La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet de décret relatif au système API-PNR France et modifiant le code de la sécurité intérieure (partie réglementaire) ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 2004/82/CE du Conseil de l’Europe concernant l’obligation pour les transporteurs de communiquer les données relatives aux passagers ;

Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à l’égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision cadre 2008/977/JAI du Conseil ;

Vu la directive 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour le prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière ;

Vu le code de la sécurité intérieure, notamment son article L. 232-7 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés;

Vu le décret n° 2014-1566 du 22 décembre 2014 portant création d’un service à compétence nationale dénommé Unité Information Passagers (UIP) ;

Vu la délibération n° 2013-219 du 18 juillet 2013 portant avis sur un projet de loi relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ;

Vu la délibération n° 2014-308 du 17 juillet 2014 portant avis sur un projet de décret relatif à la création d’un traitement de données à caractère personnel dénommé système API-PNR France pris pour l’application de l’ article L. 232-7 du code de la sécurité intérieure et fixant les modalités de transmission au service à compétence nationale Unité Information Passagers des données relatives aux passagers par les transporteurs aériens ;

Vu la délibération n° 2015-230 du 9 juillet 2015 portant avis sur un projet de décret portant modification des articles 5 du décret n° 2010-569 du 28 mai 2010 et R. 232-14 et R. 232-15 du code de la sécurité intérieure ;

Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M^me Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Emet l’avis suivant :

La commission a été saisie par le ministre de l’intérieur d’une demande d’avis relative à un projet de décret relatif au système API-PNR France et modifiant le code de la sécurité intérieure (CSI).

A titre liminaire, la commission rappelle que l’article L. 232-7 du CSI, dans sa version issue de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019, a autorisé, à titre expérimental et jusqu’au 31 décembre 2017, le traitement des données d’enregistrement (dites API ou Advance Passenger Information ) relatives aux passagers des vols à destination et en provenance du territoire national, à l’exception des vols reliant deux points de la France métropolitaine, ainsi que des données relatives aux passagers enregistrées dans les systèmes de réservation des transporteurs aériens (dites PNR ou Passenger Name Record ).

Ce dispositif expérimental devait permettre de répondre aux besoins des services opérationnels des agents de la police nationale, de la gendarmerie nationale et des douanes ainsi que des services de renseignement spécialisés, dans le cadre des finalités limitativement énumérées à l’article L. 232-7 du CSI à savoir la prévention et la constatation des actes de terrorisme, des infractions mentionnées à l’ article 695-23 du code de procédure pénale (CPP) et des atteintes aux intérêts fondamentaux de la nation, le rassemblement des preuves de ces infractions et de ces atteintes ainsi que la recherche de leurs auteurs.

Pour la mise en œuvre de ce dispositif, une Unité d’Information Passagers (UIP), service à compétence nationale rattaché au ministre chargé des douanes et créé par le décret n° 2014-1566 du 22 décembre 2014 susvisé, a été chargée de recueillir les données transmises par les compagnies aériennes, de les exploiter et de transmettre le résultat de cette exploitation aux services demandeurs.

Le traitement API-PNR , qui permet d’effectuer un rapprochement entre les données collectées et d’autres fichiers de police judiciaire ou administrative, relatifs à des personnes ou des objets recherchés ou surveillés, devait également permettre d’expérimenter de nouvelles modalités d’exploitation de ces données, en particulier, le ciblage des individus sur le fondement de différents critères préétablis et leur classement sur une échelle de risques, grâce à l’utilisation d’un outil de scoring.

La commission s’est prononcée sur ce dispositif expérimental et ses conditions de mise en œuvre à trois reprises, par ses délibérations susvisées n° 2013-219 du 18 juillet 2013, n° 2014-308 du 17 juillet 2014 et n° 2015-230 du 9 juillet 2015.

La loi n° 2017-1510 du 30 octobre 2017 renforçant la sécurité intérieure et la lutte contre le terrorisme a toutefois modifié l’article L. 232-7 du CSI pour pérenniser le dispositif API-PNR et transposer la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (ci-après directive PNR ), dont le délai de transposition était fixé au 25 mai 2018.

Le projet de décret aujourd’hui soumis à la commission vise à finaliser la transposition de cette directive et, au-delà des modifications rendues nécessaires par cette transposition, redéfinir sur plusieurs points les conditions de mise en œuvre du dispositif API-PNR.

