Emet l'avis suivant :
La commission a été saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet d'arrêté relatif au traitement de données à caractère personnel dénommé « système européen de traitement des données d'enregistrement et de réservation » (SETRADER).
Ce traitement s'inscrit dans le cadre des dispositions des articles L. 232-1 à L. 232-6 du code de la sécurité intérieure (COSI), issus de la loi n° 2006-64 de la loi du 23 janvier 2006 modifiée, qui prévoient la mise en œuvre de traitements automatisés de données à caractère personnel recueillies à l'occasion de déplacements internationaux afin d'améliorer le contrôle aux frontières, de lutter contre l'immigration clandestine et de prévenir et réprimer des actes de terrorisme. Dans ce même cadre, a déjà été mis en œuvre, à titre expérimental de 2007 à 2011, le fichier des passagers aériens (FPA), auquel le traitement SETRADER a vocation à succéder.
L'article L. 232-1 du CSI dispose expressément que les traitements concernés sont soumis aux dispositions de la loi du 6 janvier 1978 modifiée. Dans la mesure où le traitement SETRADER intéresse la sécurité publique et la sûreté de l'Etat et a en pour objet la prévention, la recherche et la constatation d'infractions pénales, sans contenir de données sensibles au sens de l'article 8 de ladite loi, il doit être autorisé par arrêté pris après avis de la commission, en application de l'article 26-I (1°) et 26-1 (2°) de la loi du 6 janvier 1978 modifiée.
Sur le remplacement du FPA par le traitement SETRADER
La mise en œuvre du FPA a été autorisée à titre expérimental pour une durée de deux ans, par un arrêté du 19 décembre 2006 pris après avis de la commission (délibération n° 2006-198 du 14 septembre 2006). Cette expérimentation a ensuite été reconduite pour deux ans, par arrêté en date du 28 janvier 2009 (délibération n° 2008-576 du 18 décembre 2008), puis jusqu'au 31 décembre 2011, par arrêté modificatif du 15 mars 2011 (délibération n° 2011-048 du 17 février 2011).
L'expérimentation du FPA a donc été réalisée sur une période de cinq ans, sans que l'efficacité du dispositif ait été clairement démontrée.
Néanmois, les difficultés de mise en œuvre du traitement ont été principalement d'ordre technique et ne préjugent pas, selon le ministère de l'intérieur, de l'utilité du traitement des données dites API (« Advanced Passenger Information »), c'est-à-dire des données enregistrées dans les systèmes de contrôle des départs des transporteurs (aériens en l'espèce), aux fins de lutte contre l'immigration irrégulière ou le terrorisme. La commission rappelle en outre que le traitement de ces données est expressément autorisé par le droit communautaire (directive 2004/82/CE du 29 avril 2004) et le droit national (avant-dernier alinéa de l'article L. 232-1 du CSI).
Dans ce contexte, la création du traitement SETRADER en remplacement du FPA doit permettre de disposer d'un outil de traitement des données API plus fiable et opérationnel et capable de traiter un volume de données plus important. En outre, ce traitement a vocation à devenir, à terme, la plate-forme française de traitement des données de réservation des voyageurs détenues par les transporteurs (données PNR, pour « Passenger Name Record », plus nombreuses et complètes que les données API) dans le cadre de la mise en œuvre d'un système PNR européen basé sur la proposition de directive de la commission européenne du 2 février 2011.
Le remplacement du FPA par le traitement SETRADER nécessite, selon le ministère, que les données enregistrées dans le FPA soient intégrées dans le nouveau traitement. Or, dans sa délibération du 17 février 2011, la commission avait pris acte de l'engagement du ministère de supprimer toutes les données collectées dans le cadre du FPA, dans l'hypothèse où l'expérimentation ne serait pas pérennisée.
Néanmoins, la commission relève que la création du traitement SETRADER a précisément pour objet de pérenniser la mise en œuvre du traitement des données API de certains passagers aériens, aux mêmes fins que celles poursuivies dans le cadre du FPA. En outre, elle estime que la reprise des données enregistrées dans le FPA est justifiée au regard de la finalité de lutte antiterroriste poursuivie par le traitement, dans un objectif de continuité et d'optimisation du travail des services compétents en la matière.
