La commission a été saisie par le ministre de l'intérieur d'une demande d'avis sur un projet d'arrêté portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « gestion informatisée des procédures d'immigration » (GIPI).
Ce projet d'arrêté porte création d'un traitement automatisé de données à caractère personnel des ressortissants étrangers qui, ayant été contrôlés à l'occasion du franchissement de la frontière, ne respectent pas les conditions d'entrée sur le territoire national.
Le traitement GIPI, mis en œuvre par la direction centrale de la police aux frontières (DCPAF), succède au fichier des non admis (FNAD). Ce dernier a été créé à titre expérimental, pour une durée de deux ans, par le décret n° 2007-1136 du 25 juillet 2007, pris après l'avis de la commission en date du 18 janvier 2007, et a été prorogé pour quatre années supplémentaires par le décret n° 2009-1483 du 1er décembre 2009, sur lequel la commission s'est prononcée le 23 juillet 2009. Contrairement au FNAD, expérimenté à l'aéroport Roissy - Charles-de-Gaulle, le traitement GIPI sera mis en œuvre sur l'ensemble du territoire.
Dans ces différents avis, la commission avait rappelé la nécessité de procéder à l'évaluation de l'expérimentation du FNAD. En effet, l'adéquation des moyens utilisés au regard de la finalité du traitement soulevant certaines interrogations, il apparaissait nécessaire que l'expérimentation du traitement permette de mieux cerner les objectifs poursuivis et la pertinence des données recueillies, tout particulièrement des données biométriques.
A cet égard, la commission relève que le ministère de l'intérieur a procédé à une telle évaluation et que le bilan des expérimentations du FNAD lui a été communiqué. Ce bilan a conduit à la non-pérennisation du FNAD dont la plus-value n'a pas été jugée significative, notamment en raison de la généralisation de la délivrance des visas biométriques (traitement VISABIO). En revanche, le bilan a conclu à la nécessité de conserver le module de gestion administrative des procédures de non-admission des ressortissants étrangers sur le territoire, qui constitue précisément l'objet du traitement GIPI.
Contrairement au FNAD, le traitement GIPI ne comportera donc pas, parmi les données à caractère personnel enregistrées, les images numérisées de la photographie et des empreintes digitales des dix doigts des personnes non admises.
Dans ces conditions, la commission estime qu'il n'y a pas lieu de faire application des dispositions des articles L. 611-3 et L. 611-5 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA), qui prévoient que le traitement des empreintes digitales et de la photographie des personnes qui ne remplissent pas les conditions d'entrée en France doit être autorisé par décret en Conseil d'Etat pris après avis de la commission.
En revanche, dans la mesure où le traitement GIPI intéresse la sécurité publique, il y a lieu de faire application des dispositions de l'article 26-1 (1°) de la loi du 6 janvier 1978 modifiée. Le traitement GIPI doit donc être autorisé par arrêté ministériel pris après avis de la commission.
Sur les finalités du traitement projeté :
Aux termes de l'article 1er du projet d'arrêté, les finalités du traitement sont, d'une part, de « faciliter la gestion des procédures de non-admission des étrangers qui ne remplissent pas les conditions d'entrée dans l'espace de libre circulation des personnes entre les Etats signataires de l'accord Schengen signé le 14 juin 1985 modifié par le traité d'Amsterdam du 2 octobre 1997 et le traité de Lisbonne du 13 décembre 2007 » et, d'autre part, de gérer les amendes infligées aux entreprises de transport.
En ce qui concerne la première finalité, déjà poursuivie par le traitement FNAD, il s'agit de permettre une gestion simplifiée et plus efficace de l'ensemble des procédures administratives prévues dans le CESEDA qui peuvent être mises en œuvre à l'égard des personnes ne remplissant pas les conditions d'entrée en France. Ces personnes peuvent en effet faire l'objet d'une procédure de refus d'entrée (L. 213-1), de non-admission (L. 213-3), mais également d'une procédure d'asile à la frontière (L. 213-9), d'une mesure d'éloignement, d'une procédure de maintien en zone d'attente (L. 221-1), etc. Ces procédures conduisent à la rédaction, par les agents de la DCPAF, de nombreux actes qui nécessitent la mise en place d'un outil informatisé permettant de faciliter et de fiabiliser ces démarches en assurant la traçabilité de chaque dossier.
La gestion du suivi des amendes constitue en revanche une nouvelle finalité par rapport aux finalités assignées au traitement FNAD. La commission rappelle à cet égard que l'article L. 625-1 du CESEDA prévoit que les entreprises qui débarquent sur le territoire français un étranger non ressortissant d'un Etat de l'Union européenne démuni de visa ou de document de voyage sont en effet passibles d'une amende. Il est donc prévu que le traitement GIPI permette de faciliter la procédure relative aux pénalités infligées aux compagnies aériennes ainsi que la gestion des frais d'hébergement. La commission considère que les deux finalités assignées au traitement GIPI sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Si aucune finalité statistique ne figure dans le projet d'arrêté, la commission relève enfin que le traitement GIPI comporte une base statistique dénommée « infocentre » permettant de produire des statistiques. Cette base est constituée à partir d'une copie de la base GIPI qui est par la suite anonymisée.
