Après avoir entendu M. Bertrand du MARAIS, commissaire, en son rapport, et M. Benjamin TOUZANNE commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie pour avis par le ministre de l'intérieur d'un projet de décret en Conseil d'Etat portant diverses dispositions relatives au traitement automatisé de données à caractère personnel dénommé « Passage Automatisé Rapide Aux Frontières Extérieures » (PARAFE).
Le dispositif PARAFE, mis en œuvre par le ministère de l'intérieur et encadré par les articles R. 232-6 à R. 232-11-2 du code de la sécurité intérieure (CSI), est destiné à améliorer et faciliter les contrôles de police aux frontières extérieures. Les voyageurs aériens, maritimes et ferroviaires, éligibles au dispositif et disposant d'un document de voyage comportant des données biométriques, peuvent volontairement emprunter un sas PARAFE. Le contrôle aux frontières est alors réalisé au moyen d'une authentification biométrique du voyageur via le traitement de ses empreintes digitales ou de son image faciale.
La Commission considère que le traitement PARAFE, qui a pour finalité de fluidifier les contrôles de police aux frontières extérieures, relève du champ d'application du règlement (UE) 2016/679 du 27 avril 2016 susvisé (ci-après RGPD). Dans la mesure où il est mis en œuvre pour le compte de l'Etat, agissant dans l'exercice de ses prérogatives de puissance publique, et qu'il porte sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes, sa modification doit faire l'objet d'un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission, conformément aux articles 32 et 33 de la loi du 6 janvier 1978 modifiée.
La Commission relève que les modifications envisagées par le présent projet de décret visent à modifier les articles R. 232-6 à R. 232-8 du CSI afin notamment de :
- supprimer le processus d'inscription au programme PARAFE au moyen d'un enregistrement préalable des voyageurs et de leurs empreintes digitales au sein d'une base de données centralisée et donc supprimer le recours à une telle base de données centralisée ;
- élargir le public éligible au dispositif des sas PARAFE ;
- introduire la possibilité pour le ministre de l'intérieur de suspendre, en cas de menace pour l'ordre public ou la sûreté de l'Etat, la mise en œuvre du traitement à l'égard de l'une ou de plusieurs des nationalités éligibles.
Ces modifications appellent les observations suivantes.
Sur la suppression du processus d'inscription
La Commission prend acte de la suppression du processus d'inscription et salue ainsi le fait que la base centrale de données correspondante comprenant les empreintes digitales ait été intégralement purgée à la date du 2 avril 2020. En effet, comme la Commission l'a rappelé dans de nombreuses délibérations et notamment ses précédents avis sur les conditions de mise en œuvre de ce traitement ainsi que sur les garanties substantielles qui doivent entourer le dispositif « PARAFE » afin d'assurer un haut niveau de protection des données des personnes concernées, le traitement de données biométriques telles que les empreintes digitales, sous une forme automatisée et centralisée, engendre davantage de risques du point de vue de la protection des données à caractère personnel, compte tenu à la fois des caractéristiques de l'élément d'identification physique retenu, des usages possibles de ces traitements et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant.
Toutefois, elle relève que la suppression du processus d'inscription rend désormais inéligibles au dispositif PARAFE les personnes ressortissantes d'un pays tiers et détentrices d'une carte de séjour de membre de la famille d'un citoyen de l'Union européenne (UE) prévue par la directive n° 2004/38/CE. En effet, selon le ministère, la suppression du processus d'inscription entraîne le besoin de contrôler leurs documents de résidence, contrôle qui était réalisé auparavant lors de leur inscription.
Sur les catégories de données
En premier lieu, l'article 2 du projet de décret prévoit de réécrire l'article R. 232-7 du CSI qui énumère les différentes catégories de données à caractère personnel traitées à des fins d'authentification biométrique ainsi que l'article R.232-11 du même code relatif aux données collectées pour que les porteurs d'un document de voyage comportant des données biométriques puissent bénéficier du dispositif sans inscription préalable.
D'une part, aux termes de la nouvelle rédaction de l'article R. 232-7, pour les citoyens de l'UE, les ressortissants d'un autre Etat partie à l'accord sur l'Espace économique européen, de la Confédération suisse et les ressortissants monégasques, andorrans ou saint-marinais, les données traitées sont les suivantes :
- les minuties des empreintes digitales de deux doigts posés à plat du porteur du document de voyage ou l'image numérisée du visage du porteur du document de voyage prise lors du passage dans le sas ;
- le nom, le prénom, la date de naissance et la nationalité de l'intéressé, le numéro et la limite de validité du document de voyage.
