La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis relative à un projet d’arrêté modifiant l’arrêté autorisant la création d’un traitement automatisé de données à caractère personnel dénommé DOCVERIF ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à l’égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision cadre 2008/977/JAI du Conseil ;

Vu le code de l’entrée et du séjour des étrangers et du droit d’asile, notamment ses articles R. 311-13-1 et R. 611-1 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 26-I, 30-II et son chapitre XIII ;

Vu le décret n° 55-1397 du 22 octobre 1955 modifié instituant la carte nationale d’identité ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 1726-2005 du 30 décembre 2005 modifié relatif aux passeports ;

Vu le décret n° 2016-1460 du 28 octobre 2016 modifié autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité ;

Vu l’a rrêté du 10 août 2016 autorisant la création d’un traitement automatisé de données à caractère personnel dénommé DOCVERIF  ;

Vu la délibération n° 2016-218 du 21 juillet 2016 portant avis sur un projet d’arrêté autorisant la création d’un traitement automatisé de données à caractère personnel dénommé DOCVERIF ;

Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de M^me Nacima BELKACEM, commissaire du Gouvernement,

Émet l’avis suivant :

La Commission a été saisie par le ministre de l’intérieur d’une demande d’avis relative à la modification de l’arrêté autorisant la création d’un traitement automatisé de données à caractère personnel dénommé DOCVERIF .

Ce traitement, sur lequel la Commission s’est déjà prononcée dans sa délibération du 21 juillet 2016 susvisée, a pour objet de renforcer l’efficacité de la lutte contre la fraude documentaire et l’usurpation d’identité en facilitant le contrôle de la validité des cartes nationales d’identité et des passeports par les services de la police nationale ainsi que de la gendarmerie nationale et ainsi lutter contre l’utilisation indue de ces documents, leur falsification ou leur contrefaçon.

Elle relève que la présente modification vise, d’une part, à élargir le contrôle effectué par les services précités aux titres de séjour étrangers et, d’autre part, à étendre les catégories de personnes pouvant accéder au traitement.

Dans la mesure où le traitement DOCVERIF a pour finalité la prévention, la recherche, la constatation ou la poursuite d’infractions pénales, celui-ci doit dès lors faire l’objet d’un arrêté, pris après avis motivé et publié de la Commission conformément aux dispositions de l’article 70-3 de la loi du 6 janvier 1978 modifiée.

Sur les finalités du traitement :

L’article 1^er de l’arrêté du 10 août 2016 susvisé et autorisant la création du traitement DOCVERIF dispose que le traitement a pour finalité de faciliter le contrôle de la validité des documents émis par les autorités françaises et de lutter contre l’utilisation indue de tels documents, leur falsification ou leur contrefaçon .

La Commission relève que si les finalités du traitement restent inchangées, l’article 2 du présent projet d’arrêté a pour objet de modifier le périmètre des titres pouvant être contrôlés afin d’ajouter aux cartes nationales d’identité et aux passeports, les titres de séjour comportant le composant électronique prévu à l’article R. 311-13-1 du code de l’entrée et du séjour des étrangers et du droit d’asile .

La Commission rappelle tout d’abord que lors de la création du traitement DOCVERIF , le ministère avait déjà indiqué que le traitement avait vocation à s’étendre à d’autres documents, en particulier aux titres de séjour. Elle prend par ailleurs acte des précisions apportées par ce dernier selon lesquelles cette extension vise à permettre de renforcer les moyens de la lutte contre la fraude documentaire sur l’ensemble des titres, conformément à l’objectif poursuivi par le traitement.

Dans ces conditions, la Commission estime que les finalités du traitement sont déterminées, explicites et légitimes, conformément aux dispositions de l’article 6-2° de la loi du 6 janvier 1978 modifié.

Sur les données collectées :

L’article 3 du projet d’arrêté modifie les données pouvant être enregistrées dans le traitement DOCVERIF afin d’y ajouter la collecte des données relatives aux titres de séjours, à savoir : le type et le numéro du document, sa date de délivrance et de fin de validité, la mention du caractère valide ou non valide du document et, pour les seuls documents invalides, le motif de cette invalidité.

A titre liminaire, la Commission relève que ces données sont collectées au moyen d’une alimentation quotidienne par le traitement AGDREF 2 sur lequel la Commission s’est déjà prononcée. A cet égard, elle rappelle que toute modification substantielle de ce traitement doit faire l’objet d’un décret en Conseil d’Etat pris après avis de la Commission, conformément aux dispositions de l’article L. 611-5 du CESEDA et à l’article 30-II de la loi du 6 janvier 1978 modifiée. Si la Commission relève qu’un projet de décret modifiant le traitement AGDREF 2 lui a été transmis dans le cadre de l’examen d’une saisine portant sur un traitement distinct, elle regrette, dans un souci de cohérence, que la modification envisagée n’ait pas fait l’objet d’un acte réglementaire spécifique.

