N° de demande d’avis : 24006740	Thématiques : systèmes d’information européens, données biométriques, contrôles d’identité, contrôles aux frontières, contrôles du droit au séjour
Organisme(s) à l’origine de la saisine : ministère de l’intérieur	Fondement de la saisine : Article 8, I, 4°, a) de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

L’essentiel :

La CNIL a été saisie, par le ministère de l’intérieur, des dispositions d’un projet de loi portant diverses adaptations au droit de l’Union européenne qui concernent les systèmes d’information européens mis en œuvre pour lutter contre la criminalité et sécuriser les frontières.

Les modifications portées par le projet de loi visent à permettre la collecte des empreintes digitales et de la photographie lors de contrôles et vérifications d’identité, de contrôles aux frontières et de contrôles du droit au séjour. Cette collecte est prévue aux seules fins d’interrogation de certains systèmes d’information de l’Union européenne (SIS, CIR, VIS, EES).

La CNIL estime ces évolutions légitimes et de nature à réduire le risque d’erreur en cas d’homonymie. Elle souligne néanmoins que le projet de loi devrait davantage préciser les fondements, les objectifs et les conditions de collecte de données biométriques.

___________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Après avoir entendu le rapport de M^me Sophie Lambremon, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

Le ministère de l’intérieur a saisi la CNIL des dispositions du projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne qui concernent les systèmes d’information de l’Union européenne (UE) mis en œuvre pour lutter contre la criminalité et sécuriser les frontières.

En effet, le droit de l’Union européenne permet l’interrogation, à partir de données biométriques, des systèmes d’information européens suivants :

• le système d’information Schengen (SIS), qui permet d’émettre et de consulter des signalements concernant des personnes et des objets, pour la gestion des frontières et la sécurité ;
• le système d’information sur les visas (VIS), qui permet de centraliser et de faciliter le partage d’informations relatives aux demandes de visas de court séjour ;
• le système d’entrée / de sortie (EES), qui contiendra les données relatives aux entrées, sorties et refus d’entrée des ressortissants de pays tiers admis pour un court séjour ou pour lesquels l’entrée a été refusée ;
• le répertoire commun de données d’identité (CIR), qui contiendra un dossier individuel pour chaque personne enregistrée dans les systèmes d’information européens afin de faciliter leur identification.

En conséquence, le projet de loi modifie les dispositions du code de procédure pénale (CPP) et du code de l’entrée et du séjour des étrangers et du droit d’asile (CESEDA) pour permettre la consultation de ces systèmes à partir de données biométriques. Il autorise, à cette fin, la collecte des empreintes digitales et de la photographie lors de contrôles d’identité, de contrôles aux frontières et de contrôles du droit au séjour.

II. L’avis de la CNIL

A. La nécessité de la collecte de données biométriques

Le projet de loi autorise la collecte d’empreintes digitales et de photographies lors de contrôles et vérifications d’identité, de contrôles aux frontières, et de contrôles du droit au séjour. Cette collecte est prévue aux seules fins d’interrogation du SIS, du CIR, du VIS, et/ou de l’EES à partir de données biométriques. Selon les précisions apportées, elle ne pourra donner lieu à un enregistrement des données dans des fichiers.

Certains cas de consultation prévus par le projet de loi découlent d’obligations contenues dans les règlements encadrant les systèmes d’information européens (par exemple, la consultation biométrique du SIS pour confirmer un résultat positif obtenu à la suite d’une recherche alphanumérique), tandis que d’autres constituent des marges de manœuvre ouvertes aux Etats membres par ces mêmes règlements (la consultation biométrique du CIR, par exemple).

Le ministère souhaite autoriser les opérations de consultation rendues facultatives par le droit de l’UE pour améliorer les contrôles en cause et réduire le risque d’homonymie.

La CNIL :

• recommande, notamment à des fins de transparence des traitements, que le projet de loi précise les dispositions des règlements européens dont il est fait application ;
• souligne, à cet égard, que les évolutions portées par le projet de loi ne devront pas conduire à une collecte systématique de données biométriques, notamment lorsqu’une consultation des fichiers à partir de données alphanumériques apparait suffisante pour atteindre l’objectif poursuivi ;
• rappelle que l’interrogation des systèmes d’information européens devra être réalisée dans le respect des dispositions encadrant les fichiers nationaux qui permettraient, le cas échéant, cette consultation, et notamment celles qui concernent le fichier des personnes recherchées (FPR), qui n’autorisent pas en l’état le traitement de données biométriques ;
• rappelle que les analyses d’impact relatives à la protection des données (AIPD) des fichiers consultés (s’agissant notamment de l’AIPD relative à la copie nationale du « SIS » ou « N-SIS » ) devront être complétées.

