La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet de décret portant diverses dispositions relatives au traitement automatisé de données à caractère personnel dénommé Passage Automatisé Rapide Aux Frontières Extérieures (PARAFE) ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/399 du Parlement européen et du Conseil du 9 mars 2016 concernant un code de l’Union relatif au régime de franchissement des frontières par les personnes (code frontières Schengen)

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu le règlement (UE) 2017/458 du Parlement européen et du Conseil du 15 mars 2017 modifiant le règlement (UE) 2016/399 en ce qui concerne le renforcement des vérifications dans les bases pertinentes aux frontières extérieures ;

Vu le code de la sécurité intérieure, notamment ses articles R. 232-6 à R. 232-11 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 27 et 30 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2007-094 du 3 mai 2007 portant avis sur un projet de décret portant création d’un traitement automatisé de données à caractère personnel relatives à des passagers des aéroports français franchissant les frontières extérieures des Etats parties à la Convention signée à Schengen le 19 juin 1990 ;

Vu la délibération n° 2010-105 du 15 avril 2010 portant avis sur un projet de décret modifiant le décret n° 2007-1182 du 3 août 2007 portant création d’un traitement automatisé de données à caractère personnel relatives à des passagers des aéroports français franchissant les frontières extérieures des Etats parties à la convention signée à Schengen le 19 juin 1990 ;

Vu la délibération n° 2016-012 du 28 janvier 2016 portant avis sur un projet de décret portant modification d’un traitement automatisé de données à caractère personnel dénommé PARAFE ;

Sur la proposition de M^me Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M^me Nacima BELKACEM, commissaire du Gouvernement,

Émet l’avis suivant :

La Commission a été saisie pour avis par le ministre de l’intérieur d’un projet de décret en Conseil d’Etat portant diverses dispositions relatives au traitement automatisé de données à caractère personnel dénommé Passage Automatisé Rapide Aux Frontières Extérieures (PARAFE).

Le dispositif PARAFE , encadré par les articles R. 232-6 à R. 232-11 du code de la sécurité intérieure, a pour objectif d’améliorer et de faciliter la mise en œuvre des contrôles aux frontières, dans les points de passage frontaliers tenus par les services garde-frontières français aux frontières extérieures de l’espace Schengen en permettant le passage de ces frontières de manière automatisée. Les voyageurs éligibles au dispositif PARAFE , et qui le souhaitent, peuvent dès lors emprunter des sas dédiés afin de satisfaire aux contrôles précités à partir de la lecture automatisée de leur passeport et de la vérification des données biométriques associées (empreintes digitales ou reconnaissance faciale) enregistrées au moment de leur inscription au programme PARAFE ou lors de la délivrance de ce titre d’identité.

La Commission rappelle qu’elle s’est prononcée, à plusieurs reprises, sur les conditions de mise en œuvre de ce traitement ainsi que sur les garanties substantielles qui doivent entourer le dispositif PARAFE afin d’assurer un haut niveau de protection des données des personnes concernées. Elle rappelle à cet égard qu’elle considère comme légitime le recours à des dispositifs de reconnaissance biométrique pour s’assurer de l’identité d’une personne, dès lors que les données biométriques sont conservées sur un support dont la personne a l’usage exclusif, comme c’est le cas pour le passeport biométrique. La Commission estime à ce titre, ainsi qu’elle l’a rappelé dans de nombreuses délibérations, que la mise en place et le maintien d’une base centrale de données biométriques ne peut être admise que dans la mesure où des exigences impérieuses en matière de sécurité ou d’ordre public le justifient. Elle rappelle en particulier que le traitement de données telles que les empreintes digitales, sous une forme centralisée, engendre davantage de risques du point de vue de la protection des données à caractère personnel, compte tenu à la fois des caractéristiques de l’élément d’identification physique retenu, des usages possibles de ces traitements et des risques d’atteintes graves à la vie privée et aux libertés individuelles en résultant. Elle prend acte des évolutions envisagées par le ministère visant, à terme, à supprimer la base centrale des empreintes digitales et demande, en tout état de cause, à être dûment informée du caractère effectif de cette modification. La Commission rappelle que l’analyse d’impact relative à la protection des données (AIPD) devra être mise à jour en conséquence.

La Commission rappelle par ailleurs que lorsqu’elle a examiné, en 2016, la modification du dispositif visant à recourir à une nouvelle technique biométrique (la reconnaissance faciale) afin d’authentifier les voyageurs utilisant les sas PARAFE pour franchir les frontières extérieures de l’Union européenne, elle a notamment relevé au titre des garanties mises en œuvre que le fonctionnement de ce nouveau dispositif ne nécessiterait pas la constitution d’une base centrale.

Ces éléments généraux rappelés, la Commission relève que les modifications envisagées par le présent projet de décret visent à :

• élargir le public éligible au dispositif PARAFE ainsi que le type de document pouvant être présenté lors de son utilisation ;

• permettre l’interrogation de manière systématique de la base de données concernant les documents de voyage volés ou perdus stolen or lost travel documents (SLTD) d’Interpol.

