La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet de décret relatif à la validation du visa de long séjour valant titre de séjour ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ;

Vu le code de l’entrée et du séjour des étrangers et du droit d’asile (CESEDA), notamment ses articles L. 611-5, R. 311-3, R. 611-1 à R. 611-7 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2016-284 du 20 septembre 2016 portant avis sur un projet de décret en Conseil d’Etat pris pour l’application de la loi n° 2016-274 du 7 mars 2016 relative au droit des étrangers en France et portant diverses dispositions relatives à la lutte contre l’immigration irrégulière ;

Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de M^me Nacima BELKACEM, commissaire du Gouvernement,

Émet l’avis suivant :

La Commission a été saisie, par le ministre de l’intérieur, d’une demande d’avis concernant un projet de décret en Conseil d’État, relatif à la validation, par voie dématérialisée, du visa de long séjour valant titre de séjour (VLS-TS). Elle relève que ce téléservice, qui s’inscrit dans le cadre du programme de développement de l’administration numérique pour les étrangers en France (ANEF), reposera sur l’application de gestion des dossiers de ressortissants étrangers en France (AGDREF 2).

Dans ce contexte, le projet de décret modifie, en son chapitre I, les articles R. 611-1, R. 611-5 et l’annexe 6-4 du code de l’entrée et du séjour des étrangers et du droit d’asile (CESEDA) relatifs au traitement automatisée de données à caractère personnel AGDREF 2 et ce, afin de tirer les conséquences de la mise en œuvre de ce téléservice (modification des finalités, des données collectées et des accédants au traitement AGDREF 2).

Or, conformément à l’article L. 611-5 du CESEDA et à l’article 30-II de la loi du 6 janvier 1978 modifiée, les modifications apportées à ce traitement doivent faire l’objet d’un décret en Conseil d’Etat pris après avis de la CNIL.

La dématérialisation de la validation du VLS-TS nécessite en outre la modification des dispositions de l’article R. 311-3 du CESEDA relatives aux conditions permettant aux titulaires de certains visas de séjourner en France au-delà d’une période de trois mois ainsi que la suppression de la procédure de validation du visa long séjour des exceptions à l’application du droit des usagers de saisir l’administration par voie électronique, prévues par le décret n° 2015-1423 du 5 novembre 2015. La Commission relève que ces modifications, énumérées au chapitre II du projet de décret, visent uniquement à assurer la cohérence d’ensemble du régime applicable à la validation du visa de long séjour valant titre de séjour sans qu’un avis, au sens de la loi du 6 janvier 1978 modifiée, ne soit requis.

Sur le cadre juridique applicable aux modifications d’AGDREF 2

La finalité principale du traitement automatisé AGDREF 2 est de garantir le droit au séjour des ressortissants étrangers en situation régulière et de lutter contre l’entrée et le séjour irréguliers en France des ressortissants étrangers . Il constitue ainsi le fichier principal de gestion administrative des étrangers en France et permet notamment la gestion, par les préfectures, des dossiers de ressortissants étrangers, la fabrication des titres de séjour et la gestion des mesures d’éloignement.

Au regard de ces éléments, la Commission estime que le traitement AGDREF 2, pris dans son ensemble, relève des dispositions des articles 70-1 et suivants de la loi Informatique et Libertés ayant transposé la directive du 27 avril 2016 susvisée.

En outre, conformément aux articles L. 611-3 et R. 611-2 du CESEDA, AGDREF 2 contient les empreintes digitales des dix doigts de certains ressortissants étrangers. Il relève dès lors des dispositions de l’article 27 de la loi du 6 janvier 1978 modifiée.

Cependant, il existe des traitements qui relèvent à la fois du champ de la directive précitée, en raison de certaines de leurs finalités, et du champ du RGPD ou du droit interne, en raison de leurs autres finalités. En effet, dès lors que les données sont traitées à d’autres fins que celles de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, le RGPD s’applique, à moins que les finalités assignées au traitement relèvent de la sûreté de l’Etat ou de la défense, activités ne relevant pas du champ d’application du droit de l’Union. Ainsi, dès lors qu’une finalité parmi d’autres se rattache exclusivement à l’un ou l’autre de ces champs d’application, le traitement de données personnelles poursuit des finalités mixtes qui impliquent qu’un double régime s’applique.

A cet égard, la Commission relève que la présente modification du traitement AGDREF 2 a pour unique objet de dématérialiser la procédure de validation des VLS-TS, grâce au déploiement d’un téléservice. Cette modification ajoute ainsi, au traitement AGDREF 2, une nouvelle fonctionnalité dont la finalité est clairement distincte, d’une part, de la prévention et la détection des infractions pénales, des enquêtes et poursuites en la matière ou de l’exécution de sanctions pénales et, d’autre part, de la sûreté de l’Etat et de la défense. La Commission considère que la présente modification d’AGDREF 2, destinée à la mise en œuvre dudit téléservice, ne relève dès lors pas des dispositions des articles 70-1 et suivants de la loi Informatique et Libertés , mais du règlement européen sur la protection des données personnelles (RGPD) susvisé.