Elle relève par ailleurs que le projet qui lui est soumis pour avis relevait, à la date de la saisine, des dispositions de l’article 26-I-2° de la loi du 6 janvier 1978 modifiée qui prévoit qu’un arrêté, pris après avis motivé et publié de la commission, autorise les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat et qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sureté. Il découle du VI de l’article L. 232-7 du CSI que les conditions de mise en œuvre du traitement API-PNR France doivent être définies par un décret en Conseil d’Etat, pris après avis motivé et publié de la commission. Compte-tenu de l’évolution du cadre juridique relatif à la protection des données à caractère personnel résultant notamment de la prise en compte des dispositions de la directive (UE) 2016/68o du 27 avril 2016 susvisée, la commission considère que le traitement qui lui est soumis doit faire l’objet d’un examen au regard de ces nouvelles dispositions.

Le projet appelle de la part de la commission les observations suivantes.

Sur les finalités du traitement et le champ d’application du système API-PNR France :

Les finalités du système API-PNR France sont définies au I de l’article L. 232-7 du CSI, qui autorise le ministre de l’intérieur, le ministre de la défense, le ministre chargé des transports et le ministre chargé des douanes à mettre en œuvre un traitement de données à caractère personnel pour les besoins de la prévention et de la constatation de certaines infractions ainsi que de la recherche de leurs auteurs .

Le même article précise que les infractions concernées sont les actes de terrorisme, les atteintes aux intérêts fondamentaux de la nation ainsi que les infractions mentionnées à l’annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, lorsqu’elles sont punies d’une peine privative de liberté d’une durée égale ou supérieure à trois ans d’emprisonnement ou d’une mesure de sûreté privative de liberté d’une durée égale ou supérieure à trois ans .

Cette version de l’article L. 232-7 du CSI, issue de la loi n° 2017-1510 du 30 octobre 2017 précitée, ne comporte plus de référence aux infractions mentionnées à l’article 695-23 du CPP, mais procède à un renvoi à l’annexe II de la directive PNR transposée, qui mentionne vingt-six infractions ou catégories d’infractions, parmi lesquelles figurent la participation à une organisation criminelle, la traite des êtres humains, la corruption, la fraude, les infractions graves contre l’environnement, y compris le trafic d’espèces animales menacées, l’aide à l’entrée et au séjour irréguliers, les meurtres, coups et blessures graves, le trafic de substances hormonales, le viol ou encore l’espionnage industriel.

Les finalités définies par l’article L. 232-7 du CSI demeurent toutefois plus larges que celles découlant de la directive PNR puisque le dispositif API-PNR France conserve une finalité de prévention des atteintes aux intérêts fondamentaux de la nation, non couverte par la directive précitée. La commission prend acte que les fonctionnalités issues de la transposition de la directive PNR, telles que le transfert de données PNR à l’UIP d’un autre Etat membre de l’Union européenne ou la possibilité pour l’UIP, sur sollicitation des autorités mentionnées à l’articleR. 232-15 du CSI, de demander aux transporteurs aériens de transmettre des données en dehors des créneaux de transmission imposés, ne seront dès lors pas mises en œuvre à des fins de prévention des atteintes aux intérêts fondamentaux de la nation, du rassemblement des preuves de ces atteintes ainsi que de la recherche de leurs auteurs.

En outre, la commission relève que le système API-PNR France dispose également d’un champ d’application plus large que celui imposé par la directive en tant qu’il ne concerne pas uniquement les transporteurs aériens, mais également les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d’un aéronef , auxquels le dernier alinéa du II de l’article L. 232-7 du CSI, dans sa version issue de la loi du 30 octobre 2017 précitée, prévoit que le ministre de l’intérieur, le ministre de la défense, le ministre chargé des transports et le ministre chargé des douanes peuvent demander (…) de transmettre les données relatives aux passagers enregistrées dans leur système de réservation , donc des données PNR.

La commission prend acte que le ministère souhaite mettre en œuvre cette faculté, évoquée au considérant 33 de la directive PNR, en prévoyant dans le projet de décret l’obligation pour les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d’un aéronef de transmettre les données de réservation à l’UIP, une première fois quarante-huit heures avant le départ du vol et une seconde fois immédiatement après la clôture du vol, par envoi électronique sécurisé.

Elle prend également acte que les obligations auxquelles le projet de décret soumet ces agences et opérateurs sont moins nombreuses que celles applicables aux transporteurs aériens et qu’ils n’auront pas, en particulier, à transmettre de données en dehors des créneaux précités.

Enfin, le projet de décret soumis à la commission prévoit de modifier plusieurs articles du CSI relatifs au dispositif API-PNR pour mentionner la collecte et l’exploitation de données API relatives aux membres d’équipage. Ces modifications visent à compléter, d’une part, la mention données des passagers par et des membres d’équipage , à l’article R. 232-13 du CSI, et d’autre part, l’expression données d’enregistrement par des passagers aériens ainsi que des membres d’équipage au b du I de l’article R. 232-14 du CSI. Dans sa version actuelle, l’article R. 232-14 du CSI, relatif aux données traitées dans le cadre du dispositif API-PNR, prévoit uniquement la collecte et 1'exploitation de données relatives aux passagers tout en mentionnant au sein d’une parenthèse située au 11° du b du Ide cet article un statut de membre d’équipage .