B. La consultation biométrique du SIS lors de contrôles et vérifications d’identité

Les règlements (UE) 2018/1861 et 2018/1862 (règlements « SIS » ) autorisent l’interrogation du SIS à partir de données biométriques.

Le projet de loi modifie les dispositions du CPP relatives aux contrôles et vérifications d’identité. Il prévoit que, dans le cadre d’un contrôle ou d’une vérification, lorsque l’identité déclarée fait l’objet d’une concordance positive à la suite d’une recherche alphanumérique dans le « SIS » et que le signalement afférent contient des empreintes digitales ou des photographies, les agents mentionnés au premier alinéa de l’article 78-2 du CPP peuvent collecter les empreintes ou photographies de la personne contrôlée en vue de confirmer son identité.

La CNIL considère que ces évolutions, qui résultent des règlements susmentionnés, sont de nature à réduire les erreurs liées aux homonymies qui peuvent avoir des conséquences importantes pour les personnes.

S’agissant de la procédure de vérification d’identité, les dispositions l’article 78-3 du CPP en vigueur autorisent déjà la collecte de données biométriques dans ce cadre, soit après que l’intéressé a refusé ou s’est trouvé dans l’impossibilité de justifier de son identité lors d’un contrôle. La collecte de ces données n’est alors possible que si la personne maintient son refus de justifier de son identité ou fournit des éléments d’identité manifestement inexacts, après autorisation du procureur de la République ou du juge d’instruction.

Au regard de ces éléments, la CNIL s’interroge sur la nécessité de modifier les dispositions du CPP pour prévoir la collecte de données biométriques, en vérification d’identité, aux fins de consultation du SIS. Elle prend acte de l’engagement du ministère de supprimer toute mention de la procédure de vérification.

Par ailleurs, le projet de loi prévoit qu’en cas de refus de se prêter au recueil des empreintes digitales ou de la photographie, afin de lever un doute sur la présence de l’intéressé dans le SIS, les dispositions du CPP relatives aux vérifications d’identité (article 78-3, précité) sont applicables. La personne contrôlée serait placée en retenue pour vérification, y compris lorsqu’elle aurait justifié de son identité lors du contrôle.

La CNIL s’interroge sur l’équilibre ménagé entre l’objectif poursuivi et les libertés des personnes contrôlées, dès lors que celles-ci ont justifié de leur identité et qu’il ne s’agit que de lever un doute sur la présence de la personne dans le SIS. L’évolution projetée porterait une atteinte forte non seulement au droit au respect de la vie privée, mais aussi à la liberté d’aller et venir des personnes contrôlées, alors même qu’il est déjà loisible aux officiers de police judiciaire en charge des contrôles, en fonction des circonstances de l’espèce et des informations contenues dans le SIS, de décider des mesures appropriées.

C. La consultation biométrique du SIS et du CIR lors de contrôles aux frontières

Le projet de loi modifie les dispositions du CESEDA pour permettre, lors des contrôles aux frontières, l’interrogation du SIS et du CIR à partir des empreintes digitales et de la photographie.

S’agissant du SIS, le projet de loi renvoie aux dispositions des règlements « SIS » qui concernent la consultation biométrique du système à des fins d’authentification et d’identification. En l’état, le projet de loi permettrait donc la collecte des données biométriques de tous les voyageurs, dans la mesure où le SIS est systématiquement interrogé pour les contrôles aux frontières.

Néanmoins, il ressort des précisions apportées que les empreintes digitales et photographies seront collectées dans les seuls cas où une recherche alphanumérique préalable a abouti à un résultat positif.

La CNIL estime que le projet de loi devrait préciser que les données biométriques pourront être collectées dans cette seule hypothèse. Elle prend acte de l’engagement du ministère de modifier le projet en ce sens.

S’agissant du CIR, les règlements (UE) 2019/817 et 2019/818 (règlements « interopérabilité » ) fixent une liste limitative de circonstances dans lesquelles ce module peut être consulté par un service de police, à des fins d’identification (doute quant à l’identité d’une personne ou l’authenticité du document de voyage, par exemple). Cette interrogation se présente comme une faculté, dont les Etats membres peuvent se saisir en prenant des « mesures législatives nationales » . Ces mesures doivent indiquer les finalités précises de l’identification (parmi celles visées par les règlements), désigner les services de police compétents, et fixer les procédures, les conditions et les critères relatifs à ces contrôles.