D'autre part, le bénéfice du dispositif est élargi aux ressortissants américains, australiens, canadiens, sud-coréens, japonais, néo-zélandais et singapouriens, ainsi que, le cas échéant, britanniques, dont les données traitées sont les suivantes :
- l'image numérisée du visage du porteur du document de voyage prise lors du passage dans le sas ;
- le nom, le prénom, la date de naissance et la nationalité de l'intéressé, le numéro et la limite de validité du document de voyage.
En second lieu, l'article 2 du projet de décret prévoit de modifier l'article R. 232-7 afin d'indiquer que le passage dans le sas fait l'objet d'un dispositif de vidéosurveillance. Les images captées à l'intérieur du sas via une caméra zénithale positionnée au-dessus du sas sont transmises en temps réel au poste de contrôle.
La Commission relève que ce traitement de vidéosurveillance existe déjà et permet aux garde-frontières, qui supervisent plusieurs sas à la fois, d'effectuer dans de bonnes conditions leur mission de contrôle des frontières, en s'assurant du bon fonctionnement des sas, du respect des règles d'utilisation de ceux-ci, de l'unicité du franchissement de la frontière et, le cas échéant, en détectant d'éventuels comportements suspects tels que la soustraction à des vérifications aux frontières.
La Commission estime que, dans la mesure où il s'agit d'un flux vidéo direct entre le sas de contrôle et le centre de supervision visant à permettre une meilleure visibilité du sas en temps réel pour les garde-frontières, celui-ci complète le traitement PARAFE et s'inscrit dans le cadre de la finalité d'amélioration et de facilitation des contrôles de police aux frontières extérieures poursuivie par ce dernier.
Par ailleurs, la Commission prend acte du fait que le périmètre de surveillance de cet outil est strictement limité au sas en question et que ces images ne sont à aucun moment conservées. Elle rappelle l'importance de délivrer aux personnes concernées une information complète sur les conditions générales de mise en œuvre du dispositif, y compris le flux de vidéosurveillance. Elle prend acte que la page dédiée au dispositif PARAFE du site web du ministère de l'intérieur sera modifiée afin de mentionner ce flux vidéo.
Sur les durées de conservation des données
L'article 3 du projet décret prévoit de modifier l'article R. 232-8 du CSI afin d'indiquer que les données à caractère personnel mentionnées au I de l'article R. 232-7 du même code sont traitées à la seule fin de permettre l'authentification biométrique du voyageur et la consultation prévue à l'article R. 232-9, à savoir la consultation du fichier des personnes recherchées, du système d'information Schengen et du fichier des documents de voyage volés et perdus d'Interpol, et ce afin de permettre le contrôle aux frontières.
Le projet d'article R. 232-8 du CSI précise que ces données « ne sont pas conservées à l'issue du traitement ». Selon le ministère, la durée de conservation de ces données, dépendante des modalités d'utilisation du sas, est généralement inférieure à la minute. La Commission estime cette durée adéquate mais, pour plus de clarté, invite le ministère à modifier la formule du décret pour indiquer explicitement que les données « ne sont pas conservées après que le voyageur a quitté le sas ». Elle prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.
Sur les droits des personnes concernées
Aux termes de l'article R. 232-10 du CSI en vigueur, les droits d'information, d'accès, de rectification, à la limitation et d'opposition prévus aux articles 13, 15, 16, 18 et 21 du RGPD s'exercent auprès du chef du service de la police aux frontières ou des douanes des aéroports, ports maritimes et gares ferroviaires concernés soit par écrit, soit directement auprès du poste d'inscription. Dans le prolongement de la suppression du processus d'inscription, l'article 5 du projet de décret prévoit de modifier cet article afin de supprimer la précision selon laquelle de tels droits s'exercent « soit par écrit, soit directement auprès du poste d'inscription ».
S'agissant plus particulièrement des droits d'information, la Commission relève que les personnes disposent de trois sources principales d'information sur le dispositif PARAFE : l'affichage sur site, à la charge du gestionnaire et validé par le ministère, les agents de prévenance chargés d'orienter les voyageurs ainsi que le site web du ministère.
En premier lieu, en ce qui concerne la page dédiée au dispositif PARAFE sur le site web du ministère, la Commission relève qu'une version anglaise est prévue à terme. Par ailleurs, elle prend acte des engagements du ministère à poursuivre l'accroissement de la visibilité du dispositif PARAFE, notamment à travers la publication en ligne d'une fiche spécifique PARAFE sur le site service-public.fr, l'intégration d'informations sur le dispositif à d'autres fiches et la possibilité de mise en ligne d'un court film de présentation.