Si cette rédaction, selon le ministère, permet de fonder la collecte de donnés API relative aux membres d’équipage, elle demeure ambiguë et source d’une certaine confusion, que le ministère entend résoudre en autorisant expressément la collecte et l’exploitation de ces données.

La commission relève toutefois que les dispositions de l’article L. 232-7 du CSI sur lequel se fonde le projet de décret qui lui est soumis, autorisent uniquement la collecte de données relatives aux passagers aériens. Elle souligne en outre que la directive API et la directive PNR, que ces dispositions législatives transposent, ne mentionnent également que la collecte de données relatives aux passagers. Elle observe enfin que la directive PNR, à son article 3, définit expressément la notion de passager comme excluant celle de membre d’équipage.

Dans ces conditions, et sans préjudice de l’appréciation qui pourrait être portée sur la proportionnalité du dispositif, la commission s’interroge sur la possibilité pour le ministère de prévoir la collecte des données API relatives aux membres d’équipage.

Sur la nature des données traitées, les conditions de leur exploitation et leur durée de conservation :

La commission rappelle en premier lieu que, conformément à l’article L. 232-7 du CSI, seules doivent être transmises à l’UIP les données liées aux déplacements à destination et en provenance du territoire national, à l’exception des déplacements reliant deux points de la France métropolitaine.

Le même article du CSI exclut que soient traitées dans le cadre du système API-PNR des données à caractère personnel susceptibles de révéler la prétendue origine raciale ou ethnique d’une personne, ses convictions religieuses ou philosophiques, ses opinions politiques, son appartenance à un syndicat, ou les données qui concernant sa santé ou la vie sexuelle de l’intéressé. Sur ce point, la commission prend acte que le dispositif de filtrage automatique initialement mis en œuvre pour rendre inaccessibles les éventuelles données sensibles qui seraient par erreur transmises à l’UIP sera maintenu.

La commission rappelle également que, s’agissant des passagers, les données que les transporteurs aériens ont l’obligation de recueillir et de transmettre sont tant les données d’enregistrement relatives aux passagers de ces déplacements (API), que les données relatives aux passagers enregistrées dans leurs systèmes de réservation (données PNR).

Les données PNR sont celles fournies par les voyageurs au stade de la réservation commerciale et correspondent principalement aux données relatives à l’identité des passagers aériens (nationalité, nom, prénom, date de naissance), à l’itinéraire emprunté, au nombre et noms des autres voyageurs figurant dans le dossier passager ainsi que d’autres informations concernant le passager (numéro de siège, informations relatives aux bagages, moyens de paiement, etc.).

Les données API, quant à elles, sont des données d’enregistrement et d’embarquement présentes dans les systèmes d’information des compagnies aériennes ou des plateformes aéroportuaires. Elles sont essentiellement composées des données relatives à l’identité des passagers aenens (nationalité, nom, prénom, date de naissance, sexe), au document de voyage utilisé (type, numéro), au vol emprunté (numéro, point de passage frontalier, code de transport, date du vol, heures et point de départ et d’arrivée, point d’embarquement et de débarquement, nombre total de personnes transportées) ainsi que d’autres informations concernant le passager (statut de la personne embarquée, numéro de siège, code repère du dossier passager, nombre, poids et identification des bagages).

Concernant les données API et PNR transmises par les transporteurs aériens relatives aux passagers, le projet de décret ne marque pas d’évolution significative par rapport au dispositif expérimental précédemment mis en œuvre, à l’exception de l’ajout, concernant les données PNR, de catégories de données relatives aux mineurs. Sur ce point, l’article 5 du projet de décret prévoit que peuvent être enregistrées dans le traitement, toutes les informations disponibles sur les mineurs non accompagnés de moins de 18 ans, telles que le nom et le sexe, son âge, la ou les langues parlées, le nom et les coordonnées de la personne présente au départ et son lien avec le mineur, le nom et les coordonnées de la personne présente à l’arrivée et son lien avec le mineur, l’agent présent au départ et à l’arrivée .

La commission relève que l’annexe I de la directive 2016/681 susvisée ne mentionne pas la personne présente au titre des personnes dont les données peuvent être collectées mais fait référence au tuteur . Pour autant, la commission relève que les mêmes situations sont visées et prend ainsi acte que ces deux formulations se rapportent au même champ.