La commission rappelle qu'en tout état de cause ces données issues du FPA doivent être effacées cinq ans après leur collecte, conformément aux dispositions de l'arrêté du 28 janvier 2009 modifié.
Sur les finalités du traitement SETRADER et son champ d'aplication
L'article 1er du projet d'arrêté assigne deux finalités aux traitements SETRADER mis en œuvre par la direction centrale de la police aux frontières : l'amélioration du contrôle aux frontières et la prévention et répression de l'immigration clandestine, d'une part, la prévention et la répression du terrorisme, d'autre part.
Le traitement des données relatives aux passagers, recueillies à l'occasion de déplacements internationaux et enregistrées dans les systèmes de contrôle des départs des transporteurs, a été expressément prévu par l'article 7 de la loi n° 2006 de la loi du 23 janvier 2006 modifiée, codifié dans le code de la sécurité intérieure. L'article L. 232-1 dudit code prévoit ainsi que ces données peuvent être traitées aux fins « d'améliorer le contrôle aux frontières et de lutter contre l'immigration clandestine », conformément aux dispositions de la directive 2004/82/CE du 29 avril 2004. L'article L. 232-2 du CSI prévoit en outre que ces traitements peuvent être mis en œuvre « aux fins de prévenir et de réprimer des actes de terrorisme ».
En ce qui concerne la première finalité, le traitement SETRADER permet aux autorités chargées d'effectuer les contrôles aux frontières de recevoir, à l'issue de l'enregistrement et avant le départ du vol, les données API détenues par les transporteurs aériens afin de faciliter l'exécution de ce contrôle, notamment en vérifiant que les voyageurs ne sont pas inscrits dans le fichier des personnes recherchées. Ces données sont en outre rendues disponibles aux services chargés de la lutte antiterroriste, afin de leur permettre de détecter des comportements suspects ou de surveiller les déplacements internationaux des personnes soupçonnées ou susceptibles de préparer ou de se livrer à des activités terroristes.
Dans ces conditions, la commission estime que les finalités du traitement SETRADER sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Elle relève en outre que le projet d'arrêté concerne uniquement la première version du traitement SETRADER qui devrait évoluer dans les mois ou années à venir pour collecter et exploiter les données PNR, et non les seules données API, une fois que la directive européenne en la matière sera adoptée. Les modifications apportées au traitement devront alors, préalablement à leur mise en œuvre, faire l'objet d'une nouvelle demande d'avis auprès de la commission.
Concernant le champ d'application du traitement, la commission relève que seules les données des passagers aériens sont enregistrées dans le traitement SETRADER, et non les données détenues par les transporteurs ferroviaires ou maritimes, comme le permettent pourtant les dispositions du CSI.
En outre, seuls les passagers voyageant vers ou en provenance de pays présentant une sensibilité particulière en matière de risque terroriste ou d'immigration irrégulière sont concernés par ce traitement, soit environ une trentaine de pays, et non l'ensemble des Etats n'appartenant pas à l'Union européenne. Ainsi, le déploiement du traitement SETRADER sera réalisé dans les seuls aéroports français ayant une connexion avec les pays limitativement énumérés.
A cet égard, l'article ler du projet d'arrêté prévoit qu'une décision (non publiée) du ministère de l'intérieur précise ces provenances et destinations, à l'instar de ce qui était prévu à l'article 1er de l'arrêté du 28 janvier 2009 modifié relatif au FPA. Le ministère a précisé que la décision du 20 juillet 2010, qui avait été communiquée à la commission n'a pas été modifiée et est applicable au traitement SETRADER. La commission prend acte de son engagement à mentionner dans le projet d'arrêté que les éventuelles évolutions de cette décision devront lui être transmises pour information.
Sur les données enregistrées dans le traitement
L'article L. 232-1 du CSI autorise notamment le traitement des données « 3° Relatives aux passagers et enregistrées dans les systèmes de réservation et de contrôle des départs lorsqu'elles sont détenues par les transporteurs aériens, maritimes ou ferroviaires ». La commission rappelle que seules les données dites API sont, dans un premier temps, traitées dans le cadre de SETRADER, et non les données PNR qui sont également concernées par ces dispositions. Le même article dispose qu'aucune donnée sensible, au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, recueillie à l'occasion de déplacements internationaux, ne peut faire l'objet d'un tel traitement automatisé.