La Commission considère que le traitement PARAFE , qui a pour finalité de fluidifier les contrôles de police aux frontières extérieures, relève du champ d’application du règlement (UE) 2016/679 du 27 avril 2016 susvisé (ci-après RGPD ). Dans la mesure où il est mis en œuvre pour le compte de l’Etat, agissant dans l’exercice de ses prérogatives de puissance publique, et qu’il porte sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes, sa modification doit faire l’objet d’un décret en Conseil d’Etat, conformément aux articles 27 et 30 de la loi du 6 janvier 1978 modifiée. En ce qui concerne la base légale du traitement, la Commission observe que le ministère entend se prévaloir de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement conformément à l’article 6-1-e) du RGPD. Le traitement PARAFE étant susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, elle relève qu’une analyse d’impact relative à la protection des données (AIPD) lui a été transmise.

Sur l’élargissement du public éligible au dispositif PARAFE

À titre liminaire, et au regard des observations générales formulées relatives aux dispositifs biométriques, la Commission rappelle que l’élargissement du public éligible au dispositif ne saurait en aucun cas légitimer le maintien d’une base centrale, ni son extension massive, au détriment de l’utilisation de dispositifs biométriques plus protecteurs des libertés des personnes concernées.

En premier lieu, le projet de décret prévoit que les mineurs âgés de douze ans révolus pourront recourir au dispositif PARAFE .

La Commission prend acte des précisions apportées par le ministère selon lesquelles cette modification s’inscrit d’une part, dans un contexte d’augmentation croissante du trafic mondial aérien et vise, d’autre part, à répondre au renforcement de la législation européenne relative aux contrôles aux frontières. Dans ce contexte, le ministère a précisé que le développement du public éligible au passage par les sas du dispositif PARAFE doit permettre de maintenir des contrôles renforcés aux frontières sans dégrader la fluidité du trafic.

Si la Commission n’entend pas remettre en cause les justifications opérationnelles invoquées, elle estime que la possibilité pour des personnes mineures d’être éligibles au dispositif PARAFE doit s’accompagner de garanties strictes.

À ce titre, elle prend acte que les mineurs âgés de douze ans révolus, faisant partie des ressortissants éligibles à PARAFE , pourront recourir au dispositif et ce, uniquement afin d’entrer sur le territoire. La Commission relève par ailleurs que conformément aux dispositions du code frontières Schengen susvisé (CFS), les mineurs de moins de douze ans ne pourront en aucun cas utiliser ce dispositif, les dispositions règlementaires en vigueur interdisant la prise de leurs empreintes digitales. Elle prend en outre acte des précisions du ministère selon lesquelles lorsqu’un mineur de plus de douze ans s’enregistrera au sein du traitement, un titulaire de l’autorité parentale devra donner son consentement par le biais d’une autorisation remise au garde-frontière.

Au-delà de ces garanties, la Commission estime que des mesures particulières devraient être mises en œuvre par le ministère afin de tenir compte de l’ajout de cette catégorie de personnes, nécessairement plus vulnérable. À ce titre elle considère que l’information qui leur sera délivrée devrait être renforcée, et la durée de conservation des données les concernant ajustée.

En deuxième lieu, le projet de décret prévoit d’ouvrir le dispositif aux personnes majeures de nationalité monégasque ou andorrane ou ressortissants de pays tiers détenteurs d’une carte de séjour de membre de la famille d’un citoyen de l’Union européenne prévue par l’article 10 de la directive 2004/38/CE émise par le France ou par un autre Etat membre de l’Union européenne et en cours de validité.

La Commission prend acte que ces ressortissants sont exonérés de contrôles approfondis et ne sont par ailleurs pas soumis au compostage de leur document de voyage à l’entrée et à la sortie du territoire d’un Etat membre, conformément aux dispositions du CFS.

Sous réserve des éléments précédemment rappelés concernant le maintien d’une base centralisée de données biométriques, cette extension n’appelle pas d’observation particulière de la part de la Commission.

Sur les documents pouvant être présentés avec ou sans enrôlement préalable

Le projet de décret vise à substituer au terme passeport celui de document de voyage conforme aux recommandations de la norme 9303 de l’Organisation de l’aviation civile internationale . La Commission prend acte que cette modification doit permettre aux voyageurs d’utiliser, en sus de leur passeport, leur carte nationale d’identité, dès lors que celle-ci est lisible en machine (biométrique, à puce ou au moyen d’une bande MRZ). Cet ajout n’appelle pas de remarque particulière de la Commission.

Sur l’interrogation de la base de données SLTD d’Interpol

L’article 3 du projet de décret prévoit que les données alphanumériques du traitement peuvent donner lieu à la consultation du fichier des documents de voyage volés et perdus d’Interpol (au même titre que le fichier des personnes recherchées ainsi que le système d’information Schengen).