Par ailleurs, le projet de décret soumis à la commission tire les conséquences de la possibilité, prévue au dernier alinéa du II de l’article L. 232-7 du CSI, de demander aux agences de voyage et aux opérateurs de voyage ou de séjour affrétant tout ou partie d’un aéronef de transmettre des données PNR, en complétant l’article R. 232-14 du CSI relatif aux catégories de données traitées. La commission juge toutefois inappropriée la modification envisagée du premier alinéa du I de cet article, qui introduit une liste comportant des données API et des données PNR, alors que la transmission par des agences de voyage et opérateurs de voyage ou de séjour prévue au II de l’article L. 232- 7 du CSI ne concerne, contrairement aux transporteurs aériens, que les données PNR. La commission considère dès lors que la rédaction du projet de décret doit être revue pour qu’il apparaisse plus clairement que seules les données PNR peuvent être transmises par les agences de voyage et opérateurs de voyage. Elle prend acte que le ministère s’engage à clarifier la rédaction des dispositions concernées.

Concernant les conditions d’exploitation des données, la commission prend acte des précisions apportées au II de l’article R. 232-13 du CSI par le projet de décret indiquant que les données ne sont traitées par l’UIP qu’afin de réaliser une évaluation des personnes avant leur arrivée prévue sur le territoire national ou leur départ prévu de celui-ci, afin d’identifier les personnes pour lesquelles un examen plus approfondi est nécessaire au regard des finalités du traitement par les autorités mentionnées à l’article R. 232-15 et, le cas échéant, par Europol .

La commission prend également acte que cette évaluation résultera toujours du recours au criblage et à des techniques de ciblage.

La commission rappelle en effet que le système API-PNR doit d’abord permettre, à chaque réception des données API et PNR par l’UIP, de les comparer automatiquement et systématiquement avec plusieurs fichiers relatifs à des personnes ou des objets recherchés (FPR, FOVeS, SIS II, SILCF et base ASF-SLTD d’Interpol). Cette fonctionnalité, dite de criblage , a pour but de déterminer si des personnes ou des objets inscrits dans ces fichiers figurent sur un vol concerné par le traitement.

La commission prend acte que les garanties prévues sur ce point dans le cadre de l’expérimentation menée sont maintenues. Elle relève en particulier que le criblage effectué, qui permet donc de savoir qu’une personne ou un objet est inscrit dans un traitement, n’est pas réalisé au regard de l’intégralité du contenu des fichiers précités, mais uniquement par rapport aux fiches pertinentes, notamment au regard du seuil de gravité infractionnelle prévu à l’article L. 232-7 du CSI.

La commission prend par ailleurs acte que les résultats de cette mise en relation, qui révèlent l’inscription ou l’absence d’inscription d’un individu dans les parties des fichiers consultés, demeurent conservés pendant une durée maximale de quatre-vingt­ seize heures.

En outre, en cas de réponse positive ( hit ), est mise à disposition la copie de la fiche de recherche ou de surveillance concernée afin de permettre aux agents de l’UIP de procéder à l’opération de levée de doute, ce qui justifie la mention de tels éléments au II de l’articleR. 232-14 du CSI parmi les données susceptibles d’être enregistrées dans le traitement, pour une durée de conservation maximale de vingt-quatre heures.

La commission souligne toutefois que le projet de décret qui lui est soumis maintient le principe de la conservation d’une copie partielle du FPR pour permettre la mise en relation précédemment évoquée. La mise en place d’une telle base miroir avait été justifiée par des difficultés techniques et le ministère s’était engagé à mettre en œuvre plusieurs mesures pour limiter les risques attachés à une telle méthode, notamment la limitation des éléments enregistrés à ceux nécessaires pour l’exercice des missions de l’UIP, l’absence d’accès direct des agents de cette unité aux données et la mise à jour au moins hebdomadaire de la copie partielle du FPR.

La commission rappelle toutefois que ce procédé demeure plus risqué, du point de vue de la protection des données, qu’une consultation directe du FPR et ne doit donc être mis en œuvre que dans la mesure où la mise en relation ne peut pas être réalisée autrement. Or, elle relève que, depuis la mise en œuvre de la base miroir du FPR dans le cadre du dispositif API-PNR, des systèmes de criblage ont pu être institués avec une interconnexion entre une base de données, en particulier ACCRED, et le FPR, sans que des difficultés techniques n’y fassent obstacle. Dans ce contexte, la commission prend acte que le ministère s’engage à expertiser dans les meilleurs délais la possibilité d’une interconnexion directe entre le FPR et le système API-PNR et que la mise en œuvre de la base miroir ne sera poursuivie que si l’expertise confirmait que le FPR n’est pas en capacité technique de répondre aux sollicitations massives du système API­ PNR. Elle invite le ministère à l’informer de l’avancée et des conclusions de cette expertise en lui adressant un bilan annuel relatif aux conditions de mise en œuvre du dispositif API-PNR. La commission estime qu’un tel bilan, au-delà de la question de la base miroir du FPR, est justifié par les enjeux majeurs soulevés par le dispositif et la nécessité de favoriser des échanges réguliers sur les voies d’amélioration du système.