Sur les données collectées :
A titre liminaire, la commission souligne que le traitement GIPI ne comporte pas de données biométriques. A cet égard, elle rappelle que, dans ses avis du 18 janvier 2007 et du 23 juillet 2009, elle avait relevé que l'enregistrement de données biométriques dans le FNAD ne permettait l'identification des nouveaux arrivants que s'ils avaient déjà fait l'objet d'une procédure de non-admission et que leurs empreintes avaient donc déjà été relevées et enregistrées dans le traitement. La commission s'était donc interrogée sur l'adéquation des moyens utilisés au regard de la finalité du traitement. Elle relève que, de fait, l'enregistrement dans ce traitement des données biométriques des ressortissants étrangers non admis sur le territoire n'est pas considéré comme pertinent par le ministère chargé de l'immigration.
Les catégories de données enregistrées dans le traitement GIPI sont mentionnées à l'annexe du projet d'arrêté.
Dans l'ensemble, ces données sont similaires à celles enregistrées dans le FNAD. Elles concernent le passager, la procédure mise en œuvre à son encontre ainsi que les documents détenus par les personnes concernées.
De nouvelles catégories de données qui n'étaient pas enregistrées dans le FNAD le sont désormais dans le traitement GIPI : il s'agit de données relatives à l'hébergement de la personne non admise, à l'accompagnant de celle-ci, à l'interprète éventuellement intervenu dans la procédure et aux pénalités financières infligées à l'entreprise de transport.
Il est notamment prévu d'enregistrer la date et le résultat de l'examen osseux du passager et de son éventuel « accompagnant », c'est-à-dire de la personne supposée mineure susceptible d'accompagner la personne non admise.
Les examens osseux sont en effet fréquemment utilisés pour déterminer l'âge des personnes concernées lorsque celles-ci sont dépourvues de tout document d'identité, la qualité de mineur ayant des effets substantiels sur la nature des procédures administratives à mettre en œuvre. Cet examen n'a donc pas pour objet de déterminer l'état de santé des personnes concernées.
La commission estime dès lors que la date et le résultat de cet examen ne constituent pas des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée. Elle s'interroge en revanche sur le fondement légal de ce type d'examen médical, qui semble par ailleurs contesté par la communauté scientifique.
Il est en outre prévu de collecter la langue parlée par les personnes non admises afin de faciliter la communication entre les agents de la DCPAF et les personnes concernées, le cas échéant en faisant appel à un interprète, et de permettre à ces dernières d'exercer leurs droits. A cet égard, la commission rappelle que la langue parlée ne constitue pas à elle seule une donnée faisant apparaître les origines raciales ou ethniques des personnes, dans la mesure où il n'y a pas nécessairement correspondance entre la langue parlée et ces origines.
Les données à caractère personnel enregistrées dans le traitement qui concernent les interprètes, qui peuvent intervenir dans la procédure, l'hébergement de la personne non admise ou les pénalités financières infligées à l'entreprise de transport n'appellent pas d'observation particulière de la part de la commission, dans la mesure où leur traitement est justifié au regard des finalités du traitement GIPI.
Ainsi, la commission considère que les données mentionnées à l'annexe au projet d'arrêté sont adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont collectées, conformément à l'article 6-3 de la loi « informatique et libertés ».
Sur la durée de conservation des données :
L'article 3 du projet d'arrêté prévoit une durée de conservation de l'ensemble des données enregistrées dans le traitement GIPI de trois mois à compter de la clôture du dossier. Pour le FNAD, cette durée était de cinq ans, à l'exception des données relatives aux procédures administratives ou juridictionnelles de refus d'entrée sur le territoire et de maintien en zone d'attente des ressortissants étrangers, qui étaient conservées trente-deux jours.
La commission considère que cette durée de conservation n'excède pas la durée nécessaire aux finalités pour les lesquelles elles sont traités. En effet, cette durée de conservation permet aux agents du ministère de l'intérieur d'effectuer l'ensemble des démarches nécessaire liées à la procédure de non-admission (envoi des avis de paiement à l'entreprise de transport, facturation de l'interprète, etc.).
Au-delà de cette durée de conservation, les données sont anonymisées et conservées pour une durée de cinq ans dans la base « infocentre », aux seules fins d'élaboration de statistiques.
Sur les destinataires :
L'article 4 du projet d'arrêté liste les destinataires des données enregistrées dans le traitement, en distinguant les personnels bénéficiant d'un accès direct aux données des personnels à qui ces informations peuvent être communiquées.
