(Demande d'avis no 08022843)
La Commission nationale de l'informatique et des libertés,
Saisie conjointement par le ministère des affaires étrangères et européennes et le ministère de l'immigration,
de l'intégration, de l'identité nationale et du développement solidaire d'une demande d'avis portant sur le
projet de décret modifiant les articles R. 611-10 et R. 611-13 du code de l'entrée et du séjour des étrangers et
du droit d'asile dans le but de pouvoir confier à des prestataires agréés le recueil des données biométriques des
demandeurs de visa ;
Vu la convention no 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à
l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive no 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données ;
Vu le règlement (CE) no 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le
système d'information sur les visas (VIS) et l'échange de données entre les Etats membres sur les visas de
court séjour (règlement VIS) ;
Vu le règlement (CE) no 390/2009 du Parlement européen et du Conseil du 23 avril 2009 modifiant les
instructions consulaires communes concernant les visas adressées aux représentations diplomatiques et
consulaires de carrière, en liaison avec l'introduction d'identifiants biométriques et de dispositions relatives à
l'organisation de la réception et du traitement des demandes de visa ;
Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment son article L. 611-6 ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi
no 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de
données à caractère personnel, et notamment son article 27 ;
Vu le décret no 2005-1309 du 20 octobre 2005 pris pour l'application de la loi no 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi no 2004-801 du 6 août 2004 ;
Vu le décret no 2007-1560 du 2 novembre 2007 portant création d'un traitement automatisé de données à
caractère personnel relatives aux étrangers sollicitant la délivrance d'un visa pris pour l'application de
l'article L. 611-6 du code de l'entrée et du séjour des étrangers et du droit d'asile et modifiant la partie
réglementaire de ce code ;
Vu l'arrêté du 22 août 2001 modifié portant création d'un traitement informatisé d'informations nominatives
relatif à la délivrance des visas dans les postes diplomatiques et consulaires (RMV 2) ;
Vu la délibération no 2007-195 du 10 juillet 2007 portant avis sur le projet de décret pris pour l'application
de l'article L. 611-6 du code de l'entrée et du séjour des étrangers et du droit d'asile, portant création d'un
traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la
délivrance d'un visa et modifiant la partie réglementaire de ce même code ;
Après avoir entendu M. Sébastien Huyghe, commissaire, en son rapport, et Mme Elisabeth Rolin,
commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie conjointement par le ministère des affaires étrangères et européennes et le
ministère de l'immigration, de l'intégration, de l'identité nationale et du développement solidaire d'une
demande d'avis relative à un projet de décret en Conseil d'Etat modifiant les articles R. 611-10 et R. 611-1 l du
code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA), dans le but de pouvoir confier à des
prestataires agréés le recueil des données biométriques des demandeurs de visa.
L'article R. 611-10 du CESEDA dispose des modalités de collecte des données à caractère personnel
relatives aux demandeurs de visa enregistrées dans le traitement VISABIO, autorisé par le décret du
2 novembre 2007 pris après l'avis de la CNIL en date du 10 juillet 2007. La modification projetée par les
ministères dudit article consiste à permettre, à titre expérimental et pour une durée d'un an, l'externalisation
vers des prestataires extérieurs de la collecte des éléments biométriques des personnes déposant une demande
de visa auprès de trois consulats généraux de France (Alger, Istanbul et Londres).
Le projet de décret prévoit également de modifier l'article R. 611-133 du CESEDA afin de prendre
pleinement en compte les compétences du ministère chargé de l'immigration. Ainsi, les droits d'accès et de
rectification des personnes aux données qui les concernent, prévus par les articles 39 et 40 de la loi du
6 janvier 1978 modifiée, ne s'exerceront plus auprès du ministère de l'intérieur (direction centrale de la police
aux frontières), mais auprès du ministère de l'immigration (direction de l'immigration).
Le traitement VISABIO enregistre les données à caractère personnel des ressortissants étrangers qui
sollicitent la demande d'un visa auprès des autorités françaises, et notamment les empreintes digitales de leurs
dix doigts et leur photographie numérisée, ainsi que des éléments alphanumériques d'identification de ces
personnes et des données relatives à leur titre de voyage et au visa délivré, qui sont communiquées
automatiquement par le traitement RMV 2 (Réseau mondial visas), conformément à l'article R. 611-9 du
CESEDA.