Outre le dispositif de criblage, le système API-PNR donne lieu à la mise en œuvre de différentes techniques de ciblage des individus, donc d’analyse des données sur la base de critères objectifs préétablis. Ces modes d’exploitation des données, qui ne sont mis en œuvre que sur demande d’une autorité compétente, permettent de détecter un comportement jugé à risque au regard des finalités définies à l’article L. 232-7 du CSI.

Le projet de décret prévoit expressément que les critères sont définis en coopération avec les autorités mentionnées à l’article R. 232-15 du CSI, qu’ils doivent être ciblés, proportionnés, spécifiques aux infractions et non discriminatoires , qu’ils ne peuvent être fondés sur des données à caractère personnel qui font apparaître, directement ou indirectement, la prétendue origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale ou celles qui sont relatives à la santé, à la vie sexuelle ou à l’orientation sexuelle des personnes et qu’ ils sont régulièrement mis àjour ou redéfinis .

La commission en prend acte.

Elle prend également acte que les techniques de ciblage constituent uniquement un outil d’aide à la décision et qu’aucune décision prise à l’encontre des intéressés ne résulte du seul traitement automatisé. En effet, des vérifications humaines et manuelles sont réalisées par l’UIP lorsqu’elle est saisie d’une requête puis par les services destinataires qui décident de la conduite à tenir et qui peuvent, le cas échéant, effectuer les vérifications complémentaires qu’ils estiment nécessaires. Le projet de décret impose ainsi, en cas de concordance positive obtenue à la suite de l’évaluation réalisée, le réexamen individuel de la situation de l’intéressé par des moyens non automatisés. La commission relève enfin que, comme pour les résultats issus du criblage, les résultats issus de l’analyse des données au regard des critères préétablis ne peuvent être conservés que pour une durée maximale de quatre-vingt-seize heures, aux seules fins d’informer les autorités compétentes de l’existence d’une concordance positive.

Plus généralement, l’article L. 232-7 du CSI prévoit que les données ne peuvent être conservées que pour une durée maximale de cinq ans.

La commission rappelle que les données susceptibles de révéler l’identité des passagers font l’objet d’une garantie supplémentaire, résultant de la mise en œuvre d’une procédure de masquage. Dans le cadre du système API-PNR expérimental, ce procédé de masquage était mis en œuvre à l’expiration d’un délai de deux ans, au terme duquel les données n’étaient plus visibles ni par les agents de l’UIP, ni par les services ayant formulé les requêtes. L’accès à ces données supposait de formuler une demande motivée auprès du directeur de l’UIP qui, seul, pouvait lever le masquage.

La commission prend acte que ce procédé de masquage est maintenu et que cette garantie est renforcée par la réduction du délai de deux ans à six mois, pour assurer la transposition de la directive PNR.

Sur les destinataires :

Sur les modifications relatives à l’articleR. 232-15 du CSI :

L’article 6 du projet de décret a pour objet de modifier les catégories de personnels pouvant être destinataires des données et informations enregistrées dans le traitement, et ce dans la limite de leurs attributions et besoin d’en connaître. La commission relève que, outre les modifications prévues par cet article, la liste des destinataires telle que prévue par le dispositif expérimental est pérennisée.

A titre liminaire, la commission prend acte que le III de l’article R. 232-15 est modifié afin de tenir compte de la directive 2016/681 susvisée et prévoir ainsi que certains agents peuvent être destinataires des données du traitement, par l’intermédiaire d’une requête à l’UIP ou lorsqu’une intervention sur les plateformes aéroportuaires est nécessaire, pour la prévention, constatation et rassemblement des preuves de la recherche des auteurs d’infractions pour les infractions mentionnées à l’annexe II de la directive précitée, supprimant ainsi le renvoi aux dispositions de l’article 695-23 du CPP.

Premièrement, l’article 6 du projet de décret précise que, au titre de la prévention et de la constatation des actes de terrorisme, du rassemblement des preuves de ces actes et de la recherche de leurs auteurs, les services de la direction du renseignement de la préfecture de police, et non uniquement ceux rattachés à la sous-direction chargée de la lutte contre le terrorisme et les extrémismes à potentialité violente, peuvent formuler des requêtes à l’UIP et être destinataires des réponses. Par ailleurs, l’article précité prévoit que ces agents pourront aussi être destinataires de ces données, aux seules fins de prévention des infractions mentionnées à l’annexe II de la directive 2016/681 précitée.