En deuxième lieu, concernant les langues dans lesquelles l'information des voyageurs est assurée, et conformément à la position retenue par le groupe de travail de l'article 29 (G29) et reprise par le Comité européen de la protection des données (CEPD) dans le cadre de ses lignes directrices sur la transparence au sens du règlement (UE) 2016/679 la Commission considère que, compte-tenu de l'élargissement envisagé des nationalités éligibles au dispositif PARAFE, l'information délivrée aux voyageurs devrait être proposée en d'autres langues.
En dernier lieu, s'agissant plus particulièrement des personnes mineures, la Commission prend acte du fait que l'ensemble des sites équipés de sas disposent a minima de panneaux de signalétique concernant l'âge minimum de 12 ans nécessaire pour emprunter les sas aux arrivées. Elle relève que les gestionnaires d'infrastructures sont incités par le ministère à produire des communications spécifiques à l'attention des personnes mineures validées par ce dernier. Elle relève en outre que le ministère mène actuellement des travaux visant à mettre à disposition de l'ensemble de ces gestionnaires une vidéo de présentation reprenant les conditions d'éligibilité.
La Commission rappelle que le considérant 38 du RGPD précise que les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel, car ces derniers peuvent être moins conscients des risques et de leurs droits liés au traitement des données à caractère personnel. Aussi, elle recommande au ministère de prévoir des mesures particulières en ce qui concerne les personnes mineures, entre 12 et 18 ans, et ce, afin de leur délivrer une information selon des modalités adaptées, notamment au regard de la sensibilité des dispositifs de reconnaissance biométrique mis en œuvre. Elle prend acte de l'engagement du ministère de prévoir des mesures particulières d'information adaptées aux personnes mineures entre 12 et 18 ans, en complément des dispositifs existants.
Sur les autres conditions de mise en œuvre du traitement
Sur la possibilité de recourir aux sas à empreintes digitales sans enregistrement préalable
En parallèle de la suppression du processus d'inscription prévoyant un enregistrement préalable des voyageurs et de leurs empreintes digitales au sein d'une base de données centralisée, l'utilisation de sas à reconnaissance faciale est venue se substituer à celle des sas à empreintes digitales.
Si, dans les faits, les sas à empreintes digitales sans enregistrement préalable ne sont plus utilisés aujourd'hui, le ministère souhaite conserver la possibilité de les utiliser. Ce faisant, le ministère souhaite laisser le choix aux gestionnaires des infrastructures de recourir à la technologie faciale ou la technologie digitale.
La Commission relève que ces sas à empreintes digitales sans enregistrement préalables ne pourraient alors être utilisés que par ce que le ministère qualifie « d'ancien public éligible », à savoir les personnes majeures ou mineurs âgées de douze ans révolus, citoyens de l'UE ou ressortissants d'un autre Etat partie à l'accord sur l'Espace économique européen ou de la Confédération suisse ou ressortissants monégasques ou andorrans ou saint-marinais.
En l'absence d'enregistrement préalable, le « nouveau public éligible », composé des ressortissants d'Australie, du Canada, de la Corée du sud, des Etats-Unis, du Japon, de la Nouvelle-Zélande, du Royaume-Uni et de Singapour, ne pourra utiliser que les sas à reconnaissance faciale.
La Commission prend acte des explications du ministère, selon lesquelles le caractère limité du public susceptible de pouvoir utiliser les sas à empreintes digitales sans enregistrement préalable s'explique par le fait que l'accès aux empreintes sans enrôlement est autorisé à ce jour par une connexion au système IS géré par l'ANTS qui ne contient à ce jour que 5 pays de l'UE (Allemagne, Belgique, France, Luxembourg et Pays Bas). Selon le ministère, il n'est pas prévu d'y connecter des pays hors de l'UE.
La Commission appelle l'attention du ministère sur la nécessité d'assurer une information claire et adaptée afin d'informer aux mieux les voyageurs sur leur situation d'éligibilité ou d'inéligibilité aux deux types de sas.
Sur les mesures de sécurité
Les mesures de sécurité principales mises en œuvre pour ce traitement ne sont pas modifiées et restent cohérentes au vu de la réévaluation des risques soulevés par le traitement mis à jour.
Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que besoin. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité. La Commission rappelle cependant l'importance d'une revue globale des habilitations attribuées soit opérée régulièrement, par exemple annuellement.
La Commission prend acte que du fait qu'aucune donnée ne soit finalement conservée, le chiffrement des disques pouvant contenir des données, initialement prévu pour 2020, n'a pas été mis en œuvre.
