Après avoir entendu Mme Sophie LAMBREMON, commissaire, en son rapport et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet de décret en Conseil d'Etat vise à mettre en place un téléservice pour le dépôt et l'instruction des demandes de certains titres de séjour. A cette fin, il modifie notamment les dispositions relatives au traitement « AGDREF 2 » (appelé aussi « AGDREF » ou encore « AGEDREF ») pour « Application de gestion des dossiers des ressortissants étrangers en France ». Ce traitement, sur lequel la Commission a été amenée à se prononcer à plusieurs reprises, est prévu par les articles L. 611-3 et suivants et R. 611-1 et suivants du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) et a pour finalités de « mieux garantir le droit au séjour des ressortissants étrangers en situation régulière et de lutter contre l'entrée et le séjour irréguliers en France des ressortissants étrangers ». Comportant notamment les empreintes digitales ainsi que la photographie des ressortissants étrangers qui y figurent, il constitue le fichier principal de gestion administrative des étrangers en France et permet la gestion, par les préfectures, des dossiers de ressortissants étrangers, la fabrication des titres de séjour et la gestion des mesures d'éloignement.
La Commission relève que le téléservice projeté s'inscrit dans la continuité de la mise en œuvre du téléservice relatif à la validation du visa de long séjour valant titre de séjour (« VLS-TS »), sur lequel la Commission s'était prononcée par délibération n° 2018-322 du 4 octobre 2018, et doit permettre à l'étranger entré en France avec un visa long séjour, arrivant à la majorité ou sollicitant le renouvellement de son titre de séjour, de bénéficier d'une voie d'accès simplifiée pour sa demande de titre, d'une part et à l'administration d'améliorer la performance des services et d'harmoniser les modalités d'instruction des demandes de titre, d'autre part.
Le projet de décret prévoit d'une part, la modification des finalités du traitement « AGDREF 2 », des destinataires des données ainsi que de la liste des données collectées tels qu'ils sont respectivement prévus aux articles R. 611-1, R. 611-4 et à l'annexe 6-4 du CESEDA. D'autre part, le projet de décret vise à modifier les dispositions relatives aux droits des personnes afin de les mettre en conformité à la réglementation suite à l'entrée en application du nouveau cadre juridique applicable en matière de protection des données personnelles, soit le règlement (UE) 2016/679 du 27 avril 2016 susvisé (ci-après le « RGPD ») et la directive (UE) 2016/680 du 27 avril 2016 susvisée (ci-après « la directive »).
Conformément à l'article L. 611-5 du CESEDA qui prévoit qu'« un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les modalités d'application des articles L. 611-3 et L. 611-4 (…) », et aux dispositions du II de l'article 33 de la loi du 6 janvier 1978 modifiée, la modification de ce traitement est soumise pour avis à la Commission.
Ces modifications appellent les observations suivantes.
Sur le régime juridique applicable au traitement « AGDREF 2 »
Le ministère considère que le traitement « AGDREF 2 » pris dans son ensemble relève uniquement du RGPD. A cet égard, il a précisé que l'application de ce seul régime juridique s'explique par le fait que la finalité principale du fichier consiste à garantir le droit au séjour des ressortissants étrangers, sans préjudice du fait que ce traitement puisse par ailleurs avoir pour objets la prévention, la recherche, la constatation ou la poursuite d'infractions pénales dès lors qu'il sert également à lutter contre l'entrée et le séjour irréguliers.
La Commission relève cependant que si la finalité liée au téléservice projeté relève incontestablement du RGPD, peuvent être enregistrées dans le traitement les données des étrangers faisant l'objet d'une mesure d'éloignement (article R. 611-2, 3° du CESEDA), et que parmi les différentes finalités attribuées au traitement « AGDREF 2 » à l'article R. 611-1 du CESEDA, figure notamment celle d'« améliorer les conditions de vérification de l'authenticité des titres de séjour et celles de l'identité des étrangers en situation irrégulière » (3° de l'article précité). Elle estime dès lors que certaines données personnelles sont collectées et, plus généralement, traitées, non pas pour l'instruction des demandes de titre de séjour mais dans la perspective de leur utilité pour gérer les mesures d'éloignement, et que la lutte contre l'entrée et le séjour irréguliers en France constitue une finalité du traitement.
