Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie, le 27 mai 2015, d'une demande d'avis relative à un projet de décret en Conseil d'Etat portant modification des articles 5 du décret du 28 mai 2010 susvisé et R. 232-14 et R. 232-15 du code de la sécurité intérieure (CSI).
Ce projet de décret est pris en application de l'article L. 232-7 du CSI qui permet la mise en œuvre d'un traitement automatisé de données à caractère personnel pour les besoins de la prévention et de la constatation des actes de terrorisme, des infractions mentionnées à l'article 695-23 du code de procédure pénale et des atteintes aux intérêts fondamentaux de la Nation, du rassemblement des preuves de ces infractions et de ces atteintes ainsi que de la recherche de leurs auteurs.
Cet article prévoit qu'un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, en détermine les modalités d'application. Celle-ci a ainsi été amenée à se prononcer sur le traitement de données à caractère personnel dénommé « système API-PNR France », fixant les modalités de transmission au service à compétence nationale « Unité Information Passagers » des données relatives aux passagers par les transporteurs aériens.
Ce traitement, qui relève des dispositions de l'article 26 de la loi du 6 janvier 1978 modifiée, a été autorisé par le décret du 26 septembre 2014 susvisé et codifié aux articles R. 232-12 à R. 232-18 du CSI, pris après avis de la commission en date du 17 juillet 2014. Les modifications apportées au décret du 28 mai 2010 précité et auxdites dispositions réglementaires du CSI nécessitent un avis motivé et publié de la commission.
Rappel sur le traitement « Système API-PNR France »
A titre liminaire, la commission rappelle que l'article L. 232-7-Il du CSI autorise le traitement des données d'enregistrement (dites « API » ou « Advance Passenger Information) relatives aux passagers des vols à destination et en provenance du territoire national, à l'exception des vols reliant deux points de la France métropolitaine, ainsi que les données relatives aux passagers enregistrées dans les systèmes de réservation des transporteurs aériens (dites « PNR » ou « Passenger Name Record »), à l'exception de toute donnée sensible au sens de l'article 8 de la loi du 6 janvier 1978 modifiée.
Ce traitement est mis en œuvre à titre expérimental jusqu'au 31 décembre 2017. Il doit permettre de répondre aux besoins des services opérationnels des agents de la police nationale, de la gendarmerie nationale et des douanes ainsi que des services de renseignement spécialisés, dans le cadre des finalités limitativement énumérées à l'article L. 232-7 du CSI. En particulier, il s'agit de vérifier si une personne ou, le cas échéant, un objet, n'est pas recherché et, d'autre part, de déterminer si un passager, compte tenu de ses habitudes de voyage, présente un risque particulier au regard de ces mêmes finalités.
Les données ainsi collectées sont transmises par les compagnies aériennes à une unité d'information passagers (UIP), qui a vocation à recueillir les données, à les exploiter et à transmettre le résultat des requêtes aux services demandeurs. Ce service, créé par le décret du 22 décembre 2014 susvisé, à caractère interministériel et à compétence nationale, est rattaché au ministre chargé des douanes.
Le traitement « API-PNR » permet d'effectuer un rapprochement entre les données collectées et d'autres fichiers de police judiciaire ou administrative, relatifs à des personnes ou des objets recherchés ou surveillés, et d'expérimenter de nouvelles modalités d'exploitation de ces données. En particulier, l'exploitation des données API et PNR permettra le ciblage des individus au travers de différents critères préétablis ainsi que leur classement sur une échelle de risques, grâce à l'utilisation d'un outil de scoring.
Le présent projet de décret et les modifications envisagées dans les conditions de mise en oeuvre de ce traitement appellent les observations suivantes.
Sur la modification du décret n° 2010-569 du 28 mai 2010 modifié relatif au fichier des personnes recherchées
Le FPR est un traitement mis en oeuvre par le ministre de l'intérieur, dans les conditions fixées par le décret du 28 mai 2010 susvisé, qui a pour finalité de faciliter les recherches et les contrôles effectués, dans le cadre de leurs attributions respectives, par les services de la police nationale, les unités de la gendarmerie nationale et les agents des douanes.
L'inscription au FPR intervient pour des motifs judiciaires et administratifs, les personnes recherchées étant enregistrées dans différentes catégories de recherches, chaque catégorie comprenant des motifs de recherches associés à une conduite à tenir.
L'article ler du présent projet de décret vise à modifier l'article 5 du décret relatif au fichier des personnes recherchées, afin de permettre aux agents de l'UIP d'accéder directement au fichier des personnes recherchées.