Le projet de loi devrait être précisé en ce sens, le cas échéant en renvoyant à un décret qui devrait, compte tenu de la nature du traitement, être soumis à la CNIL.

Au regard de l’ensemble des évolutions projetées, la collecte d’empreintes digitales et de photographies concernera les seules personnes pour lesquelles une recherche alphanumérique révèle qu’elles sont signalées dans le SIS ainsi que les étrangers pour lesquels l’une des conditions énumérées par les règlements « interopérabilité » est remplie.

Des mesures devront être prises pour garantir que les agents chargés des contrôles aux frontières collectent des données biométriques dans ces seules hypothèses et, ainsi, ne recueillent pas systématiquement ce type de données.

Enfin, le projet de loi prévoit des sanctions pénales en cas de refus de se prêter au recueil des empreintes digitales et de prise de photographie. Il s’agit des mêmes sanctions que celles prévues pour les étrangers contrôlés à l’occasion d’un franchissement de la frontière alors qu’ils ne remplissent pas les conditions d’entrée.

La CNIL souligne que les conséquences du refus de se prêter au recueil de données biométriques pour l’interrogation du SIS ou du CIR devront être strictement proportionnées à l’objectif poursuivi.

D. La consultation biométrique des systèmes d’information européens lors de contrôles du droit au séjour

Le projet de loi modifie les dispositions du CESEDA pour permettre, lors des contrôles du droit au séjour, l’interrogation biométrique du SIS, du CIR, du VIS et de l’EES à partir des empreintes digitales et de la photographie.

a) La consultation du SIS et du CIR

En premier lieu, il ressort des documents transmis par le ministère que la consultation biométrique du SIS ne pourra avoir lieu qu’à la suite d’une interrogation alphanumérique préalable ayant abouti à un résultat positif.

La CNIL prend acte que le projet de loi sera précisé en ce sens.

En second lieu, elle réitère ses observations quant aux précisions que doivent apporter les dispositions nationales autorisant la consultation du CIR (v. supra, §§19-20).

b) La consultation du VIS et de l’EES

Le projet de loi autorise la collecte de données biométriques, dans le cadre de contrôles du droit au séjour, pour consulter le VIS dans les conditions prévues par les articles 19 et 20 du règlement (UE) 767/2008. Ces dispositions prévoient la consultation du VIS :

• à partir du numéro de la vignette visa, seul ou en combinaison avec les empreintes digitales, pour vérifier l’identité de la personne ou contrôler le visa ou le droit au séjour de cette dernière (art. 19) ;
• à partir des empreintes digitales, en vue d’identifier toute personne qui ne remplit pas ou plus les conditions d’entrée ou de séjour sur le territoire, ou en cas d’échec ou de doute à la suite de la recherche effectuée dans les conditions prévues par l’article 19 (art. 20).

Le projet de loi prévoit également la consultation biométrique de l’EES, dans les conditions prévues par les articles 26 et 27 du règlement (UE) 2017/2226. Ces dispositions prévoient :

• la possibilité de faire des recherches à partir de la photographie ou des empreintes digitales, à la suite d’une recherche alphanumérique ayant abouti à un résultat positif, en vue de vérifier l’identité du ressortissant de pays tiers ou si les conditions d’entrée et de séjour sont remplies (art. 26) ;
• des recherches à partir des empreintes digitales, seules ou en combinaison avec la photographie, pour identifier un ressortissant de pays tiers susceptible d’avoir été enregistré précédemment dans l’EES sous une identité différente, ou qui ne remplit pas ou plus les conditions d’entrée ou de séjour, ou en cas d’échec ou de doute à la suite de la recherche prévue par l’article 26 (art. 27).

La CNIL souligne que la consultation du VIS et de l’EES prévue par le projet de loi devra respecter les conditions prévues par les règlements européens pour les différents cas d’usage.

c) Les suites en cas de refus

Lorsque, après avoir présenté son titre de séjour ou visa, la personne contrôlée refuse de se prêter au recueil de ses empreintes digitales ou de sa photographie, les dispositions du CESEDA relatives à la vérification du droit de circulation et de séjour sont applicables.

La CNIL estime que la personne contrôlée ne devrait se voir demander une vérification complémentaire à partir de ses empreintes digitales ou de sa photographie qu’en cas de doute sur son identité ou son droit au séjour.

La présidente,

M.-L. Denis