Les données sont accessibles aux agents du ministère des affaires étrangères et du ministère chargé de
l'immigration qui participent à l'instruction des demandes de visa, aux services en charge du contrôle aux
frontières, aux officiers de police judiciaire pour des missions de vérification d'identité prévues par l'article 78-3
du code de procédure pénale, ainsi qu'aux agents chargés de la lutte antiterroriste jusqu'au 31 décembre 2012.
En outre, les données enregistrées dans le traitement VISABIO sont accessibles aux agents des préfectures
compétents pour la délivrance ou la prorogation des visas, ainsi qu'aux officiers de police judiciaire des
services de police et de gendarmerie nationales, pour des missions de contrôle de l'authenticité des visas et de
régularité du séjour, à l'exclusion des données biométriques.
La commission observe que si le traitement VISABIO a été créé en application de l'article L. 611-6 du
CESEDA il intervient clans le domaine de la délivrance des visas qui relève de la pleine compétence
communautaire, au moins en ce qui concerne les visas de court séjour (représentant actuellement 95 % du total
des visas). Dès lors, les mesures prises par les autorités françaises doivent être pleinement compatibles avec le
droit communautaire en vigueur en ce domaine, et en particulier avec les règlements du 9 juillet 2008 relatif au
système d'information sur les visas (VIS) et du 23 avril 2009 modifiant les instructions consulaires communes
(ICC).
La commission relève en outre que les ministères concernés envisagent également de permettre le recours à
des prestataires extérieurs pour la collecte des données alphanumériques enregistrées dans le traitement RMV 2,
et qu'elle e été saisie pour avis d'un projet d'arrêté modifiant l'arrêté du 22 août 2001 susvisé, afin notamment
de permettre cette externalisation.
Sur la possibilité de recourir à titre expérimental à des prestataires extérieurs :
A titre liminaire, la commission rappelle que le recours à des prestataires de service chargés de la collecte
des identifiants biométriques enregistrés dans le traitement VISABIO avait été envisagé par le gouvernement
dès 2007, dans le cadre du projet de décret portant création dudit système. Elle relève que cette possibilité avait
finalement été supprimée du projet, notamment à la suite des réserves exprimées par la CNIL.
Au-delà de la question de savoir si l'activité de collecte des données personnelles des demandeurs de visa
relève ou non de l'exercice d'une prérogative exclusive de puissance publique qui ne peut être déléguée, la
commission considère que l'intervention d'un prestataire extérieur dans le processus de collecte des données
induit un risque de compromission de l'intégrité du processus de délivrance des visas. Il s'agit notamment du
niveau de fiabilité et de sécurité de ce processus, ainsi que des garanties entourant la protection des données
personnelles relatives aux demandeurs de visa. La commission relève à cet égard que des garanties d'ordre
contractuel risquent d'être insuffisantes s'agissant de prestataires étrangers relevant de la souveraineté de leur
Etat d'implantation. Or, il convient de relever que le Gouvernement a précisément considéré comme essentiel
le renforcement du niveau de sécurité du processus de délivrance des visas, en y introduisant des identifiants
biométriques.
En ce qui concerne en particulier les données biométriques des personnes concernées, compte tenu à la fois
des caractéristiques de ces éléments d'identification, des usages possibles de ces données par les prestataires de
service ainsi que par les autorités locales, et des risques d'atteinte graves à la vie privée et aux libertés
individuelles en résultant, la commission exprime donc de sérieuses réserves sur la possibilité de recourir à des
prestataires extérieurs pour collecter les identifiants des demandeurs de visa.
Elle estime dès lors que l'expérimentation envisagée par le Gouvernement devra permettre d'apprécier
précisément si les mesures prises pour assurer le contrôle de l'activité des prestataires garantissent ou non la
confidentialité des données traitées, et évitent en particulier tout risque de divulgation et d'utilisation détournée
de celles-ci. En tout état de cause, la commission considère, au regard notamment de la nature sensible des
données collectées, qu'une évaluation précise est nécessaire avant de pouvoir envisager une éventuelle
extension du dispositif à d'autres consulats.
A cet égard, la commission relève que les ministères concernés ont prévu que l'expérimentation envisagée
ferait l'objet d'une évaluation. Elle prend acte de ce que, à sa demande, et afin de tirer tout le parti possible de
cette démarche progressive, le projet de décret prévoit expressément que cette évaluation sera effectuée, et
qu'elle donnera lieu à un rapport communiqué à la commission nationale de l'informatique et des libertés, à
l'égal de ce qui est prévu par l'article R. 611-15 du CESEDA en ce qui concerne le traitement VISABIO.