Sur la réalisation d’une analyse d’impact sur la protection des données personnelles (AIPD)

En application de l’article 35 du RGPD, les traitements qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physique, doivent faire l’objet d’une AIPD.

Les traitements présentant un risque élevé ayant fait l’objet d’une formalité préalable avant le 25 mai 2018 ne sont toutefois pas immédiatement soumis à la réalisation d’une AIPD, à moins que les conditions de mise en œuvre de ces traitements aient fait postérieurement l’objet d’une ou plusieurs modifications substantielles.

A cet égard, la Commission relève qu’au regard de ses finalités et des données biométriques qu’il contient, le traitement AGDREF 2 est, par nature, susceptible d’engendrer des risques élevés pour les personnes concernées. Elle considère en revanche que les modifications présentement examinées – ajout d’une finalité destinée à simplifier les démarches administratives des usagers et de données et informations relatives à leur mot de passe et aux paiement des taxes dues pour l’obtention du VLS-TS –, ne sont pas substantielles. La Commission estime en conséquence que la modification du traitement qui lui est soumise ne nécessite pas, à ce stade et compte tenu des circonstances de l’espèce, la réalisation d’une analyse d’impact.

En tout état de cause, la Commission prend acte de la refonte prochaine du traitement AGDREF 2 laquelle devra notamment permettre de déployer plusieurs téléservices permettant, depuis un espace personnel unique d’effectuer différents démarches administratives. Elle rappelle que dans la mesure où ce traitement, qui contient les empreintes digitales des ressortissants étrangers, relève, dans son ensemble, de la directive précitée, la demande d’avis qui lui sera adressée devra être accompagnée de l’analyse d’impact conformément aux dispositions de l’article 70-4 de la loi du 6 janvier 1978 modifiée. A cet égard, elle prend acte de l’engagement du ministère de réaliser une telle analyse pour l’ensemble du traitement AGDREF 2 et rappelle que celle-ci devra, en tout état de cause, intervenir dans les trois ans à compter du 25 mai 2018.

Sur les finalités et le fonctionnement du téléservice projeté

Le projet de décret ajoute une finalité au traitement AGDREF 2 destinée à dématérialiser la procédure de validation des visas de long séjour valant titre de séjour. Ce téléservice, dénommé VLS-TS et qui sera obligatoire, constitue le premier d’une série qui devrait être accessible par les ressortissants étrangers depuis un portail unique dont le déploiement technique repose sur l’application AGDREF 2.

S’agissant de VLS-TS, sont concernés les ressortissants étrangers sollicitant un visa de long séjour leur permettant d’entrer en France et d’y séjourner jusqu’à un an sans avoir à demander un titre de séjour. Il en va par exemple ainsi des visas sollicités par les conjoints de ressortissant français, des étudiants, des stagiaires, des chercheurs ou de certains salariés.

Actuellement, pour valider ce type de visa et être en situation régulière, il est nécessaire, une fois sur le territoire français, d’accomplir certaines formalités auprès de l’Office français de l’immigration et de l’intégration (OFII). Si le dossier du demandeur est complet, une vignette et un cachet dateur sont apposés, par l’OFII, sur son passeport afin de valider le VLS-TS.

Avec le téléservice VLS-TS, les ressortissants étrangers concernés doivent saisir les références de leur visa à des fins de vérification dans VISABIO, le traitement automatisé de données personnelles des demandeurs de visas. Une fois leur identité et les informations relatives au visa confirmées, ils renseignent en ligne les éléments complémentaires relatifs à leur séjour en France (date d’entrée, adresse sur le territoire français) et s’acquittent des taxes dont ils sont redevables grâce à un timbre fiscal électronique, qui peut être acheté soit préalablement, sur le site de l’administration fiscale ou chez un buraliste agrée, soit, après connexion au téléservice VLS-TS, sur le site de l’agence nationale des titres sécurisés (ANTS). Une fois les taxes acquittées, l’usager obtient la validation de son visa long séjour qui lui est transmise par courriel et peut être à nouveau téléchargée, depuis son espace personnel notamment en cas de perte.

Cette nouvelle finalité d’AGDREF 2 vise ainsi à faciliter le processus de validation de certains visas par les personnes concernées et le processus d’instruction de ces demandes. La Commission relève toutefois que si jusqu’à présent le ressortissant étranger disposait d’un tampon de validation de son visa sur son passeport, il devra désormais nécessairement éditer cette validation et la conserver avec sa pièce d’identité afin de pouvoir se prévaloir de son visa de long séjour.

