Articles

Article AUTONOME (Délibération n° 2016-012 du 28 janvier 2016 portant avis sur un projet de décret portant modification d'un traitement automatisé de données à caractère personnel dénommé PARAFE)

Article AUTONOME (Délibération n° 2016-012 du 28 janvier 2016 portant avis sur un projet de décret portant modification d'un traitement automatisé de données à caractère personnel dénommé PARAFE)


(Demande d'avis n° 1205636 v2)


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant modification d'un traitement automatisé de données à caractère personnel dénommé PARAFE ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (CE) n° 2252/2004 du Conseil du 13 décembre 2004 modifié établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité intérieure, notamment ses articles R. 232-6 à R. 232-11 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 27-1 (2°) et 30 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le ministre de l'intérieur a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis sur un projet de décret en Conseil d'Etat portant modification d'un traitement automatisé de données à caractère personnel dénommé PARAFE (passage rapide aux frontières extérieures).
Le traitement PARAFE, dont les conditions de mise en œuvre sont prévues aux articles R. 232-6 à R. 232-11 du code de la sécurité intérieure (CSI), est destiné à améliorer et faciliter les contrôles de police aux frontières extérieures des voyageurs aériens, maritimes et ferroviaires, par l'intermédiaire d'un dispositif biométrique. Basé sur le volontariat, le dispositif repose sur la comparaison des empreintes digitales du voyageur avec celles enregistrées, lors de son inscription préalable, dans une base centralisée ou avec celles enregistrées dans le passeport biométrique qu'il détient. Ce traitement, mis en œuvre pour le compte de l'Etat et portant sur des données biométriques nécessaires à l'authentification ou au contrôle d'identité des personnes, relève dès lors des dispositions de l'article 27-1 (2°) de la loi du 6 janvier 1978 modifiée.
La modification projetée du dispositif vise à permettre la mise en œuvre d'une nouvelle modalité d'authentification des voyageurs : la reconnaissance faciale. Conformément aux dispositions des articles 27-1 (2°) et 30 de la loi précitée, ces modifications doivent être autorisées par décret en Conseil d'Etat pris après avis motivé et publié de la commission.
Sur le recours à la reconnaissance faciale dans le cadre du traitement PARAFE :
Le projet de décret vise à modifier l'article R. 232-11 du CSI relatif aux données collectées concernant les voyageurs titulaires d'un passeport biométrique au sens du règlement (CE) n° 2252/2004 du Conseil du 13 décembre 2004 susvisé. Pour rappel, depuis 2008, les passeports délivrés par l'administration française sont munis d'un composant électronique dans lequel sont notamment enregistrés la photographie et les empreintes digitales de deux doigts du titulaire du passeport, conformément aux dispositions du décret n° 2005-1726 du 30 décembre 2005 modifié. Il s'agit de permettre l'enregistrement dans le traitement PARAFE de l'« image numérisée du visage dans les sas désignés par décision du ministère de l'intérieur ».
La modification envisagée vise ainsi à recourir à une nouvelle technique biométrique, la reconnaissance faciale, pour authentifier les voyageurs utilisant les sas PARAFE pour franchir les frontières extérieures de l'Union européenne.