En ce qui concerne les données enregistrées dans le traitement et relatives aux titres de séjour étrangers, la Commission prend acte qu’aucune information nominative n’est transmise ou conservée dans le traitement DOCVERIF , qui ne concerne que des documents et ne permet pas d’effectuer des recherches relatives à des personnes à partir des données collectées.

Elle relève par ailleurs que le projet d’arrêté prévoit que, contrairement à ce qui est actuellement prévu pour les cartes d’identité et les passeports, la date de fin de validité du titre de séjour soit enregistrée dans le traitement. La Commission prend acte des justifications apportées par le ministère selon lesquelles cette donnée doit permettre de connaître la fin exacte de la validité d’un document pour en établir le statut ( titre valide ou titre invalide ). Elle relève à cet égard que, contrairement aux cartes d’identité et passeports, les titres de séjour étrangers ont des durées de validité très variables, y compris au sein d’une même catégorie de titre de séjour.

Enfin, la Commission prend acte que le ministère entend désormais collecter la date de délivrance des passeports et des cartes nationales d’identité. Elle estime que cette modification n’appelle pas d’observation particulière au regard des finalités poursuivies par le traitement DOCVERIF .

Au regard de ces éléments, la Commission considère que les données ainsi collectées sont adéquates, pertinentes et non excessives, conformément à l’article 6-3° de la loi du 6 janvier 1978 modifiée.

Sur les destinataires des données :

L’article 5 du projet d’arrêté prévoit que deux catégories distinctes de destinataires peuvent avoir accès au traitement et sont identifiées comme appartenant au Cercle 1 d’une part, et au Cercle 2 d’autre part.

La Commission rappelle que l’arrêté du 10 août 2016 susvisé prévoit uniquement l’accès au traitement pour les personnes du Cercle 1 , soit les agents de la police nationale et les militaires de la gendarmerie nationale spécialement habilités, dans la limite du besoin d’en connaitre. Le Cercle 1 intègre également les agents du ministère de l’intérieur en charge de l’application de la réglementation relative aux documents entrant dans le périmètre du traitement, ainsi que les agents de l’Agence nationale des titres sécurisés chargés de la mise en œuvre du traitement. A cet égard, elle réitère la réserve formulée dans la délibération du 21 juillet 2016 susvisée relative à la création du traitement DOCVERIF selon laquelle il devrait être précisé que seuls peuvent avoir accès au traitement, les agents de la police nationale et les militaires de la gendarmerie nationale ayant des missions de contrôle de l’identité des personnes et de vérification de la validité des documents.

Le projet d’arrêté vise à étendre les catégories de personnes pouvant accéder aux données enregistrées dans le traitement au Cercle 2 , composé des administrations publiques, des organismes chargés d’une mission de service public et des établissements de crédit.

La Commission relève que sont susceptibles d’être concernés :

• au titre des administrations publiques : celles qui doivent réaliser un contrôle de la validité des pièces d’identité qui leur sont fournies (comme par exemple le Service central des armes ou le Conseil national des activités privées de sécurité (CNAPS)) ;
• au titre des organismes chargés d’une mission de service public : ceux qui, dans leurs missions légales ou règlementaires, sont habilités à réaliser des vérifications de pièces d’identité, tels que certains organismes relevant du secteur de la protection sociale.

La Commission relève que le ministère a précisé qu’un tel élargissement du périmètre à des personnes pouvant accéder au dispositif au-delà des autorités habilitées à procéder à un contrôle d’identité doit permettre de lutter plus efficacement contre la fraude documentaire, dans des domaines relevant tant du champ public que des relations entre personnes privées afin de contribuer à démonétiser les titres frauduleux et à leur faire perdre leur valeur, par exemple dans le cadre de prestations sociales indûment octroyées.

En ce qui concerne les établissements de crédit, également visés au titre des utilisateurs du Cercle 2 , le ministère a précisé que l’accès aux données enregistrées dans le traitement DOCVERIF doit leur permettre de satisfaire au respect des obligations légales auxquelles ils sont soumis s’agissant notamment de vérification des éléments d’identification de leurs clients.

Sans remettre en cause les justifications apportées par le ministère permettant de préciser les organismes visés par le projet d’arrêté, la Commission considère que les formulations retenues ne permettent pas de délimiter précisément le périmètre des utilisateurs du Cercle 2 expressément visés, ni les circonstances dans lesquelles cet accès sera autorisé.