La Commission relève que cette modification vise à tenir compte de l’évolution de la réglementation européenne en la matière. À cet égard, elle observe que l’article 8-2 du CFS prévoit qu’ à l’entrée et à la sortie, les personnes jouissant du droit à la libre circulation au titre du droit de l’Union sont soumises aux vérifications suivantes : à la vérification de l’identité et de la nationalité de la personne ainsi que de l’authenticité et de la validité de son document de voyage pour le franchissement de la frontière, y compris par la consultation des bases de données pertinentes, notamment (…) la base de données d’Interpol sur les documents de voyage volés ou perdus (SLTD).

La Commission constate que conformément au CFS, l’interrogation de cette base de données sera faite de manière systématique. Elle prend par ailleurs acte de la conservation, à des seules fins statistiques, du nombre de hits et de l’absence d’enregistrement, au sein du traitement PARAFE , de la nature ou du détail de l’interrogation réalisée.

Compte tenu de ce qui précède, la Commission considère que l’interrogation de la base de données SLTD d’Interpol n’appelle, par principe, pas d’observation particulière dans la mesure où elle permet d’harmoniser les conditions de contrôle automatique des passagers empruntant le sas rapide avec celles du contrôle réglementaire classique. Elle estime toutefois que le projet de décret devrait être complété afin de mentionner expressément le caractère systématique de cette interrogation. Elle prend acte de l’engagement du ministère de modifier le projet de décret en ce sens.

Sur la durée de conservation des données

La Commission relève que la durée de conservation des données actuellement enregistrées dans le traitement PARAFE est de cinq ans. Elle rappelle qu’il importe d’adapter cette durée de conservation aux catégories de personnes concernées et qu’à ce titre, elle estime qu’une durée de conservation moindre doit être fixée s’agissant des mineurs âgés de douze ans révolus. Elle rappelle que le considérant 38 du RGPD précise que les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel . La Commission relève que le ministère entend désormais limiter la durée de conservation des données relatives aux personnes mineures à trois ans. Elle prend acte de la modification à intervenir du projet de décret en ce sens.

Enfin, la Commission prend acte que les traces des actions des administrateurs et des agents sont conservées dans le traitement pour une durée de deux ans, et que le projet de décret sera modifié afin qu’il en soit expressément fait mention. Elle relève par ailleurs que des traces techniques sont collectées et stockées localement au niveau de chaque sas. Elle prend acte que ces données sont exclusivement relatives à la nationalité du passeport ainsi que sa date d’émission, et qu’elles font en outre l’objet d’un archivage régulier.

Sur les droits de personnes concernées

L’article 4 du projet de décret prévoit que les droits d’information, d’accès, de rectification, d’effacement, à la limitation et d’opposition prévus aux articles 13, 15, 16, 17, 18 et 21 du Règlement s’exercent auprès du chef du service de la police aux frontières ou des douanes des aéroports ; ports maritimes et gares ferroviaires concernés soir par écrit soit directement auprès du poste d’inscription .

En ce qui concerne le droit à l’information des personnes concernées, la Commission rappelle que l’article 12-1 du RGPD énonce que le responsable du traitement prend des mesures appropriées pour fournir toute information d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant.

À cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles l’information des personnes concernées doit se réaliser au moyen d’un dépliant, annexé à toutes les conventions conclues avec les gestionnaires d’infrastructures ainsi que par l’intermédiaire de panneaux d’affichage. Elle relève par ailleurs qu’une information sera délivrée sur le site internet du ministère de l’intérieur.

Sans remettre en cause les mesures mises en œuvre par le ministère, la Commission regrette que le site dédié au dispositif PARAFE ne soit plus accessible. Elle estime par ailleurs que les informations actuellement communiquées aux personnes concernées pourraient être enrichies et mises à jour notamment au regard de l’évolution de la réglementation en matière de protection des données à caractère personnel.

Enfin, elle rappelle que le considérant 58 du RGPD prévoit que l es enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l’enfant peut aisément comprendre . Dès lors, et au regard de la philosophie générale de la réglementation européenne visant à renforcer l’exercice effectif des droits des personnes concernées, elle estime que des mesures particulières doivent être mises en œuvre en ce qui concerne les personnes mineures. Si elle prend acte des éléments transmis par le ministère en ce sens visant à assurer la délivrance de cette information en des termes clairs, concis et formulés avec des mots simples , elle regrette que le support visé ne lui ait pas été communiqué.

Sur les mesures de sécurité

La Commission prend acte que les mesures de sécurité font l’objet de revues régulières et que des audits de sécurités ont été réalisés. Dans ce contexte, elle relève qu’un plan d’action a été élaboré, prévoyant des délais de mise en œuvre raisonnables.

La Commission constate que les conditions techniques d’interrogation de la base de données SLTD ne sont pas évoquées dans l’AIPD transmise par le ministère. Elle rappelle, en tout état de cause, la nécessité de s’assurer que les échanges de données sont réalisés via des canaux de communication chiffrés, assurant l’authentification de la source ainsi que du destinataire.

La Commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 32 du RGPD. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. À cet égard, elle rappelle qu’il conviendra d’apporter une attention spécifique à la réévaluation des mesures de sécurité dans le cadre de la mise à jour de l’analyse d’impact.

La Présidente

M-L. DENIS