dont la demande de titre a été détectée comme douteuse.
En outre, pourront être enregistrés dans le traitement tout document permettant d'établir l'identité d'une personne (jugement, procès-verbal d'audition de proches, compte rendu de pièces probantes, etc.) ainsi que toute pièce ou document nécessaire à l'instruction et à la gestion administrative des dossiers. Au titre de cette catégorie seront par exemple enregistrés les références du dossier (numéro de dossier, autorité de saisine, dates de saisine et de clôture), son état (dates et sens de la décision administrative, nombre d'appels à la suite d'un signalement dans le FPR), sa nature (type et caractéristiques de la fraude), la liste et le contenu des demandes de titres, le suivi des étapes administratives et les documents y afférents ainsi que les éléments relatifs à un éventuel contentieux administratif.
Si la liste de ces données à caractère personnel n'appelle pas d'observation particulière de sa part, la commission relève que l'article 2 du projet d'arrêté précise que le traitement ne comporte pas de dispositif de reconnaissance faciale à partir des photographies qui y sont enregistrées.
Elle souligne en outre que, dans la mesure où les informations enregistrées dans le traitement sont relatives aux personnes ayant déposé un dossier de demande de titre dans lequel une fraude est soupçonnée, les données d'identification mentionnées concernent nécessairement les victimes d'une fraude ou d'une usurpation d'identité. Ce n'est qu'au fur et à mesure des investigations conduites par les agents du BNTIV que l'auteur et la victime de la fraude peuvent être différenciés. Ainsi, si l'auteur de la fraude est identifié au moyen de son véritable état civil, celui-ci fait l'objet d'un enregistrement distinct dans le traitement, ainsi que les documents ayant permis son identification. En l'absence de détermination du véritable état civil du ou des fraudeurs, les éléments concernant auteur et victime sont distingués dans le traitement par l'ajout de mentions (« usurpateur présumé » et « victime présumée »).
Sur la durée de conservation des informations :
Il est prévu, aux termes de l'article 3 du projet d'arrêté, que ces données soient conservées pendant une durée de douze ans et que, dans le cas où ces informations sont relatives à un titre obtenu frauduleusement et qui n'a pas été restitué à l'administration, cette durée soit augmentée de cinq ans, soit une période totale de conservation de dix-sept ans pour ces cas.
Le ministère de l'intérieur justifie cette période de douze ans par la durée de vie « utile » des titres concernés. Conformément aux dispositions des décrets n° 55-1397 du 22 octobre 1955 modifié (cartes d'identité) et n° 2005-1726 du 30 décembre modifié (passeports), ces deux catégories de titre ont une durée de validité de dix ans, à l'exception des passeports de mission et de service dont la durée de validité est de cinq ans. En outre, depuis la simplification de la procédure de délivrance de ces titres intervenue en 2010, le renouvellement du passeport et de la carte d'identité peut avoir lieu sur production d'un autre titre valide ou périmé depuis moins de deux ans, sous réserve de la vérification des informations produites à l'appui de la demande de cet ancien titre. Dès lors, ces titres pourraient être utilisés aux fins de fraude documentaire ou d'usurpation d'identité pendant une période de douze ans.
La commission prend acte de ces précisions et considère que la durée de conservation de douze ans est pertinente au regard des finalités du traitement, dans la mesure où elle devrait permettre de prévenir de nouvelles délivrances indues de titres et de préserver les intérêts des victimes d'usurpation d'identité.
Il est prévu que cette durée de conservation s'applique à toutes les données enregistrées dans le traitement, c'est-à-dire également aux données relatives aux victimes de la fraude ou de l'usurpation d'identité, y compris si l'auteur de la fraude est identifié. La commission en prend acte, dans la mesure où ces données doivent être conservées afin de permettre la délivrance de nouveaux titres, sous l'identité ayant fait l'objet d'une usurpation, à la seule victime présumée. En effet, la conservation de ces éléments permettra d'indiquer aux autorités préfectorales ou consulaires saisies d'une demande de titre si la délivrance peut avoir lieu. Elle permettra également aux services de police et de gendarmerie détectant un signalement FPR de définir la conduite à tenir à l'égard de la personne dont l'identité est contrôlée.
En revanche, le ministère a indiqué que lorsque l'absence de fraude sur le dossier de demande de titre est avérée au cours de l'instruction, les données enregistrées dans le traitement sont effacées sans délai. La commission prend acte que, à sa demande, l'article 3 du projet d'arrêté sera précisé sur ce point.
Elle estime enfin que le ministère n'a pas apporté de justification suffisante en ce qui concerne la majoration de cinq ans de la durée de conservation des données relatives aux titres obtenus frauduleusement et qui n'ont pas été restitués à l'administration et que ces dispositions devraient donc être supprimées du projet d'arrêté.
Sur les destinataires et les sécurités du traitement :
Les destinataires des informations enregistrées dans le traitement sont mentionnés à l'article 4 du projet d'arrêté. Ainsi, seuls les agents de la DLPAJ individuellement désignés et spécialement habilités, à raison de leurs attributions et dans la limite du besoin d'en connaître, ont un accès direct au traitement. La commission relève à cet égard que les données du traitement sont stockées dans un espace informatique sécurisé accessible aux seuls rédacteurs de la section fraude documentaire du BNITV et à leur hiérarchie. Elle recommande cependant l'utilisation de mots de passe de huit caractères ou plus, régulièrement renouvelés, pour accéder au traitement.
En outre, les données qui y sont enregistrées peuvent être communiquées aux agents chargés de la délivrance des cartes d'identité et des passeports, aux agents des services de la police et de la gendarmerie nationales chargés des missions de recherche et de contrôle de l'identité des personnes, de la validité et de l'authenticité des titres d'identité et de voyage ainsi qu'aux agents du ministère de la justice chargés de l'application de la législation relative à la nationalité française. La commission estime que ces destinataires ont un intérêt légitime à connaître des données enregistrées dans le traitement projeté. Elle relève en outre que les échanges avec ces destinataires sont soit acheminés sur un réseau privé du ministère de l'intérieur, soit chiffrés dans le cas des envois vers les entités consulaires et la chancellerie.
En revanche, la commission souligne qu'aucune mesure de traçabilité des actions effectuées dans le traitement n'est prévue. Si elle prend acte que le traitement ne dispose pas d'un outil de gestion informatisé ad hoc, la commission recommande au ministère de l'intérieur de concevoir un nouveau système permettant la mise en place de mesures de traçabilité effectives des modifications, ajouts, suppressions, consultations ou transmissions des données par les agents utilisateurs. Ce nouveau système devrait également permettre l'effacement automatique des données à l'issue de la durée de conservation prévue.
Sur les droits des personnes :
En ce qui concerne l'information des personnes concernées, la commission relève que le ministère entend faire application des dispositions du VI de l'article 32 de la loi du 6 janvier 1978 modifiée, aux termes desquelles aucune obligation en matière d'information des personnes n'incombe au responsable d'un traitement ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales. Dans la mesure où le traitement projeté répond à cette condition, la commission prend acte de l'absence d'information des personnes concernées.
De même, elle prend acte que le droit des personnes de s'opposer à l'enregistrement de leurs données dans le traitement, prévu par l'article 38 de la loi du 6 janvier 1978 modifiée, ne s'applique pas au traitement projeté.
Enfin, elle prend acte que les droits d'accès et de rectification des personnes aux données qui les concernent s'exercent directement auprès du responsable du traitement, c'est-à-dire auprès du bureau national des titres d'identité et de voyage de la DLPAJ, en application des dispositions des articles 39 et 40 de la loi du 6 janvier 1978 modifiée.