L'article 2 du projet d'arrêté énumère plus précisément les données pouvant être collectées dans le cadre de la mise en œuvre de SETRADER. La liste des données reprend la totalité de celles collectées dans le cadre du FPA et est conforme aux dispositions de la directive 2004/82/CE du 29 avril 2004 qui établit une liste minimale de données que les transporteurs doivent transmettre aux autorités compétentes.
Il s'agit principalement de données relatives à l'identité des passagers aériens (nationalité, nom, prénom, date de naissance, sexe), au document de voyage utilisé (type, numéro, Etat ou organisation émetteur, date d'expiration), au vol emprunté (point de passage frontalier, code de transport, date du vol, heures et point de départ et d'arrivée, point d'embarquement et de débarquement, nombre total de personnes transportées) et d'autres informations concernant le passager (statut de la personne embarquée, numéro de siège, code repère du dossier passager, nombre, poids et identification des bagages).
Ces dernières informations concernant le passager ne sont pas mentionnées dans la liste établie à l'article 3.2 de la directive 2004/48/CE du 29 avril 2004. Toutefois, cette liste n'est pas limitative et peut couvrir l'ensemble des renseignements relatifs aux passagers transportés par les compagnies aériennes, et notamment les informations sur les bagages enregistrés. En outre, le ministère de l'intérieur a précisé que ces données sont particulièrement utiles dans le cadre de la lutte contre le terrorisme, recoupées avec d'autres données ou mises en perspective avec des renseignements relatifs à des modes opératoires.
Par ailleurs, le résultat issu de l'interconnexion de SETRADER avec le FPR (fichier des personnes recherchées) et le N-SIS (partie nationale du système d'information Schengen), figurant sous la mention « connu » ou « inconnu », est également enregistré dans le traitement. Cette donnée permet de faire remonter aux services de lutte contre le terrorisme et de lutte contre l'immigration clandestine des alertes issues des deux fichiers afin de les identifier et, le cas échéant, d'intervenir rapidement. Cette alerte fait l'objet d'un contrôle par des agents des services compétents pour éviter les erreurs sur les personnes liées, par exemple, à l'homonymie.
La commission estime que les données enregistrées dans SETRADER sont adéquates, pertinentes et non excessives au regard des finalités du traitement, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des informations
L'article 4 du projet d'arrêté prévoit une durée de conservation des données de cinq ans à compter de leur inscription dans le traitement. Cette durée est la même que celle prévue dans l'arrêté du 28 janvier 2009 modifié relatif au FPA.
La commission prend acte de cette durée de conservation, qui se justifie par les nécessités opérationnelles des services compétents en matière de lutte contre le terrorisme, notamment pour repérer des comportements dans le temps, des déplacements similaires permettant d'identifier des réseaux et des maillages de personnes susceptibles d'avoir une activité terroriste future.
Le deuxième alinéa du même article précise néanmoins que dans le cadre de la lutte contre l'immigration clandestine et de l'amélioration du contrôle aux frontières, les données ne peuvent être consultées que dans les vingt-quatre heures suivant leur transmission par les transporteurs aériens. La commission relève que cette restriction est conforme aux dispositions de l'article 6 de la directive 2004/82/CE du 29 avril 2004.
Par ailleurs, le résultat issu de l'interconnexion de SETRADER avec le FPR et le N-SIS n'est conservé que pendant vingt-quatre heures. La commission prend acte de la durée de conservation de cette donnée par nature évolutive dans le temps, qui répond aux observations qu'elle avait formulées dans le cadre de l'expérimentation du FPA et permettra d'éviter le maintien d'informations périmées dans SETRADER.
Elle prend également acte des engagements du ministère à ce que cette donnée soit effacée automatiquement en mettant en place des mises à jour plusieurs fois par jour.
Sur les destinataires du traitement
L'article 3 du projet d'arrêté prévoit que l'accès aux données et aux informations enregistrées dans le traitement SETRADER n'est autorisé qu'à des agents individuellement désignés et spécialement habilités par leur chef de service. Leurs accès sont distingués, dans l'annexe au projet d'arrêté, en fonction des finalités poursuivies par le traitement (amélioration du contrôle aux frontières, prévention et répression de l'immigration clandestine ; prévention et répression du terrorisme).