Dès lors, la Commission estime, d'une part, qu'en l'espèce, la prévention, la recherche et la constatation d'infractions pénales constitue réellement l'une des finalités du traitement, et non un « objet » sans incidence sur son régime juridique (CE, Ass., 19 juillet 2019, n° 424216, Rec.). D'autre part, la direction générale des étrangers en France (DGEF) peut être considérée comme une autorité compétente au sens de l'article 3.7 de la directive puisque qu'elle « élabore la réglementation relative à l'éloignement, la rétention administrative, le travail illégal et la fraude documentaire intéressant les ressortissants étrangers ». La Commission considère par conséquent que le traitement « AGDREF 2 » relève d'un régime mixte, à savoir le RGPD pour la finalité de la garantie du droit au séjour, dans laquelle s'inscrit notamment le téléservice, et la directive pour la finalité de lutte contre l'entrée et le séjour irréguliers en France. Elle estime par conséquent que les dispositions réglementaires devraient faire apparaître ce régime mixte et que l'AIPD devra être mise à jour en conséquence.
Sur la mise en œuvre du téléservice projeté
L'article 2 du projet de décret prévoit l'ajout de la finalité relative à la mise en place du téléservice aux finalités du traitement « AGDREF 2 » prévues à l'article R. 611-1 du CESEDA. La Commission relève que, dans sa rédaction actuelle, ladite finalité relève davantage d'une fonctionnalité du traitement visant à simplifier les démarches administratives au moyen d'un téléservice.
La Commission relève que le téléservice sera accessible pour les étrangers possédant un titre de séjour, un visa de long séjour et, dans un déploiement ultérieur, les bénéficiaires de la protection internationale connus du « SI Asile ».
La Commission prend acte que les étudiants étrangers seront les premiers concernés, pour l'instruction et la délivrance de la carte de séjour temporaire portant la mention "étudiant" et de la carte de séjour pluriannuelle portant la mention “étudiant-programme de mobilité” (articles L. 313-7 et L. 313-27 du CESEDA), par la dématérialisation des procédures de demandes de titres, laquelle sera progressivement élargie, par un arrêté distinct, à l'ensemble des titres visés.
La Commission estime que la simplification des démarches administratives et l'amélioration des relations entre les usagers et l'administration constituent des finalités légitimes, sous réserve que des mesures de sécurité appropriées soient prévues et que les droits des personnes soient respectés. Elle considère que la mise en place de téléservices doit être entourée de moyens permettant de répondre aux besoins d'accompagnement spécifiques des usagers (mise à disposition de matériel informatique, accompagnement par des agents, etc.). Par conséquent, la Commission estime que le ministère doit mettre à disposition des ressortissants étrangers qui ne seraient pas en capacité d'accéder au téléservice des moyens aisément accessibles pour leur garantir un accès véritablement effectif.
A cet égard, la Commission prend acte des modalités prévues par le ministère pour l'assistance d'un usager n'étant pas en mesure d'utiliser le service, à savoir un accueil dans un espace dédié en préfecture pour être accompagné dans le dépôt en ligne de sa demande de séjour, ainsi qu'une assistance téléphonique personnalisée par le centre de contact citoyen de l'Agence Nationale des Titres Sécurisés (ANTS). Sur ce point, la Commission relève que le 2° de l'article 3 du chapitre II du projet de décret prévoit l'accès des agents de l'ANTS, individuellement désignés et spécialement habilités, « aux seules fins d'accompagner les ressortissants étrangers dans leurs démarches en ligne ».