Elle appelle donc l'attention du Gouvernement sur la nécessité de disposer d'une évaluation fondée sur une
étude indépendante, globale et reposant sur des critères et des objectifs bien identifiés, de façon à connaître les
avantages et les inconvénients précis qui auraient été retirés du recours à des prestataires extérieurs, par
comparaison notamment aux autres dispositifs prévus par le droit communautaire, tout particulièrement sur le
plan de la protection des droits des intéressés. Cette évaluation pourrait par exemple contenir des éléments
statistiques (sur les taux de refus de visa, sur les populations concernées par le dispositif, etc.), un bilan des
contrôles effectués, de leur fréquence et de leurs résultats, un bilan des éventuels dysfonctionnements
rencontrés, ainsi qu'une enquête de satisfaction effectuée auprès des étrangers concernés, qui pourrait porter
notamment sur l'aspect relatif à l'éloignement géographique du consulat dont ils relèvent.
Sur les modalités des expérimentations envisagées :
Le ministère des affaires étrangères et le ministère chargé de l'immigration envisagent de permettre, à titre
expérimental et pour une durée d'un an, le recours à des prestataires agréés pour collecter les identifiants
biométriques des ressortissants étrangers déposant une demande de visa auprès des consulats généraux d'Alger,
de Londres et d'Istanbul, qui reçoivent de très nombreuses demandes de visa. En outre, une antenne locale
devrait être installée à Izmir, afin de procéder à la collecte des données relatives aux demandeurs de visa
éloignés des deux postes consulaires français en Turquie. Les prestataires choisis par les autorités consulaires
compétentes seraient soumis à une procédure d'agrément par une commission interministérielle dédiée et
s'engageraient à respecter un cahier des charges très précis.
La commission estime que les modalités précises des expérimentations envisagées doivent être accompagnées
de garanties particulières, de nature à assurer un très haut niveau de sécurité. A cet égard, elle relève que le
règlement du 23 avril 2009 prévoit explicitement que le prestataire de service extérieur doit appliquer « des
normes de protection des données au moins équivalentes à celles qui figurent dans la directive 95/46/CE ».
Elle observe également que si le droit communautaire autorise, en application du règlement (CE) no 390/2009
du 23 avril 2009, le recours à des prestataires de service pour organiser la réception et le traitement des
demandes de visa, et notamment la collecte des identifiants biométriques des demandeurs de visa enregistrés
dans le système européen VIS, il en limite la possibilité. Ainsi, ledit règlement dispose que « dans des
circonstances particulières ou pour des raisons liées à la situation locale » et « lorsque les formes de
coopération susvisées [représentation limitée par un autre Etat membre, colocation des représentations
diplomatiques et établissement d'un centre commun de dépôt des demandes] s'avèrent inappropriées pour les
Etats membres concernés, un Etat membre peut, en dernier ressort, coopérer avec un prestataire de services
extérieur ».
A cet égard, la commission relève que le Gouvernement envisage de permettre à titre expérimental cette
possibilité, afin de répondre a l'inadaptation de certains locaux consulaires à l'accueil de la totalité des
demandeurs de visa, désormais soumis à une comparution personnelle obligatoire, d'une part, et de répondre
aux difficultés rencontrées dans les pays de grande superficie pour les demandeurs de visa domiciliés dans les
localités éloignées du consulat dont ils relèvent, d'autre part. La commission prend acte de ces finalités, qui
apparaissent conformes aux situations locales mentionnées dans les ICC.
Les ministères concernés ont indiqué que des difficultés juridiques et pratiques ne permettent pas de faire
bénéficier les locaux de ces prestataires de la protection diplomatique ou consulaire définie par les conventions
de Vienne du 18 avril 1961 et du 23 avril 1963, comme l'a souligné par exemple le service juridique du
Conseil de l'UE. La commission relève en outre que le droit communautaire n'a prévu aucune obligation en la
matière. En revanche, elle ne peut que renouveler sur ce point ses remarques sur le caractère insuffisant de
garanties d'ordre contractuel.