Les audits font partis des mesures permettant la mise à jour régulière des risques et des mesures mises en œuvre. Dans ce cadre, la Commission prend acte que des audits réguliers ont lieu depuis la création du dispositif et que, bien que la crise sanitaire ait négativement impacté le calendrier prévu, une nouvelle série d'audits est en cours. Elle rappelle la nécessaire mise à jour de l'AIPD et de ses mesures en fonction des conclusions de ceux-ci.
Concernant la journalisation, le traitement comprend différents types de traces. Les journaux systèmes ayant pour objet de détecter les évènements inattendus au niveau du sas sont conservés 1 mois, les traces de supervision permettant, avec les données de traçabilités de CHEOPS (Circulation Hiérarchisée des Enregistrements Opérationnels de la Police Sécurisés), de journaliser les actions des agents sont conservées 2 ans, enfin, les traces au niveau du central PARAFE correspondant aux actions liées au passage et à leur résultat sont conservées 2 ans.
La Commission rappelle que le traitement des traces de supervision a principalement pour finalité la détection et la prévention d'opérations illégitimes sur les données principales. Ainsi, a priori, dans ce cas une durée de conservation des journaux de six mois devrait être suffisante pour exploiter ces informations, dès lors que des mécanismes d'analyse proactive automatique ou semi-automatique des traces, ainsi que certaines mesures organisationnelles, permettraient de repérer la plupart des comportements illicites.
Enfin, concernant les traces au niveau du central PARAFE, la Commission prend acte que le ministère a pris soin de minimiser les données collectées. Celles-ci ne sont pas conservées à des fins de sécurité mais pour les traces techniques à des fins d'évaluation et d'amélioration du dispositif ou, pour les traces fonctionnelles anonymisées, à des fins statistiques.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement semblent conformes à l'exigence de sécurité prévue par les articles 5.1.f et 32 du RGPD.
Sur la possibilité pour le ministre de l'intérieur de suspendre l'utilisation des sas PARAFE à l'égard d'une ou de plusieurs nationalités
L'article 6 du projet de décret prévoit de modifier l'article R. 232-11 du CSI afin de permettre au ministre de l'intérieur de suspendre par arrêté l'utilisation des sas PARAFE à l'égard de l'une ou de plusieurs des nationalités mentionnées à l'article R.232-6 du même code, en cas de menace pour l'ordre public ou la sûreté de l'État.
Selon le ministère, une telle suspension ne peut s'exécuter que dans le cadre de circonstances particulières, à l'instar d'une crise sanitaire, nécessitant des vérifications complémentaires par un garde-frontières, ou encore en cas de détérioration des relations économiques et diplomatiques ou d'augmentation des risques migratoires, infectieux et sécuritaires.
La Commission prend acte des différentes mesures prévues par le ministère pour assurer l'information des voyageurs concernés : en cas de suspension visant une ou plusieurs nationalités éligibles, le ministère prévoit de mettre à jour la liste des nationalités éligibles sur la page dédiée au dispositif PARAFE de son site web. Par ailleurs, il prévoit une signalétique au moyen d'affiches positionnées en amont des sas. Enfin, des agents de prévenance, formés et informés, seront présents en amont des sas afin d'assurer l'orientation des voyageurs. La Commission prend acte que l'information sera assurée en français, ainsi que, dans la mesure du possible, en anglais.
Dans l'hypothèse du franchissement, ou d'une tentative de franchissement, d'un sas par un voyageur concerné par une telle mesure de suspension, la Commission relève que le document de voyage de ce dernier, considéré comme incompatible, ne déclenche pas l'ouverture des portes et que le voyeur est redirigé vers une aubette. La Commission prend acte qu'aucun criblage de bases de signalement n'est réalisé et qu'aucune donnée n'est collectée, à l'exception, à des fins statistiques, de celle relative au fait qu'un document de voyage non éligible, sans aucune autre information propre à ce document, ait été présenté.
Sur les accédants et les destinataires
L'article 4 du projet de décret prévoit de modifier l'article R. 232-9 du CSI afin d'ajouter que les agents de la police aux frontières et des douanes, individuellement désignés et spécialement habilités par leur chef de service, pour les besoins des contrôles dont ils sont chargés dans les aéroports, ports maritimes et gares ferroviaires concernés peuvent visionner les images transmises conformément au II de l'article R. 232-7, à savoir le flux vidéo de vidéosurveillance. Cette modification de l'article R. 232-9 du CSI n'appelle pas d'observation de la Commission.