Elle relève cependant que ces nouveaux accès sont subordonnés à la mise en œuvre des garanties suivantes.

A titre liminaire, la Commission prend acte que les personnes visées par l’extension projetée n’ont pas vocation à prendre connaissance d’autres informations que celles relatives à la validité ou non du titre dont le numéro a été saisi. Ainsi, trois types de réponses peuvent être renvoyés lors de l’interrogation du dispositif : titre valide , titre invalide ou titre inconnu . Contrairement à ce qui est prévu pour les utilisateurs du Cercle 1 , aucune donnée nominative, aucun motif d’invalidité ou encore aucune conduite à tenir ne sera accessible aux utilisateurs de ce deuxième cercle.

La Commission prend également acte de ce que l’article 5 de l’arrêté du 10 août 2016 est modifié afin de préciser les modalités d’interrogation du traitement par les utilisateurs du Cercle 2 , qui s’effectuera uniquement par la saisie du type de document, de son numéro et de sa date de délivrance.

Le projet d’arrêté précise que l’accès aux données enregistrées dans le traitement par l’ensemble de ces catégories d’organismes est subordonné à la conclusion d’une convention avec le responsable de traitement, et ce, afin de préciser les modalités d’accès aux dites données. Si les catégories d’informations devant être fournies par l’organisme ont été transmises à la Commission, elle regrette néanmoins qu’une convention type ne lui ait pas été communiquée.

Dans ce contexte, la Commission rappelle qu’une vigilance particulière s’impose en matière de mise à jour des données, compte tenu des conséquences importantes qu’emporteraient, pour les personnes contrôlées, d’éventuelles erreurs sur le statut du document présenté à l’occasion d’un contrôle. Elle prend à cet égard acte de ce que l’alimentation du traitement DOCVERIF est quotidienne. Au regard notamment du caractère particulièrement hétérogène des organismes composant le Cercle 2 , la Commission rappelle qu’une attention particulière devra être portée aux conséquences liées à l’invalidité d’un titre, qui devront dès lors être encadrées par la convention conclue entre l’organisme concerné et le responsable de traitement et ce, afin de limiter les effets défavorables qui en résulteraient pour les personnes concernées.

Enfin, la Commission relève que le ministère a indiqué qu’une phase pilote concernant ces utilisateurs sera mise en œuvre dans un premier temps, permettant ainsi d’expérimenter le dispositif par une dizaine d’organismes, et ce, avant que le dispositif pérenne soit déployé. Elle demande à cet égard à être destinataire du bilan qui sera établi à l’issue de cette première phase. Par ailleurs, elle prend acte qu’une convention type lui sera transmise par le ministère dans ce même délai, soit à l’issue de la phase pilote.

Sur l’interconnexion avec le traitement ALICEM :

L’article 8 du projet d’arrêté prévoit une mise en relation du traitement DOCVERIF avec le traitement automatisé dénommé Application de Lecture d’Identité d’un Citoyen En Mobilité ( ALICEM ), faisant l’objet d’une saisine distincte.

La Commission prend acte que le traitement précité a pour objet de délivrer des identités numériques à partir de passeports biométriques ou des titres de séjour étrangers électroniques biométriques. A cet égard, le ministère a indiqué qu’au moment de l’inscription d’un usager dans l’application ALICEM et lors de chaque demande d’identification numérique, le traitement DOCEVRIF sera interrogé afin de s’assurer de la validité des titres permettant la délivrance de l’identité numérique.

La Commission estime, au regard des finalités poursuivies par ces deux traitements, que cette mise en relation n’appelle pas d’observation.

Sur les autres modifications du traitement :

En premier lieu, l’article 7 du projet d’arrêté prévoit la collecte des données de traçabilité. A cet égard, les opérations de collecte, de consultation et communication font l’objet d’un enregistrement permettant d’établir la date et l’heure de celles-ci ainsi que, pour les opérations de consultation et de communication, l’identification de l’auteur, le type et le numéro du titre interrogé, le résultat de l’interrogation et le mode de connexion . Ces données sont conservées pour une durée d’un an, ce qui n’appelle pas d’observation de la Commission.

En deuxième lieu, l’article 11 de l’arrêté précité vise à modifier les droits de personnes concernées, au regard des dispositions du chapitre XIII de la loi du 6 janvier 1978 modifiée. Il prévoit à cet égard que les droits d’information, d’accès, de rectification et d’effacement, prévus à l’article 70-18 à 70-20 de la loi précitée s’exercent auprès du secrétaire général du ministère de l’intérieur, ce qui n’appelle pas d’observation particulière.