En effet, le système « API-PNR France » doit permettre, à chaque réception des données API et PNR par l'UIP, de les comparer automatiquement et systématiquement avec certains fichiers relatifs à des personnes ou des objets recherchés ou surveillés, dont le FPR. Cette fonctionnalité de « criblage » s'exécute automatiquement lors de l'arrivée de nouveaux flux de données en provenance des compagnies aériennes et doit permettre de déterminer si des personnes ou des objets inscrits dans ces fichiers figurent sur un vol concerné par le traitement.
La rédaction projetée de l'article 5 du décret précité doit permettre aux seuls agents individuellement désignés et spécialement habilités par le directeur de l'UIP d'accéder au FPR, dans le cadre des « finalités du système API-PNR France ».
A cet égard, la commission relève que ces agents sont chargés de répondre aux requêtes formulées par les unités et services mentionnés à l'article R. 232-15 du CSI, dans les conditions fixées aux articles R. 232-13 et suivants du même code.
Elle prend en outre acte des précisions du ministère selon lesquelles cet accès doit uniquement permettre aux agents concernés de procéder à l'opération de levée de doute en cas de signalement positif suite aux opérations de criblage entre le traitement « API-PNR France » et le FPR. A cet égard, la commission rappelle que, au titre des garanties mises en oeuvre dans le cadre du « système API-PNR France », le ministère avait indiqué que les données API et PNR ne seraient pas criblées avec l'ensemble des fiches FPR, mais uniquement avec celles qui correspondent au seuil infractionnel prévu à l'article L. 232-7 du CSI, Il en résulte que les agents de l'UIP ne devraient pas accéder à l'ensemble des fiches contenues dans le FPR.
Or, elle relève que la rédaction projetée de l'article 5 du décret relatif au FPR, d'ordre général, renvoie uniquement aux finalités poursuivies par le traitement « API-PNR France » et ne permet pas de définir précisément les finalités pour lesquelles ces agents pourraient accéder directement au FPR, à savoir effectuer l'opération de levée de doute en cas de signalement positif.
La commission demande dès lors que l'article 1er du projet de décret soit modifié afin de limiter l'accès au FPR à cette seule mission.
Enfin, si elle prend acte des précisions apportées par le ministère selon lesquelles la mise en oeuvre de cette fonctionnalité de « criblage » est actuellement limitée au seul FPR, la commission rappelle qu'elle devra être préalablement saisie si des modifications de même nature étaient envisagées s'agissant des autres fichiers également concernés par cette fonctionnalité.
Sur la modification de l'article R. 232-14 du CS1
L'article 2 du projet de décret vise à modifier les dispositions de l'article R. 232-14 du CSI portant sur les données à caractère personnel et informations relatives aux passagers aériens enregistrées dans le traitement « API-PNR France ».
En premier lieu, la modification vise à permettre l'enregistrement dans ce traitement, pour la seule durée nécessaire aux opérations de vérification des données transmises aux services demandeurs et pour un maximum de 24 heures, de l'intégralité de la fiche résultant de la mise en relation des données mentionnées aux a et b de l'article R. 232-14 du CSI avec le fichier des personnes recherchées, le système d'information Schengen de deuxième génération (SIS II), le fichier des objets et des véhicules signalés, le système informatisé concourant au dispositif de lutte contre les fraudes et le fichier des documents de voyage volés et perdus d'Interpol.
La commission rappelle que, lors de l'examen du traitement « API-PNR », elle avait considéré que l'absence de conservation des fiches de recherche ou de surveillance concernées constituait une des garanties permettant d'assurer une meilleure protection des données des personnes concernées par le dispositif. Or, la modification envisagée vise à autoriser la conservation, dans le système « API-PNR », de l'intégralité de la fiche ayant donné lieu à un « hit positif » et non plus seulement de certaines informations figurant dans celle-ci (numéro et type de fiche, conduite à tenir).
Si la commission prend acte que cette conservation, dont la durée est strictement limitée, a uniquement pour objet de permettre aux agents de l'UEP de procéder à l'opération de levée de doute en cas de signalement positif suite aux opérations de rapprochement entre le système « API-PNR France » et ces différents traitements, elle regrette cependant de ne pas avoir été destinataire de davantage d'informations et demande que le bilan de l'expérimentation de ce traitement fasse précisément état des « considérations techniques [qui] imposent de modifier les modalités de criblage ».
En second lieu, l'article 2 du projet de décret prévoit que :« Les fiches du fichier des personnes recherchées sont extraites d'une copie partielle et actualisée du traitement, non accessible aux agents de l'UIP, conservée en permanence au sein de la base technique du traitement API-PNR. »
La commission prend acte des précisions apportées par le ministère selon lesquelles cette copie partielle de la base du FPR vise à tenir compte de la vétusté de son paramétrage technique, laquelle nécessite qu'une copie du FPR soit effectuée.