En ce qui concerne les premiers, il s'agit des agents de la police nationale affectés à la direction centrale de la police aux frontières (direction centrale et services territoriaux), qui utilisent le traitement lors de la procédure de contrôle des passagers à l'arrivée des vols.
Peuvent en outre être rendus destinataires des données contenues dans le traitement GIPI, dans la limite du besoin d'en connaître, les autres agents de la police nationale affectés à la direction centrale de la police aux frontières ainsi que, dans la limite de leurs attributions légales, les agents des services du secrétariat général à l'immigration et à l'intégration du ministère de l'intérieur ainsi que les agents de la direction des libertés publiques et des affaires juridiques du ministère de l'intérieur compétents en matière de réglementation relative aux étrangers.
Cette liste n'appelle pas d'observation particulière de la part de la commission. Celle-ci demande néanmoins au ministère de compléter le projet d'arrêté afin qu'il mentionne, pour chacun de ces destinataires, l'autorité qui les désigne et les habilite à accéder aux données contenues dans le traitement.
Sur les droits des personnes :
Les personnes concernées seront informées de la collecte de leurs données par voie d'affichage dans les bureaux de la police aux frontières. La commission souligne que cette affiche sera rédigée dans diverses langues (arabe, chinois, anglais, espagnol et portugais) et qu'elle indiquera clairement aux intéressés les modalités d'exercice de leurs droits d'accès et de rectification, conformément à ce qu'elle avait demandé dans le cadre des expérimentations du FNAD.
Ces droits s'exerceront sur place de manière directe, auprès de la DCPAF, conformément aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée. La commission prend acte que le ministère s'engage, à sa demande, à rectifier le projet d'arrêté en ce sens. Enfin, elle prend acte que le droit d'opposition prévu par l'article 38 de ladite loi ne s'applique pas au traitement GIPI.
Sur l'architecture technique et les mesures de sécurité et de traçabilité :
Le traitement GIPI est hébergé dans les locaux de la direction opérationnelle des services techniques et logistiques (DOSTL) de la préfecture de police et les serveurs d'application sont gérés par un administrateur de serveur de cette entité. La sécurisation des échanges réseaux est garantie par l'utilisation du réseau privé de la police RGT et le recours à un chiffrement HTTPS pour les échanges internes. Le réseau comporte également des sécurités contre les intrusions.
La sécurité physique du local est garantie par l'utilisation de badges et une politique de sécurité des systèmes d'information est mise en place par la DCPAF et suivie par la DDPAF de Roissy. Cette PSSI couvre notamment la procédure de destruction des données.
Les mesures d'authentification sont fondées sur des mots de passe complexes mêlant minuscules, majuscules et caractères spéciaux et renouvelés tous les quatre-vingt-dix jours.
Si ces mesures de sécurité apparaissent satisfaisantes au regard des exigences de l'article 34 de la loi du 6 janvier 1978 modifiée, la commission rappelle néanmoins qu'elle avait demandé, pour le traitement FNAD, le chiffrement des données des modules de l'application, afin de s'assurer d'une meilleure confidentialité des informations. Elle réitère donc sa demande de voir les données à caractère personnel du traitement GIPI stockées sous une forme chiffrée.
En ce qui concerne la traçabilité appliquée au traitement, les consultations font l'objet d'une mesure de traçabilité comprenant l'identification du consultant, la date, l'heure et la nature de la consultation. La commission rappelle que cette traçabilité est assurée pour toutes les opérations effectuées dans le système, notamment les actions de création, de modification et de suppression.
En revanche, la durée de conservation de ces données de traçabilité, fixée à cinq ans, semble disproportionnée au regard de la durée de conservation des données personnelles, fixée à trois mois après la clôture du dossier. En particulier, la commission rappelle qu'il faut s'assurer qu'il n'est pas possible, en consultant les journaux de traçabilité, de déterminer la présence passée d'une personne dans GIPI au-delà de la période de trois mois après clôture.
Enfin, concernant l'infocentre permettant la constitution d'une copie « anonymisée » de la base GIPI à des fins statistiques, la commission relève que cette anonymisation devait être réalisée par export des données de la base sous format Excel vers un poste de travail et par suppression manuelle des données à caractère personnel concernées. Or, le stockage, même temporaire, sur un poste de travail introduit de nouveaux risques relatifs à la durée de conservation (par exemple si le fichier extrait est laissé sur ce poste de travail) et à la traçabilité des actions (une fois le fichier extrait, les mécanismes de traçabilité associés à l'application ne sont plus effectifs).
C'est pourquoi la commission prend acte que le ministère s'engage finalement à prévoir une extraction automatique des données anonymes destinées à l'analyse statistique depuis la base GIPI.