En tout état de cause, elle estime que la simplification des démarches administratives et l’amélioration des relations entre les administrés et l’administration constituent des finalités légitimes, sous réserve que des mesures de sécurité appropriées soient prévues et que les droits des personnes soient respectés. A cet égard, elle considère que pour assurer la proportionnalité de ce dispositif obligatoire, le ministère doit mettre à disposition des ressortissants étrangers qui ne seraient pas en capacité d’accéder au téléservice VLS-TS, des moyens pour leur en garantir l’accès. Il pourrait, par exemple, s’agir de la mise à disposition d’équipements informatiques au sein des préfectures ou dans les bureaux de l’OFII permettant de se connecter à VLS-TS.

Sous réserve de ses précédentes observations, elle considère que la nouvelle finalité du traitement AGDREF 2 est déterminée explicite et légitime, conformément à l’article

5-1-b du RGPD.

Sur les données collectées

Le ministère a précisé que la validation du VLS-TS implique l’enregistrement de données relatives à l’identité du ressortissant étranger (nom, prénom, sexe, date de naissance, ville et pays de naissance, nationalité, numéro AGDREF 2), sa situation familiale, ses coordonnées (adresse postale, numéro de téléphone et courriel), les langues parlées, son visa (numéro de visa, dates de validité, date de délivrance, validité territoriale, nombre d’entrées, durée du séjour, statut), le paiement des taxes dont il est redevable (montant et date de paiement, numéro de timbre électronique, numéro de réservation lié à l’achat du timbre électronique) et son mot de passe.

Les données relatives à l’identité, la situation familiale, les coordonnées, les langues parlées et au visa étant déjà enregistrées dans AGDREF 2, qui a pour finalité principale la gestion administrative des étrangers en France, l’article 3 du projet de décret prévoit uniquement l’ajout dans ce traitement des données relatives au paiement des taxes et au mot de passe de l’usager.

Ces données et informations étant nécessaires à la validation dématérialisée du VLS-TS, la Commission considère qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l’article 5-1-c du RGPD.

Elle relève par ailleurs qu’une grande partie de ces données est issue d’une mise en relation avec VISABIO. Le ministère a indiqué que, à terme, lesdites données seront transmises à AGDREF 2 par une mise en relation directe avec le traitement automatisé FRANCE VISAS qui doit remplacer le traitement réseau mondial visa 2 (RMV 2) permettant la délivrance de visas dans les postes diplomatiques et consulaires, ce dont la Commission prend acte.

En outre, si le ressortissant étranger choisit d’acheter son timbre fiscal via le téléservice VLS-TS, il est redirigé vers l’application AGATI de l’ANTS. Le timbre fiscal ainsi acquis est ensuite consommé sur AGDREF 2 grâce à un échange de données et informations (motif du visa, numéro de timbre, numéro de réservation).

Enfin, une fois le visa validé, AGDREF 2 transmet automatiquement certaines données au traitement automatisé IMMI2 de l’office français immigration intégration (OFII) qui est en charge de la convocation des ressortissants étrangers aux visites médicales et aux visites d’accueil.

Ces mises en relation permettent, d’une part, d’éviter une nouvelle saisine de données déjà enregistrées par l’administration et, d’autre part, de vérifier leur exactitude. Dès lors, la Commission considère qu’elles contribuent à assurer le caractère exact et à jour des données, conformément aux dispositions de l’article 5-1-d du RGPD.

Sur les destinataires

L’article 2 du projet de décret modifie l’article R. 611-5 du CESEDA, relatif aux destinataires des données enregistrées dans AGDREF 2, à l’exclusion des images numérisées des empreintes digitales, afin d’y ajouter le ressortissant étranger demandeur d’un VLS-TS.

Dans la mesure où, d’une part, actuellement les ressortissants étrangers n’accèdent pas directement à AGDREF 2 et, d’autre part, le déploiement du téléservice VLS-TS implique que le demandeur dudit visa puisse accéder à son espace personnel afin disposer de la confirmation du paiement des taxes dont il est redevable ainsi que de la validation de son visa long séjour, la Commission considère que cette modification est justifiée et conforme à l’article 5.1.f du RGPD.

Sur les autres caractéristiques du traitement

Si le périmètre de la présente saisine n’a pas pour objet de modifier les dispositions du CESEDA régissant les autres caractéristiques du traitement AGDREF 2, telles que les dispositions relatives aux durées de conservation ou aux droits des personnes, la Commission estime néanmoins qu’il est nécessaire qu’elle se prononce sur la cohérence d’ensemble du dispositif VLS-TS compte tenu de l’architecture technique retenue. Elle entend dès lors s’assurer que l’absence de modification desdites dispositions du CESEDA ne soulève pas de difficultés majeures au regard des règles applicables en matière de protection des données personnelles.