L’article 1er de l’arrêté du 27 juin 2008 relatif à la direction du renseignement de la préfecture de police et modifiant l’arrêté du 6 juin 2006 portant règlement général d’emploi de la police nationale prévoit notamment que la direction du renseignement de la préfecture de police concourt à l’activité de la direction centrale du renseignement intérieur pour la prévention des actes de terrorisme et pour la surveillance des individus, groupes, organisations et phénomènes de société susceptibles, par leur caractère radical, leur inspiration ou leurs modes d’action, de porter atteinte à la sécurité nationale .

Au regard de ces éléments, la commission estime que ces agents sont légitimes à être destinataires des données du traitement API-PNR France dans les conditions prévues à l’article R. 233-15 du CSI et telles qu’envisagées par le projet de décret.

Deuxièmement, et pour la seule finalité de répression des actes de terrorisme, l’article 6 du projet de décret projette que les agents du service national de la douane judicaire, individuellement désignés et spécialement habilités par leur chef de service, pourront être destinataires des données du traitement. A cet égard, l’article 2 de l’arrêté du 5 décembre 2002 portant création du service à compétence nationale dénommé service national de douane judiciaire prévoit que le service national de la douane judiciaire a pour missions : d’effectuer les enquêtes judiciaires dans les conditions fixées à l’ article 28-1 du code de procédure pénale, d’animer et de coordonner, à l’échelon national et en matière judiciaire, la lutte contre les auteurs et complices des infractions visées à ce même article, de recueillir et d’exploiter les renseignements nécessaires à l’exercice de ses missions .

La commission estime que les agents ainsi visés, pour les finalités exposées, sont légitimes à être destinataires des données du traitement, sous réserve qu’ils soient habilités dans les conditions prévues par l’article 28-1 du CPP, outre leur désignation individuelle et habilitation spéciale par leur chef de service.

Troisièmement, l’article 6 du projet de décret a pour objet d’introduire la possibilité pour certaines catégories d’agents d’être destinataires des données enregistrées dans le traitement, et ce, au titre de la prévention des actes de terrorisme. Sont ainsi visés les agents de la direction du renseignement militaire, les agents de la direction du renseignement et de la sécurité de la défense, et les agents affectés à la sous-direction de l’anticipation opérationnelle de la direction générale de la gendarmerie nationale.

L’article D. 3126-16 du code de la défense prévoit que la direction du renseignement militaire élabore et met en œuvre les orientations en matière de renseignement d’intérêt militaire . Par ailleurs, les agents affectés à la sous-direction de l’anticipation opérationnelle de la direction générale de la gendarmerie nationale ont notamment pour missions, conformément à l’article 17-1 de l’arrêté du 12 août 2013 portant organisation de la direction générale de la gendarmerie nationale, de traiter l’information interne et externe permettant l’alerte des autorités, ainsi que le suivi des situations sensibles à court terme, de participer à la recherche, au recueil, à l’analyse et à la diffusion des informations de défense, d’ordre public et de sécurité nationale nécessaires à l’exécution des missions de la gendarmerie et d’assurer le traitement du renseignement opérationnel d’ordre public et du renseignement de sécurité économique en métropole et en outre-mer.

La commission relève qu’en tant que telle, la mission de prévention des actes de terrorisme n’apparaît pas au titre des prérogatives confiées à la direction du renseignement militaire, ainsi qu’à la sous-direction de l’anticipation opérationnelle de la direction générale de la gendarmerie nationale. Toutefois, au regard de leurs missions et des finalités du traitement, elle considère que ces services peuvent être destinataires des données du traitement dans les conditions prévues par l’article R. 232-15 du CSI.

En ce qui concerne la possibilité pour les agents de la direction du renseignement et de la sécurité de la défense d’être destinataires des données du traitement, l’ article D. 3126-6 du code de la défense prévoit que cette direction a notamment pour mission de prévenir et rechercher les atteintes à la défense nationale telles qu’elles sont définies par le code pénal et le code de justice militaire, notamment en mettant en œuvre des mesures de contre-ingérence pour s’opposer à toute menace pouvant prendre laforme d’activités de terrorisme, d’espionnage, de subversion, de sabotage ou de crime organisé . Toutefois, la commission considère que seuls les agents rattachés à la sous-direction de la contre-ingérence sont légitimes à être habilités, au regard des missions des autres sous-directions, et des prérogatives exposées ci-dessus, telles que prévues par l’arrêté du 22 octobre 2013 portant organisation de la direction de la protection et de la sécurité de la défense.

Quatrièmement, l’article 6 du projet de décret prévoit de permettre aux agents de la direction générale de la sécurité extérieure (DGSE) d’être destinataires des données enregistrées dans le traitement, et ce, au titre de plusieurs finalités.