Enfin, le projet d’arrêté précise qu’en application de l’article 38 de la loi du 6 janvier 1978 modifiée, le droit d’opposition ne s’applique pas au traitement projeté.

La Commission rappelle que, si les dispositions de la directive 2016/680 du 27 avril 2016 susvisée telles que transposées en droit interne, ne mentionnent pas la possibilité pour les personnes concernées de s’opposer au traitement mis en œuvre, les Etats membres conservent, en tout état de cause, la possibilité de prévoir des garanties plus étendues que celles établies dans ladite directive pour la protection des droits et des libertés des personnes concernées à l’égard du traitement des données à caractère personnel par les autorités compétentes.

Dans ce contexte, elle considère que l’article 38 précité, qui n’a pas été abrogé par la loi relative à la protection des données personnelles et dont l’application aux traitements relevant de la directive précitée n’est pas davantage exclue par les dispositions des articles 70-1 et suivants de la loi Informatique et Libertés , a également vocation à s’appliquer aux traitements relevant du champ d’application de cette directive. Elle relève à cet égard que cet article 38 prévoit la possibilité d’écarter le droit d’opposition lorsque le traitement répond à une obligation légale ou lorsqu’une disposition expresse de l’acte réglementaire autorisant le traitement l’exclut.

En l’espèce, la Commission considère que l’exclusion du droit d’opposition telle que prévue par l’article 8 du projet d’arrêté est proportionnée au regard de la finalité poursuivie par le traitement projeté, à savoir le contrôle de la validité des documents émis par les autorités françaises et la lutte contre l’utilisation indue de tels documents, leur falsification ou leur contrefaçon. Compte tenu de ce qui précède, elle estime que la limitation apportée à l’exercice du droit d’opposition s’inscrit dans le cadre des dispositions du droit national relatives à la protection des données à caractère personnel et n’est pas de nature à porter une atteinte excessive aux droits et libertés des personnes concernées.

Sur la sécurité des données et la traçabilité des actions :

La Commission observe que deux grandes catégories d’utilisateurs sont habilitées à accéder aux informations fournies par le traitement DOCVERIF : les utilisateurs du Cercle 1 et ceux du Cercle 2 .

Les modalités d’accès et de consultation par les utilisateurs du Cercle 1 , ne présentent pas de changements par rapport au traitement sur lequel elle s’était prononcée dans sa délibération n° 2016-218, ce qui n’appelle pas d’observation particulière. Concernant les accès par les utilisateurs du Cercle 2 , la Commission relève que ceux-ci sont donnés par l’Agence Nationale des Titres Sécurisés (ANTS) après qu’un enregistrement ait été réalisé.

La Commission relève que la base de données à laquelle accèdent les utilisateurs du Cercle 2 est issue de la réplication partielle de la base DOCVERIF utilisée par les utilisateurs du Cercle 1 . La Commission observe que seuls les administrateurs du traitement seront en mesure de consulter les motifs d’invalidation des titres à des fins de contrôle, de diagnostic, de maintenance ou de traçabilité.

En pratique l’interrogation des bases DOCVERIF Cercle 1 et Cercle 2 est réalisée de façon à assurer l’authentification des destinataires, la confidentialité et l’intégrité des transmissions. Une gestion des habilitations permet d’attribuer les accès aux seules données nécessaires aux destinataires.

La Commission observe qu’une journalisation des opérations de consultation, création et modification des données est mise en place.

L’accès aux journaux est restreint aux seuls administrateurs du traitement. Afin de détecter tout usage abusif ou frauduleux, la Commission recommande de réaliser des contrôles réguliers des traces de manière automatique, afin de détecter les comportements anormaux et lever des alertes. A cet égard, elle prend acte de l’engagement du ministère d’étudier la possibilité de réaliser de tels contrôles, lesquels pourraient être mis en œuvre courant 2019.

Un système de d’import et de purge, automatique et quotidien, est mis en œuvre, permettant d’assurer que les informations du traitement DOCVERIF sont bien à jour.

La Commission prend acte que le réseau sur lequel repose le traitement fait l’objet de mesure de filtrage ayant pour but de restreindre l’émission et la réception des flux aux machines identifiées et autorisées. Les accès distants sont sécurisés via un VPN chiffré.

Elle prend également acte qu’un algorithme à l’état de l’art (AES 256 bits) est utilisé pour le chiffrement des données en base active ainsi que pour les données sauvegardées.

Des sauvegardes quotidiennes sont réalisées et sont stockées dans un endroit garantissant leur sécurité et leur disponibilité.

La Commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes aux exigences de sécurité prévue par l’article 70-13 de la loi du 6 janvier 1978 modifiée. La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Pour la Présidente

Le Vice-Président délégué

Marie-France MAZARS