Par ailleurs, dans la mesure où les consulats concernés par cette expérimentation sont situés dans de grandes
métropoles, dans lesquelles de nombreux Etats membres de l'Union européenne disposent également de postes
consulaires, la commission relève que ces consulats apparaissent propices à l'expérimentation d'une autre
modalité d'organisation des services de délivrance des visas mentionnée dans les ICC, à savoir l'établissement
de centres communs de traitement des demandes de visa.
En outre, elle rappelle que l'article R. 611-10 du CESEDA prévoit déjà que les données enregistrées dans le
traitement peuvent être collectées par les chancelleries consulaires et les consulats des Etats membres de
l'Union européenne, à la condition que la collecte présente un niveau de protection et des garanties équivalents
à ceux du droit interne. Elle rappelle également que le droit communautaire prévoit explicitement que le
recours à des prestataires extérieurs ne peut avoir lieu qu'en dernier ressort, et lorsque les autres formes de
coopération entre Etats membres s'avèrent inappropriées.
A cet égard, la commission relève que les ministères concernés semblent prendre en considération ces
solutions alternatives de collecte des données biométriques, dans la mesure où une coopération consulaire avec
l'Allemagne a été par exemple envisagée à Alger, afin d'éviter de recourir à l'externalisation dans cette
circonscription consulaire, avant d'être abandonnée du fait de difficultés matérielles. Elle invite donc le
Gouvernement à poursuivre ses travaux dans ce sens, avant d'envisager, « en dernier ressort » conformément
au règlement du 23 avril 2009, une éventuelle généralisation du recours à des prestataires extérieurs pour
collecter les données biométriques des demandeurs de visa.
Sur les sécurités techniques du dispositif :
La commission estime que les sécurités techniques prévues par les ministères concernés, et notamment les
mesures envisagées pour contrôler l'accès et l'utilisation des postes BIONET par les personnels du prestataire
agréé, les mesures de sécurisation des transmissions de données entre les prestataires et le serveur central
hébergé au ministère des affaires étrangères, comme la communication par des canaux différents des données
biométriques et des données alphanumériques des demandeurs de visa, ainsi que les mesures de sécurité
appliquées au serveur central BIONET, sont globalement satisfaisantes. Elle relève que le Gouvernement a
majoritairement suivi les recommandations de la DCSSI relatives à l'amélioration du dispositif initialement
envisagé.
La commission observe cependant que la gestion des secrets utilisés par l'application BIONET pourrait être
améliorée, dans la mesure où il subsiste un risque de récupération des clés de cryptage permettant de déchiffrer
les données biométriques stockées sur les postes BIONET. Elle recommande donc d'utiliser un chiffrement à
clé publique en lieu et place du chiffrement symétrique retenu dans la solution présentée. A cet égard, elle
prend acte de ce que le Gouvernement entend procéder à des analyses techniques complémentaires sur ce point,
et de ce que la commission sera informée des suites qui seront données à cette recommandation.
La commission prend également acte de ce que les ministères concernés ont prévu une véritable politique de
contrôle des prestataires agréés, dont les principales mesures sont introduites dans le cahier des charges que le
prestataire s'engage à respecter lors de la signature de l'agrément par le chef de poste consulaire concerné. Elle
s'interroge néanmoins sur le risque que de tels contrôles se heurtent à des textes ou des jurisprudences relevant
de la souveraineté des Etats en cause.
Ces mesures consistent notamment en la mise en place d'une cellule d'appui et de contrôle aux prestataires,
chargée de détecter toute tentative de violation des sécurités des matériels ou des transmissions de données
chez l'opérateur, par des vérifications à distance ainsi que par des déplacements inopinés chez le prestataire
agréé. En outre, il est prévu que chaque consulat constitue une équipe chargée d'intervenir directement chez le
prestataire pour vérifier le respect par ce dernier des obligations imposées par le cahier des charges. De
manière plus générale, la commission relève que la surveillance de l'activité des prestataires agréés sera mise
en oeuvre par des contrôles effectués à distance et sur place, qui concernent les matériels utilisés, le personnel
des prestataires agréés, la sécurité de la transmission des données biométriques, ainsi que les procédures
utilisées et les locaux des prestataires.
Elle considère que l'ensemble de ces mesures sont de nature à satisfaire les exigences minimales de
protection des personnes à l'égard du traitement automatisé de données à caractère personnel, et qu'elles
pourraient permettre de se prémunir, sous la réserve exprimée plus haut des risques de divulgation ou
d'utilisation détournée des données biométriques des demandeurs de visa. La commission estime néanmoins
que le cahier des charges devrait comporter le détail des mesures de sécurité et de contrôle prévues par les
ministères concernés.