L’ article D. 3126-2 du code de la défense prévoit que la direction générale de la sécurité extérieure a pour mission, au profit du Gouvernement et en collaboration étroite avec les autres organismes concernés, de rechercher et d’exploiter les renseignements intéressant la sécurité de la France, ainsi que de détecter et d’entraver, hors du territoire national, les activités d’espionnage dirigées contre les intérêts français afin d’en prévenir les conséquences .

Le projet de décret a pour objet de rendre destinataires ces agents au titre de la prévention des actes de terrorisme, et au titre de la prévention, de la constatation, du rassemblement de preuves et de la recherche des auteurs des infractions mentionnées à l’annexe II de la directive 2016/681 susvisée.

En outre, le projet précité vise à permettre aux agents de la DGSE et aux agents de la direction générale de la sécurité intérieure (DGSI), d’être destinataires de l’ensemble des données collectées au sein du traitement, pendant une période maximale de vingt­ huit jours, et pour une destination ou une provenance déterminées, selon les modalités prévues au VI de l’article R. 232-15 du CSI et ce, aux fins de définir ou d’actualiser les critères et les éléments de recherche relatifs aux passagers des vols concernés, pour les besoins de la prévention du terrorisme et des seuls crimes et délits mentionnés à l’annexe II de la directive précitée, et au VIII de l’articleR. 232-15 du CSI.

D’une part, la commission relève que les dispositions relatives aux missions de la DGSE ne visent pas explicitement la prévention des actes de terrorisme. Pour autant, au regard des finalités générales du traitement ainsi que des missions relatives à la sécurité de la France de la direction concernée, elle estime que ces agents sont légitimes à être destinataires des données du traitement API-PNR France dans les conditions prévues par l’article 6 du projet de décret.

D’autre part, l’ article 2 du décret n° 2014-445 du 30 avril 2014 relatif aux missions et à l’organisation de la direction générale de la sécurité intérieure prévoit que, au titre de ses missions, elle concourt à la prévention et à la répression des actes de terrorisme ou portant atteinte à la sûreté de l’Etat, à l’intégrité du territoire ou à la permanence des institutions de la République . Ainsi, au regard de ces missions, la commission considère que ces agents sont légitimes à être destinataires des données du traitement, dans les conditions prévues par le projet de décret.

Cinquièmement, la commission relève que l’article 6 du projet de décret modifie les catégories d’agents pouvant être destinataires des données du traitement au titre de la prévention des actes terroristes et des atteintes aux intérêts fondamentaux de la nation en ce qu’il supprime les directions dans lesquelles les agents sont affectés au sein de la DGSE, de la DGSI et de la direction du renseignement militaire. Si la commission considère que cette modification n’appelle pas de réserve particulière de sa part, elle rappelle que cela ne doit pas conduire à étendre les catégories de personnels habilités à accéder aux données conformément à ces dispositions et au sein de ces directions, pour les finalités mentionnées.

Enfin, la commission constate que quelques modifications, uniquement formelles, sont apportées à certaines catégories de destinataires, qui n’appellent pas d’observations particulières de sa part.

Sur l’introduction des articles R. 232-16, R. 232-17, R. 232-18 et R. 232-19 :

Les articles 8 et 9 du projet de décret introduisent la possibilité, également prévue par la directive 2016/681 susvisée, de transmettre des données du traitement API-PNR France aux UIP des autres Etats membres, aux autorités compétentes des autres Etats membres au titre des finalités du traitement, à Europol et aux autorités compétentes d’Etats non membres de l’Union européenne. La commission prend acte que les modalités et conditions de transmission des données à ces destinataires ont vocation à prendre en compte la directive 2016/681 précitée et n’appellent pas d’observations particulières de sa part.

Sur les droits et l’information des personnes :

La commission relève que l’obligation d’information des passagers relative au traitement de leurs données s’applique aussi bien aux compagnies aériennes qu’aux UIP conformément à l’article L. 237-7 du CSI qui prévoit que les transporteurs aériens […] informent les personnes concernées par le traitement , et l’ article 2 du décret n° 2014-1566 du 22 décembre 2014 portant création de l’UIP qui dispose que l’UIP veille à ce que les transporteurs aériens informent les passagers de leurs droits .

Elle rappelle que le ministère doit s’assurer du fait que cette information est délivrée de manière claire, complète et pédagogique. A cet égard, au titre des garanties mises en œuvre, le ministère a indiqué qu’une information générale est disponible concernant la mise en œuvre du traitement, par l’intermédiaire du site web pnr.gouv.fr et relative notamment à la transmission des données par les transporteurs, aux finalités de l’exploitation de ces données ainsi que de leur durée de conservation. La commission constate que les informations actuellement accessibles sur ce site ne peuvent être considérées comme complètes. Elle prend ainsi acte de l’engagement du ministère d’enrichir son contenu afin de garantir le droit à l’information des personnes concernées, conformément aux exigences de l’article 13 de la directive 2016/68o susvisée.