Il est enfin relevé que la personne ayant effectué sa demande de titre en ligne grâce au téléservice envisagé pourra, conformément aux orientations de l'observatoire national des démarches en lignes, donner son « avis » sur le degré de satisfaction lié à l'utilisation du téléservice via un bouton dédié. La Commission prend acte de la précision apportée par le ministère que cette action n'implique pas un traitement de données à caractère personnel.
Compte-tenu de ce qui précède, la Commission estime que la finalité projetée, liée à la simplification des démarches administratives est déterminée, explicite et légitime conformément au b du 1 de l'article 5 du RGPD.
Sur les droits des personnes
Au regard du régime mixte RGPD-Directive auquel est soumis le traitement « AGDREF 2 », dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne pourront pas être exclusivement rattachées soit aux finalités prévues par la directive, soit aux autres finalités du traitement de données, la Commission estime, conformément à l'avis du Conseil d'Etat du sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (CE, Assemblée générale (section de l'intérieur), n° 393836, 7 décembre 2017), qu'il convient que l'acte ayant autorisé le traitement de données à finalités mixtes s'appuie sur l'article 23 du RGPD pour déterminer un régime des droits des personnes concernées cohérent pour l'ensemble des données traitées pour les diverses finalités. Conformément au second paragraphe de cet article 23, les dispositions apportant de telles limitations doivent être précises et ne sauraient prendre la forme d'habilitations générales. Le régime ainsi défini pourra s'appuyer sur le fait que le ministère envisageait de placer le traitement sous le seul régime du RGPD. Si la Commission estime que le traitement relève d'un régime mixte, elle invite cependant le ministère à garder des modalités d'exercice des droits aussi simples et unifiées que possible.
S'agissant en premier lieu du droit à l'information des personnes, l'AIPD précise que les conditions d'utilisation et de confidentialité du téléservice seront rédigées en français et en anglais sur le site web du ministère de l'intérieur. La Commission relève que le ministère a précisé à cet égard que le public auquel le téléservice est destiné séjournant en France depuis plusieurs mois voire depuis plusieurs années, il n'est dès lors pas souhaitable de proposer la traduction du portail dans la langue du pays d'origine.
A cet égard, la Commission considère conformément à la position retenue par le groupe de travail de l'article 29 (G29) et reprise par le Comité européen de la protection des données (CEPD) dans le cadre de ses lignes directrices sur la transparence au sens du règlement (UE) 2016/679 que, compte-tenu de l'élargissement envisagé des demandes de titres pouvant être effectuées via le téléservice et qui aura vocation à être utilisé par un large public incluant des profils divers de nationalité étrangère (visiteurs, réfugiés et bénéficiaires de la protection subsidiaire, apatrides, bénéficiaires du « passeport talent », etc.), l'information délivrée aux utilisateurs du téléservice devrait être proposée en d'autres langues.
La Commission constate que le projet de décret écarte l'application du droit d'opposition conformément à l'article 23 du RGPD et que, d'après l'AIPD, le droit à l'effacement ne s'applique pas conformément aux prévisions du b du 3 de l'article 17 du RGPD ce que le projet de décret devrait explicitement prévoir. La Commission n'a pas d'autre remarque sur les modalités d'exercice des droits prévues par le décret.
Sur les mesures de sécurité
La Commission relève que le ministère a déclaré que le téléservice était conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé (homologation délivrée pour 3 ans par la commission d'homologation du 24 juin 2020) et rappelle que l'attestation d'homologation au RGS doit être publiée sur le site web du ministère de l'intérieur.
Dans ce cadre, elle invite le ministère à consulter les recommandations techniques publiées par l'Agence nationale de sécurité des systèmes d'information (ANSSI) notamment les éléments décrits dans la note technique « recommandations pour la sécurisation des sites web ».