Néanmoins, elle rappelle que cette copie doit être strictement limitée aux données de rapprochement des signalements FPR conformes au seuil infractionnel prévu à l'article L. 232-7 du CSI. A cet égard, le ministère a indiqué que seules ces données feraient effectivement l'objet d'une extraction régulière, à partir desquelles un fichier au format XML sera produit avec, pour chaque signalement sélectionné, un nombre limité d'informations.
Il a également été indiqué que « cette base miroir » du FPR ferait l'objet de mises à jour régulières afin d'éviter tout risque de conservation de données obsolètes issues de ce traitement.
Si ces conditions de traitement des données constituent des garanties dans le cadre du traitement « API-PNR », la commission rappelle qu'il convient de s'assurer du caractère réel et effectif de leur mise en oeuvre. En effet, afin de limiter les conséquences défavorables qui résulteraient du maintien, dans cette « base miroir », de personnes ne remplissant plus les conditions pour y être enregistrées, les données qui y sont enregistrées doivent nécessairement être mises à jour afin de prendre en compte tout changement dans la situation de la personne ayant fait l'objet d'un signalement au FPR. Elle considère dès lors que la mise à jour de la copie de la base doit intervenir au minimum de manière hebdomadaire et que toute suppression d'une fiche dans le FPR doit donner lieu à la suppression des informations correspondantes dans la « base miroir »,
En outre, la base FPR étant interrogée lorsqu'une personne est reconnue dans la « base miroir », tout faux positif détecté dans ce cas devrait être clairement indiqué comme tel à l'UIP et la copie partielle du FPR immédiatement mise à jour concernant la fiche erronée.
Enfin, la commission estime nécessaire que le transfert de données entre le FPR et sa copie partielle ainsi que la mise à jour de cette dernière soient réalisés via un canal chiffré entre des serveurs mutuellement authentifiés par certificat.
Sur la modification de l'article R. 232-15 du CS1
L'article 3 du projet de décret vise à modifier les dispositions de l'article R. 232-15 du CSI qui énumère les catégories de personnels habilités à formuler des requêtes auprès de l'UIP et à être destinataires des réponses.
Il s'agit d'une part, de permettre aux agents de la police nationale, individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, affectés au service central du renseignement territorial (SCRT) d'être destinataires de ces informations aux seules fins de la prévention des actes de terrorisme et, d'autre part, de leur permettre de formuler des requêtes auprès de l'UIP et d'être destinataires des réponses pour la seule prévention des infractions mentionnées à l'article 695-23 du code de procédure pénale.
Ce service est rattaché à la direction centrale de la sécurité publique (DCSP) et concourt notamment à l'exercice des missions de renseignement et d'information confiées aux forces de sécurité intérieure.
La commission prend acte des précisions du ministère selon lesquelles il est prévu de modifier le décret n° 2013-728 susvisé afin de mentionner la prévention du terrorisme au titre des missions confiées au SCRT.
Le ministère a également indiqué que, dans l'exercice de ses missions, le SCRT participe à la prévention des infractions mentionnées à l'article 695-23 du code de procédure pénale au travers notamment de la lutte contre l'économie souterraine, du recueil d'informations dans le domaine de la criminalité organisée ou encore de la prévention du terrorisme. Néanmoins, la commission relève que, en tant que telle, cette mission n'apparaît pas au titre des prérogatives actuellement confiées au SCRT.
Dans la mesure où l'article L. 232-7 du CSI prévoit la mise en oeuvre du traitement « API-PNR France » notamment aux fins de prévention et de constatation des actes de terrorisme et des infractions mentionnées à l'article 695-23 du code de procédure pénale et, sous réserve de la modification du décret n° 2013-728 précité afin de mentionner expressément ces deux nouvelles missions assignées au SCRT, la commission considère qu'il est justifié que les agents de ce service soient destinataires et habilités à formuler des requêtes auprès de l'UIP et à recevoir les réponses correspondantes dans le cadre des missions précitées.
En tout état de cause, elle rappelle qu'en pratique, les requêtes adressées par les agents des services concernés doivent être réalisées par l'intermédiaire d'un espace de travail virtuel, après une identification préalable au moyen d'une carte agent.
Enfin, la commission observe que les autres caractéristiques du traitement « AP1-PNR France » demeurent inchangées et demande que le bilan qui lui sera adressé à la fin de l'expérimentation tienne compte de l'ensemble des modifications qui résultent du présent projet de décret.