L’article 11 du projet de décret prévoit que les différents droits des personnes concernées s’exerceront de manière mixte. A cet égard, les droits d’accès, de rectification et d’effacement des données mentionnées à l’articleR. 232-14 s’exercent directement auprès du directeur de l’UIP ou de son adjoint.

L’article précité du projet soumis à la commission prévoit par ailleurs que le droit d’accès pourra être refusé et que les personnes concernées pourront ne pas être informées d’un refus de rectification, d’effacement de leurs données, ou de limitation de leurs données à caractère personnel relatives à la mention connu ou inconnu , dans les traitements mis en relation avec le système API-PNR France et ce, notamment aux fins de protéger la sécurité publique et la sécurité nationale. Ces droits s’exercent auprès de la Commission nationale de l’informatique et des libertés.

Si la commission considère que ces limitations sont nécessaires et justifiées au regard des motifs mentionnés ci-dessus, elle estime que ces dérogations ne doivent en aucun cas se traduire par une restriction systématique des droits des personnes concernées.

Enfin, ce même article prévoit que le droit d’opposition prévu à l’article 38 de la loi du 6 janvier 1978 modifiée ne s’applique pas au traitement projeté.

A cet égard, la commission rappelle que, si les dispositions de la directive 2016/68o du 27 avril 2016 susvisée telles que transposées en droit interne, ne mentionnent pas la possibilité pour les personnes concernées de s’opposer au traitement mis en œuvre, les Etats membres conservent, en tout état de cause, la possibilité de prévoir des garanties plus étendues que celles établies dans ladite directive pour la protection des droits et des libertés des personnes concernées à l’égard du traitement des données à caractère personnel par les autorités compétentes.

Dans ce contexte, elle considère que l’article 38 précité, qui n’a pas été abrogé par la loi relative à la protection des données personnelles et dont l’application aux traitements relevant de la directive précitée, n’est pas davantage exclue par les dispositions des articles 70-1 et suivants de la loi Informatique et Libertés , a également vocation à s’appliquer aux traitements relevant du champ d’application de cette directive. Elle relève à cet égard que cet article 38 prévoit la possibilité d’écarter le droit d’opposition lorsque le traitement répond à une obligation légale ou lorsqu’une disposition expresse de l’acte réglementaire autorisant le traitement l’exclut.

En l’espèce, la commission considère que l’exclusion du droit d’opposition telle que prévue par l’article 11du projet de décret est strictement proportionnée au regard de la finalité poursuivie par le traitement projeté, à savoir la prévention et la constatation de certaines infractions, du rassemblement des preuves de ces infractions ainsi que de la recherche de leurs auteurs. Compte tenu de ce qui précède, elle estime que la limitation portée l’exercice du droit d’opposition s’inscrit strictement dans le cadre des dispositions du droit national relatives à la protection des données à caractère personnel et n’est pas de nature à porter une atteinte excessive aux droit et libertés des personnes concernées.

Enfin, le projet de décret prévoit que l’UIP notifie à la personne concernée ainsi qu’à la commission, toute violation de données à caractère personnel qui serait susceptible d’entraîner un risque élevé pour la protection de ces données ou d’affecter la vie privée de la personne concernée.

Sur la sécurité des données et la traçabilité des actions :

La commission rappelle que les mesures de sécurité entourant la mise en œuvre du système API-PNR France lui ont été soumises à plusieurs reprises. Dans ces conditions, le projet appelle uniquement de sa part les observations et rappels suivants.

Le système API-PNR met en œuvre des profils d’habilitation afin de gérer les accès aux données en tant que besoin. La commission prend acte de ce que le ministère a prévu de mettre en œuvre une revue régulière des accès.

Une journalisation des opérations de consultation, création et modification des données est mise en place. La commission prend acte que l’architecture de celle-ci est centralisée et rappelle que des mesures visant à renforcer la sécurité de ce mécanisme sont nécessaires, notamment par la mise en œuvre de mesures de réduction du risque d’une altération ou modification volontaire ou non de celle-ci.

Elle rappelle également que doivent être prévus des moyens permettant l’analyse des traces.

La commission prend acte que le ministère s’engage à procéder aux modifications nécessaires pour assurer le respect de ses recommandations en matière d’échanges d’informations avec les services destinataires. La commission rappelle que la garantie de la confidentialité des échanges passe par la mise en œuvre de mesures de chiffrement et d’authentification des destinataires.

Dans ces conditions, la commission considère que les mesures prévues par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que le respect de cette exigence nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

La présidente,

I. Falque-Pierrotin