A titre liminaire, la commission rappelle que la reconnaissance faciale fait peser des risques importants sur les libertés individuelles : le visage est en effet une donnée pouvant être captée à l'insu des personnes, les progrès techniques rendant aujourd'hui encore plus facile de procéder à l'identification biométrique d'une personne à son insu, en comparant son visage avec une base de photographies, ou d'usurper l'identité d'une personne. Par ailleurs, le contexte actuel est caractérisé par une multiplication du nombre des systèmes de vidéoprotection, permettant en théorie le développement massif de la reconnaissance faciale, avec des risques accrus en matière de protection des données et de vie privée. Enfin, les performances de cette technologie, qui n'a pas encore été mise en œuvre par l'Etat à grande échelle, sont encore à démontrer.
Dès lors, la commission estime que la mise en œuvre, pour le compte de l'Etat, d'un dispositif de reconnaissance faciale aux fins d'authentification des voyageurs et de fluidification des contrôles de police aux frontières extérieures doit être entourée de garanties substantielles de nature à assurer un haut niveau de protection des données des personnes concernées. A cet égard, elle prend acte que le dispositif projeté est entouré des garanties suivantes.
En premier lieu, la commission relève que le fonctionnement de ce nouveau dispositif, qui vise à comparer la photographie contenue dans la puce du passeport biométrique avec plusieurs images du visage prises dans l'enceinte du sas, ne nécessitera pas la constitution d'une base de données centrale. Les images prises dans le sas et le portrait lu à partir du composant sans contact du passeport ne seront en effet pas conservés dans le traitement.
Ce dispositif est ainsi conforme à la position constante de la commission en la matière, qui considère que le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique reposant sur la conservation des données dans un support dont la personne a l'usage exclusif, comme par exemple le passeport biométrique, est de nature à assurer une meilleure protection de la vie privée des personnes que la création d'une base centrale.
En second lieu, cette fonctionnalité sera basée, comme les autres dispositifs biométriques actuellement mis en œuvre dans le cadre de PARAFE, sur le volontariat des voyageurs. Ces derniers auront donc le choix entre un passage par les aubettes classiques et le passage dans les sas PARAFE.
Si la commission prend acte de ces garanties, elle estime qu'il convient de s'assurer en pratique qu'elles encadrent de manière efficace le dispositif et permettent ainsi un haut niveau de protection des données à caractère personnel des voyageurs concernés.
A cet égard, si le ministère a indiqué que ce dispositif serait dans un premier temps mis en œuvre sur trois points de passage frontaliers (l'aéroport de Paris - Charles-de-Gaulle, l'aéroport de Lyon - Saint-Exupéry et la gare de Saint-Pancras International), pour une durée d'un an, la commission relève que le projet de décret offre une base pérenne au traitement PARAFE.
Elle regrette dès lors de ne pas être en mesure d'examiner le traitement à l'issue de cette phase de tests, alors même que ce dispositif aurait utilement été mis en œuvre à titre expérimental au regard des enjeux qu'il soulève. Ainsi, si ces tests, qui ont pour objet de mesurer la fiabilité du système, d'identifier les éventuelles difficultés et d'évaluer le degré d'acceptabilité sociale de cette technologie, conduisent à modifier les conditions de mise en œuvre du recours à la reconnaissance faciale, la commission ne pourra pas se prononcer sur ces modifications et leur conformité au droit à la protection des données.
Néanmoins, la commission prend acte que l'évaluation qui sera réalisée à l'expiration d'un délai de six mois, de même que le rapport qui sera établi au plus tard trois mois avant le terme de cette année de tests, lui seront communiqués.
Elle estime que ces bilans devront comprendre, afin de lui permettre d'évaluer le dispositif du point de vue de la protection des données personnelles, les informations minimales suivantes :