Les dispositions du CSI ne définissent pas les catégories de personnels ayant accès au traitement pour les finalités d'amélioration du contrôle aux frontières et de la prévention et de la répression de l'immigration clandestine. L'arrêté du 28 janvier 2009 modifié avait dès lors fixé une liste de services, centraux ou territoriaux, habilités à accéder aux données du traitement FPA au titre de cette finalité. L'arrêté projeté reprend l'ensemble des ces personnels.
Néanmoins, deux nouveaux services sont autorisés à accéder au traitement. Ainsi, le service technique de recherche judiciaire et de documentation (STRJD) de la gendarmerie nationale et les services territoriaux du ministère du budget chargés de la lutte contre l'immigration irrégulière participent à la répression de l'immigration clandestine et sont, à ce titre, légitimes à être destinataires des informations contenues dans SETRADER.
En outre, les catégories de personnels habilités à accéder aux données dans le cadre de la prévention et de la répression du terrorisme sont prévues à l'article L. 232-2 du CSI. L'annexe du projet d'arrêté liste les services compétents en la matière, en reprenant dans l'ensemble les services mentionnés par l'arrêté du 28 janvier 2009 modifié au titre de cette finalité.
Certains services œuvrant à la prévention et à la répression du terrorisme ont été ajoutés à la liste des personnels ayant accès aux données traitées dans SETRADER, par rapport à l'arrêté du 28 janvier 2009 modifié. La commission prend acte de la volonté du ministère de permettre à tous les services et sections de recherches de prévention et de répression du terrorisme l'accès à ces données, tout en veillant à ce qu'ils soient nominativement et limitativement listés dans l'annexe au projet d'arrêté.
Enfin, le 3° de l'article L. 232-2 du CSI précise que l'accès des services de renseignement du ministère de la défense est autorisé aux seules fins de la prévention des actes de terrorisme, et non aux fins de répression de ceux-ci, les services concernés n'étant pas compétents en la matière. La commission prend acte de l'engagement du ministère de mentionner dans le projet d'arrêté cette restriction d'accès.
A titre général, la commission demande néanmoins que l'article 3 du projet d'arrêté soit complété de la mention « dans la limite du besoin d'en connaître », afin de s'assurer que les personnels concernés n'ont accès qu'aux seules données strictement nécessaires à l'exercice de leurs missions.
Sur les droits des personnes concernées
En ce qui concerne tout d'abord les modalités d'information des personnes, l'article L. 232-6 du CSI précise que les transporteurs aériens « ont l'obligation d'informer les personnes concernées » de la mise en œuvre de SETRADER, conformément aux dispositions de la loi informatique et libertés.
Dans sa délibération n° 2006-198 du 14 septembre 2006, la commission rappelait que les notices d'informations destinées aux passagers sur la mise en œuvre du FPA doivent préciser les destinataires des données, les finalités du recueil obligatoire des informations ainsi que les modalités d'exercice des droits d'accès et de rectification. Or, dans sa délibération n° 2011-048 du 17 février 2011, la commission déplorait que ces documents ne lui aient pas été transmis. De plus, lors de différents contrôles effectués dans les aéroports, la commission a constaté que l'information des personnes sur le traitement FPA n'était pas effectuée de manière conforme aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée par les compagnies aériennes.
Dans ces conditions, la commission prend acte que le ministère s'engage à réaliser un affichage visible par tous les passagers concernés par le traitement SETRADER, dans tous les aéroports. Elle invite néanmoins le ministère à s'assurer qu'une information effective des passagers sur la collecte et le traitement de leurs données API est réalisée par les compagnies aériennes concernées, dans une langue compréhensible par les intéressés.
S'agissant des modalités d'exercice des droits d'accès et de rectification, il était initialement prévu par l'article 6-1 du projet d'arrêté qu'ils s'exerceraient de manière indirecte auprès de la CNIL, sur le fondement de l'article 41 de la loi du 6 janvier 1978 modifié.