Sur les droits des personnes concernées :
Le projet de décret soumis à la commission prévoit de modifier l'article R. 611-13 du CESEDA qui dispose
des modalités des droits d'accès et de rectification des personnes concernées, prévus par les articles 39 et 40 de
la loi du 6 janvier 1978 modifiée. Il s'agit de supprimer les services de la direction centrale de la police aux
frontières du ministère de l'intérieur de la liste des autorités auprès desquelles les demandeurs de visa peuvent
exercer ces droits, d'une part, et de préciser la direction du ministère chargé de l'immigration auprès de
laquelle peuvent s'exercer ces droits, d'autre part, en l'occurrence la direction de l'immigration.
La commission prend acte de ces modifications, qui visent à prendre pleinement en compte les compétences
du ministère chargé de l'immigration, dont l'administration centrale n'était pas encore organisée lors de la
publication du décret autorisant la mise en oeuvre du traitement VISABIO.
Elle prend également acte de ce qu'une note d'information à destination des demandeurs de visa dont les
données biométriques seraient collectées par des prestataires extérieurs leur sera remise et sera également
affichée dans les locaux de ces prestataires. Dans la mesure où ladite note indique que les droits d'accès et de
rectification des personnes aux données qui les concernent s'exercent auprès du « service où la délivrance du
visa a été sollicitée », et afin d'éviter que les personnes concernées ne s'adressent au prestataire pour exercer
ces droits, la commission considère qu'il conviendrait de modifier cette note afin de mentionner clairement la
section des visas du consulat concerné comme seul service auprès duquel peuvent s'exercer les droits d'accès
et de rectification des données.
La commission prend enfin acte de ce que, à sa demande, le projet de décret prévoit de modifier
l'article R. 611-13 du CESEDA afin de mentionner que les personnes qui ont exercé leur droit de rectification
et obtenu la modification ou l'effacement des données erronées ou enregistrées de façon illicite qui les
concernent seront informées par écrit de cette rectification, conformément aux dispositions de l'article 38 du
règlement VIS du 9 juillet 2008.
Sur l'âge minimal des mineurs dont les empreintes digitales sont collectées :
La commission relève que le règlement communautaire du 23 avril 2009 a dispensé de collecte des
empreintes digitales les personnes suivantes : les enfants de moins de douze ans, les personnes pour lesquelles
il est physiquement impossible de recueillir les empreintes, ainsi que les chefs d'Etat ou de gouvernement, les
membres des gouvernements nationaux et leurs conjoints qui les accompagnent, les membres de leur délégation
officielle, les souverains et les autres membres éminents d'une famille royale.
A cet égard, la commission rappelle que dans son avis du 10 juillet 2007 relatif au projet de décret portant
création du traitement VISABIO elle avait estimé que « l'âge à partir duquel les empreintes sont relevées n'est
pas seulement un élément technique mais une question de principe méritant un large débat, voire un
amendement à la convention sur les droits de l'enfant. Pour préserver la dignité de la personne et pour
garantir la fiabilité de la procédure, la collecte et le traitement des empreintes digitales doivent être limités
pour les enfants ».
Elle rappelle également que l'article R. 611-9 du CESEDA prévoit l'exemption de collecte des identifiants
biométriques pour les seuls mineurs de six ans et pour les personnes pour lesquelles il est impossible de
collecter totalement ou partiellement les empreintes digitales.
La commission observe que l'obligation communautaire susmentionnée ne s'applique qu'aux demandeurs de
visa dits Schengen (court séjour), et non aux demandeurs de visa nationaux. Cependant, elle relève que la
majorité des visas délivrés par les autorités françaises sont des visas Schengen, d'une part, et qu'une telle
différenciation entre les enfants demandeurs de visa complexifierait davantage les procédures, en particulier
dans le cas où la collecte des identifiants serait opérée par des prestataires de service agréés.
Dès lors, la commission prend acte de ce que, à sa demande, par souci de simplification, d'une part, et de
protection de la dignité des enfants, d'autre part, le projet de décret prévoit de modifier l'article R. 611-9 du
CESEDA afin d'appliquer cette dispense non seulement pour les enfants demandeurs d'un visa Schengen, mais
également pour les enfants demandeurs de visas nationaux.
Le président,
A. TÜRK