Dans ce contexte, le téléservice VLS-TS appelle les observations suivantes de la part de la Commission.

S’agissant de la durée de conservation, en application de l’article R. 611-7-1 du CESEDA, les données sont conservées cinq ans à compter de leur enregistrement, sauf si le dossier a fait l’objet de mise à jour.

Cette durée n’apparaît pas excessive pour les catégories de données nécessaires, après la validation du VLS-TS, à la gestion administrative du ressortissant étranger telles que notamment l’identité du demandeur, sa situation familiale, son visa, le paiement des taxes. La Commission estime en revanche que s’agissant du mot de passe du demandeur et de son espace personnel une telle durée de conservation n’apparaît pas utile, la procédure de validation d’un visa de long séjour n’ayant pas vocation à être renouvelée régulièrement.

Si le ministère entend se prévaloir d’une durée uniforme au regard du projet de déploiement à venir d’autres téléservices à destination des ressortissants étrangers qui devraient être accessibles depuis le même espace personnel, la Commission rappelle que le déploiement desdits téléservices impliquera nécessairement une modification ultérieure du CESEDA par un décret en Conseil d’Etat pris avis de la CNIL. Dans ce contexte, elle considère que le projet de décret, qui ne concerne que VLS-TS, devrait prévoir une date de conservation proportionnée à cette fonctionnalité pour les données relatives à l’espace personnel de l’usager, à l’instar par exemple de FRANCE-VISA pour lequel les données du compte utilisateur peuvent être immédiatement effacées sur demande de l’utilisateur ou à l’initiative de l’administration en cas d’inactivité du compte prenant une durée ininterrompue d’un an. Dans l’attente de la refonte globale d’AGDREF 2, elle demande à ce que le projet de décret soit modifié pour définir une durée de conservation des données enregistrées dans l’espace personnel du titulaire d’un visa de long séjour valant titre de séjour, proportionnée.

En ce qui concerne l’information des personnes, la Commission rappelle qu’elle doit être effective et contenir l’ensemble des éléments prévus à l’article 13 du RGPD. Elle prend acte de l’engagement du ministère à ce qu’elle soit fournie, en plusieurs langues, sur le site permettant aux personnes de formuler une demande de validation du VLS-TS.

Les modalités d’exercice des droits d’accès et de rectification prévus aux articles

R. 611-7-3 et R. 611-7-4 n’appellent pas d’observation particulière.

En revanche, la Commission constate qu’aucune disposition spécifique relative au droit d’opposition n’est prévue. Or, la présente modification du traitement AGDREF 2 relevant du RGPD, elle rappelle que les dispositions de l’article 21 du RGPD ont vocation à s’appliquer. Il appartient dès lors au ministère de s’assurer de la bonne application de ces dispositions et, le cas échéant, de modifier le projet de décret sur ce point.

S’agissant des mesures de sécurité, VLS-TS est un téléservice accessible depuis Internet et adossé au traitement AGDREF 2. Les accès au traitement se font via le protocole HTTPS, qui permet de garantir la confidentialité des données échangées ainsi que l’authentification du responsable de traitement. Concernant le recours à ce protocole, la Commission recommande d’utiliser la version de TLS la plus à jour possible.

S’agissant des différentes mises en relation entre AGDREF 2 et d’autres traitements automatisés, le ministère a précisé que les échanges de données sont réalisés via des canaux de communication chiffrés et assurant l’authentification de la source et du destinataire.

Une fois son visa validé, l’usager reçoit son attestation de validation ainsi que son identifiant personnel AGDREF et un mot de passe provisoire par courriel. Le ministère a indiqué qu’à sa première connexion l’usager doit modifier son mot de passe. La Commission rappelle que, dans sa délibération n° 2017-012 du 19 janvier 2017, elle a émis plusieurs recommandations relatives aux mots de passe, qu’il s’agisse de leur constitution, de leur stockage ou de leur moyen de transmission à l’usager. La Commission invite le ministère à en prendre connaissance, notamment s’agissant de la transmission des secrets à l’usager, et à mettre en œuvre les mesures correctrices qui seraient, le cas échéant, nécessaires.

Elle recommande également au ministère de mettre en place un verrouillage temporaire des accès après un nombre déterminé de tentatives erronées d’authentification par les usagers. La Commission rappelle en outre que les moyens d’authentification des agents de l’Etat doivent également être conformes à ladite délibération.

Pour La Présidente,

Le Vice-Président Délégué

Marie-France MAZARS