A cet égard, la Commission prend note que les accès au téléservice ainsi que les flux vers l'Office français de l'immigration et de l'intégration (OFII) se font via le protocole HTTPS utilisant une version de TLS à l'état de l'art (TLS 1.2). Elle rappelle toutefois l'importance de maintenir une veille active concernant ce protocole afin de maintenir le niveau de sécurité nécessaire et d'utiliser la version de TLS la plus à jour possible. Par ailleurs, la Commission prend acte de ce que tout transfert de données en pièce jointe sera chiffré. Conformément au RGS, les algorithmes et procédures de gestion de clés utilisés devront respecter l'annexe B1 dudit référentiel. Elle rappelle également que le transfert de données par pièce jointe doit être strictement limité au cas où une solution pérenne permettant notamment d'assurer la traçabilité des échanges n'est pas possible. Enfin, la Commission prend acte que les échanges avec l'OFII auront intégralement lieu sur un réseau privé maitrisé par l'Etat.
Concernant le contrôle des accès logiques, des profils d'habilitation sont prévus par le ministère afin de gérer les accès aux données en tant que de besoin et les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité. La Commission rappelle sur ce point l'importance d'une revue globale et régulière des habilitations attribuées. Elle note que des règles de gestions interdisant l'accès via internet des profils n'en ayant pas le besoin sont mises en place et que le ministère a mis en œuvre une politique de mot de passe pour les usagers et les agents conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe. Enfin, une migration vers une authentification forte, via carte agent, est prévue. Compte tenu de la sensibilité de certaines données traitées dans « AGDREF 2 », du nombre et de la diversité des destinataires du traitement, cette évolution vers un niveau d'authentification plus élevé est particulièrement pertinente.
Concernant la journalisation, la Commission note que le ministère a maintenu les mesures de traçabilité applicative des accès, créations, modifications et suppressions de ressources demandées par la Commission dans sa délibération n° 2011-036 du 10 février 2011 et que la durée de conservation de celle-ci, de 3 ans, conformément à la délibération précitée, n'est pas modifiée. La Commission rappelle à cet égard l'importance de garantir des modalités précises d'accès à ces données de journalisation, lequel doit être réservé aux personnels habilités à les exploiter ainsi que des modalités techniques visant à assurer la confidentialité de ces informations.
Au regard des risques accrus d'attaques informatiques s'agissant d'un site web accessible au public, la Commission rappelle qu'il est possible de compléter cette journalisation applicative par une journalisation système et un mécanisme d'alerte automatique en cas de détection d'incident. La durée de conservation recommandée de ces données de journalisation système serait alors de six mois maximum.
Pour conclure sur la journalisation, si la Commission regrette l'absence actuelle de dispositif d'analyse automatisé des traces, elle encourage le ministère dans son souhait de se doter d'un tel dispositif. En effet, de tels mécanismes proactifs contribuent à la détection rapide des incidents de sécurité en limitant ainsi leur gravité.
Concernant l'anonymisation de données, la Commission relève que le ministère indique prévoir la mise en place d'un module d'analyse de données travaillant sur des données à caractère non personnel pour une exploitation statistique. La Commission s'interroge toutefois sur le caractère effectif de l'anonymisation au regard des précisions apportées par le ministère. Elle rappelle dès lors l'importance de réaliser une revue du caractère anonyme des données, soit en effectuant une analyse permettant de démontrer que les processus d'anonymisation respectent les trois critères définis par l'avis du groupe de l'article 29 n° 05/2014, soit si ces trois critères ne peuvent pas être réunis, en menant une étude des risques de ré-identification.
Enfin, sur l'évaluation des risques fournie dans l'AIPD, la Commission prend note de ce que le ministère considère que la gravité des risques liés à la modification non désirée ou à une perte de données est réduite car l'usager a la faculté d'avoir un accès direct à son dossier. En dépit de cette possibilité offerte aux usagers, la Commission souligne l'importance pour les usagers de pouvoir télécharger et conserver, en dehors de leur espace numérique, une copie des différents documents attestant de la demande en cours.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement apparaissent conformes à l'exigence de sécurité prévue par l'article 4-6 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.