- la fiabilité technique du dispositif (taux de fausses acceptations et taux de faux rejets) ;
- la proportion des scores de comparaison et le nombre de refus d'ouvrir les portes ;
- le nombre de personnes ayant utilisé les sas avec la reconnaissance faciale et sa proportion par rapport au nombre total de voyageurs ayant fait l'objet d'un dispositif biométrique (empreintes digitales et reconnaissance faciale) ;
- les éléments d'acceptabilité par les voyageurs ;
- les difficultés rencontrées, aussi bien techniques qu'humaines ;
- l'éventuelle réévaluation des risques au regard de l'expérimentation et des premiers retours d'expérience ;
- les éventuels retours d'expérience d'autres Etats membres qui auraient mis en œuvre des dispositifs semblables.


Sur les conditions de conservation des données traitées :
Les images recueillies dans le sas seront effacées dès la comparaison effectuée avec l'image numérisée stockée dans le passeport biométrique. De même, seront effacés le portrait lu à partir de la puce du passeport, le nom, le prénom et la date de naissance ainsi que le numéro de passeport et la nationalité de son détenteur.
La commission considère que la suppression de ces données une fois le processus de comparaison des images terminé est conforme aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
En revanche, la commission relève que de nombreuses données, administratives et techniques, seront collectées et conservées à des fins d'analyse statistique des performances des algorithmes de reconnaissance faciale et stockées en local au niveau de chaque sas. Il s'agit de données relatives à la lecture du passeport, aux caractéristiques du passeport (pays émetteur et année d'expiration), à son détenteur (tranche d'âge et sexe), aux dates et lieux de passage, à la qualité respective du portrait de référence et du portrait pris en séance, à la mesure de correspondance entre ces deux images et à l'authenticité des données du passeport. Elles seront transmises, à cette fin d'analyse, au responsable de l'application, en l'espèce le directeur des projets de système d'information à la direction générale des étrangers en France (DGEF).
La technologie de reconnaissance faciale étant sensible à certains éléments extérieurs (vieillissement de la personne, conditions spécifiques de prise de vue du portrait de référence, conditions environnementales, etc.), la commission n'a pas de réserve à ce que ces données soient collectées à la seule fin d'évaluation de la fiabilité de la reconnaissance faciale. Elle prend acte qu'elles ne seront collectées que pendant la phase de test et ne seront pas conservées une fois cette évaluation achevée.
En tout état de cause, s'agissant des modalités de collecte, de stockage et d'exploitation de ces données, la commission rappelle que des mesures permettant de garantir le respect des dispositions de l'article 34 doivent être mises en œuvre. Ces mesures doivent s'appliquer aux copies temporaires de données réalisées à l'occasion de leur collecte dans les sas, à leur transfert par le canal sécurisé du ministère à destination du responsable de l'application, en charge de son pilotage, ainsi qu'à leur stockage et leur accès chez ce dernier.
Sur les modalités d'information des personnes concernées
La commission estime que pour que le principe du volontariat, qui constitue une garantie importante, soit mis en œuvre de manière effective, les voyageurs doivent disposer d'une information claire et précise, notamment sur les choix qui leur sont proposés entre le passage par les aubettes classiques et le passage dans les deux types de sas PARAFE ainsi que sur les modalités de traitement de leurs données selon leur choix.
A cet égard, elle prend acte qu'une campagne de communication sera lancée conjointement par le ministère et les gestionnaires d'aéroports et de gares pour informer les voyageurs de leur possibilité d'utiliser des sas PARAFE dotés de reconnaissance faciale. Cette campagne prendra la forme de brochures, d'affiches et de personnels dédiés à la présentation du dispositif aux voyageurs.
Néanmoins, la commission rappelle que l'ensemble des mentions figurant à l'article 32 de la loi du 6 janvier 1978 modifiée devront être portées à la connaissance des voyageurs.
Elle relève en outre que les deux types de sas ne seront pas contigus et seront distingués par une signalétique appropriée.
La commission estime que ces modalités d'information des voyageurs sont satisfaisantes.
Sur les autres modalités de mise en œuvre du traitement PARAFE
Le projet de décret prévoit qu'un arrêté du ministre de l'intérieur détermine les exigences minimales de l'administration à respecter par les gestionnaires d'infrastructures aéroportuaires, portuaires ou ferroviaires, lors de l'installation de sas utilisant le traitement PARAFE, ce qui n'appelle pas d'observation particulière de la part de la commission.
Si les autres modalités de fonctionnement du dispositif seront inchangées, et notamment l'enregistrement de certaines données dans une base centralisée, elle souhaite néanmoins appeler l'attention du ministère sur les empreintes digitales actuellement conservées dans le système PARAFE.
En effet, la commission a toujours considéré que le traitement, sous une forme automatisée et centralisée, de données telles que les empreintes digitales apparaît problématique du point de vue de la protection des données à caractère personnel, compte tenu à la fois des caractéristiques de l'élément d'identification physique retenu, des usages possibles de ces traitements et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant.
A cet égard, elle relève que de très nombreux ressortissants français disposent dorénavant d'un passeport biométrique et qu'une grande majorité de voyageurs ayant franchi les frontières extérieures par des sas PARAFE en 2014 l'ont d'ailleurs fait sur la base d'empreintes digitales stockées dans leur passeport. De même, la mise en œuvre de ce dispositif de reconnaissance faciale ne donnera pas lieu à la constitution d'une base de données centralisée, dans la mesure où sont uniquement exploitées les données enregistrées dans le composant électronique des passeports.
Dans ces conditions, la commission considère que l'enregistrement de nouvelles données biométriques relatives à des voyageurs disposant d'un passeport biométrique dans la base centrale serait excessif au sens de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
En tout état de cause, elle estime que ces voyageurs devraient être informés, en cas de demande d'inscription préalable au programme PARAFE, qu'un dispositif plus protecteur de leurs données à caractère personnel et de leur vie privée est mis à leur disposition et être invités à l'utiliser.
Elle estime en outre que la conservation, dans cette base centrale, de données relatives à des voyageurs inscrits lors du déploiement initial du système PARAFE mais qui sont éligibles à la fonctionnalité développée en 2010, n'est pas conforme aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Elle invite dès lors le ministère à prendre toute mesure afin d'effacer les empreintes digitales qui appartiendraient à un détenteur de passeport éligible à ce dispositif. En effet, la commission considère que seule la conservation des empreintes digitales des voyageurs ne disposant pas de tels passeports serait conforme aux dispositions de cette loi.