Or, le premier alinéa de l'article 6 de l'arrêté du 28 janvier 2009 modifié relatif au FPA avait prévu un droit d'accès direct auprès de la direction centrale de la police aux frontières du ministère de l'intérieur, sur le fondement du dernier alinéa de l'article 41 de la loi du 6 janvier 1978 modifiée. La commission rappelle en outre que le traitement SETRADER ne contient que des données « objectives » transmises par les transporteurs aériens, relatives à l'ensemble des voyageurs empruntant les vols concernés et non les seules personnes devant faire l'objet d'une surveillance particulière, et qui ne révèlent pas, à l'exception du résultat de l'interrogation du FPR et du N-SIS, une quelconque action policière ou judiciaire à leur encontre. Dès lors, elle considère que la communication de telles informations aux personnes concernées n'est pas susceptible de porter atteinte aux finalités du traitement SETRADER.
La commission prend donc acte de l'engagement du ministère de modifier, à sa demande, le projet d'arrêté pour que l'ensemble des informations traitées dans SETRADER fassent l'objet d'un droit d'accès direct sur le fondement du dernier alinéa de l'article 41 de la loi informatique et libertés, à l'exception des mentions : « connu » ou « inconnu » qui ne doivent en effet relever que du régime du droit d'accès indirect.
L'interconnexion avec le FPR
L'article L. 232-3 du CSI prévoit que les traitements prévus aux articles L. 232-1 et L. 232-2 du même code « peuvent faire l'objet d'une interconnexion avec le fichier des personnes recherchées et le système d'information Schengen ». Le ministère a fait savoir à la commission qu'à l'heure actuelle seule l'interconnexion avec le FPR est opérationnelle.
Cette interconnexion a pour but de déterminer si des personnes inscrites dans ce fichier se sont enregistrées sur un vol provenant ou à destination d'un des pays concerné par le traitement. Les données fournies par les compagnies aériennes sont ainsi transmises au FPR pour comparaison.
SIi ces mesures visent à garantir qu'une personne recherchée au FPR ne pourra échapper au signalement à la faveur d'une erreur d'enregistrement des données API par les transporteurs, la commission relève qu'elles ont pour conséquence d'engendrer un nombre de faux positifs très important, nécessitant la mise en place d'une procédure de levée de doute manuelle.
La commission souligne que le ministère de l'intérieur, qui est également responsable du traitement FPR, n'a pas réalisé d'étude afin d'estimer objectivement l'efficience du mécanisme de comparaison utilisé dans le cadre de SETRADER. Elle estime qu'il convient donc qu'une étude soit réalisée afin de déterminer précisément et objectivement les critères de comparaison devant être utilisées lors de la confrontation avec le FPR.
Conformément aux dispositions de l'article 6 (4°) de la loi du 6 janvier 1978 modifiée sur la qualité des données, il convient en effet de garantir un pourcentage de faux positifs le plus bas possible tout en limitant les faux négatifs. La commission demande donc à être tenue informée de l'évolution des modalités d'interrogation du FPR par SETRADER.
Par ailleurs, elle demande à recevoir un dossier technique détaillé préalablement à la mise en œuvre de l'interconnexion de ce traitement avec le N-SIS.
Sur les sécurités du traitement
En ce qui concerne les mesures de traçabilité, la commission relève que toutes les actions effectuées dans le système sont tracées et que ces traces, qui ne sont accessibles qu'aux administrateurs de l'application, sont conservées pendant cinq ans. Par ailleurs, chaque fichier reçu des compagnies aériennes est conservé, aux fins de preuve, dans un coffre-fort numérique, chiffré et scellé.
Les données collectées par les transporteurs aériens sont échangées sur différents réseaux, notamment le réseau SITA. Si certains flux de données sont effectivement chiffrés, le ministère n'a néanmoins pas fourni à la commission les éléments permettant de garantir que les données sont protégées dans l'ensemble de la chaîne de transmission de l'information. La commission rappelle que les données traitées doivent systématiquement faire l'objet de mesures visant à garantir leur confidentialité lors de leur transmission et demande au ministère de prendre toutes les mesures nécessaires afin d'assurer la sécurité et la confidentialité des données, conformément aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.
Enfin, la commission relève que les modalités d'authentification des personnes ayant accès au traitement sont satisfaisantes, cette authentification étant réalisée par le portail CHEOPS de la police nationale. En ce qui concerne, en revanche, l'authentification des agents des compagnies aériennes qui peuvent transmettre les informations via un portail web, le ministère a uniquement indiqué qu'elle sera réalisée par le biais de certificats électroniques. La commission rappelle qu'en tout état de cause des mesures permettant d'assurer une authentification fiable de ces utilisateurs doivent être mises en place par le ministère.