Délibération nº 2007-094 du 3 mai 2007 portant avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel relatives à des passagers des aéroports français franchissant les frontières extérieures des Etats parties à la convention signée à Schengen le 19 juin 1990 (demande d'avis nº 1205636).
La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de l'intérieur d'un projet de décret portant création d'un traitement automatisé de données à caractère personnel relatives à des passagers des aéroports français franchissant les frontières extérieures des Etats parties à la convention signée à Schengen le 19 juin 1990 ;
Vu le traité instituant la Communauté européenne, notamment son article 62, ensemble la convention du 19 juin 1990 d'application de l'accord signé à Schengen le 14 juin 1985 entre les Gouvernements des Etats de l'Union économique Benelux, de la République fédérale d'Allemagne et de la République française relatif à la suppression graduelle des contrôles aux frontières communes dont la ratification a été autorisée par la loi nº 91-737 du 30 juillet 1991 ;
Vu la convention nº 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive nº 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27 ;
Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret nº 2007-451 du 25 mars 2007 ;
Vu le décret nº 2005-556 du 27 mai 2005 portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives à des passagers de l'aéroport Roissy – Charles-de-Gaulle ;
Vu le décret nº 2006-587 du 24 mai 2006 modifiant le décret nº 2005-556 du 27 mai 2005 portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives à des passagers de l'aéroport Roissy – Charles-de-Gaulle ;
Après avoir entendu M. François Giquel, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie le 14 novembre 2006 par le ministère de l'intérieur d'une demande d'avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel relatives à des passagers des aéroports français franchissant les frontières extérieures des Etats parties à la convention signée à Schengen le 19 juin 1990.
Le nouveau traitement dénommé PARAFES généralise et pérennise les expérimentations menées depuis 2005 par le ministère de l'intérieur dans le cadre du programme PEGASE, autorisé par le décret du 27 mai 2005. Il vise à collecter et à conserver dans une base centrale les empreintes digitales des passagers aériens qui le souhaitent afin de leur permettre d'emprunter un dispositif de passage rapide des frontières extérieures de l'espace Schengen, dans tous les aéroports français internationaux qui peuvent, de façon facultative, mettre en place ce dispositif. Ce traitement concernerait environ cent mille voyageurs aériens fréquents.
Le passager empruntera un sas de passage rapide, dont l'ouverture est commandée par l'apposition de la bande à lecture optique (dite MRZ) de son passeport sur un lecteur, qui déterminera si la personne est bien inscrite au programme. A l'intérieur du sas, il posera ses doigts sur un lecteur biométrique et ces empreintes seront alors comparées à celles qui auront été préalablement enregistrées, lors de son inscription, dans une base de données centrale. La reconnaissance du voyageur permettra l'ouverture de la seconde porte du sas et donc le passage de la frontière. Simultanément, l'identité du voyageur fera l'objet d'une interrogation systématique du fichier des personnes recherchées et du système d'information Schengen, de manière à ce que les modalités réglementaires des contrôles aux frontières soient respectées.
Dans la mesure où il fait appel à un dispositif biométrique, la commission considère que ce traitement relève du 2° du I de l'article 27 de la loi du 6 janvier 1978 modifiée.
Sur les bilans des expérimentations précédentes :
La commission a expressément demandé, dans ses délibérations du 10 février 2005 et du 16 mars 2006, de disposer d'un bilan détaillé et précis des résultats des expérimentations menées. Celles-ci avaient notamment pour objectifs de tester la performance du système d'authentification biométrique choisi, de mesurer les bénéfices que l'automatisation partielle du contrôle du passage aux frontières est susceptible d'apporter et d'étudier son impact sur les passagers s'y soumettant volontairement. La commission a également demandé à être tenue informée des avantages et des inconvénients précis retirés du recours à une base centrale, par rapport à l'emploi d'une carte à puce.
La commission constate qu'elle ne dispose toujours pas aujourd'hui d'une évaluation globale, reposant sur des critères et des objectifs bien identifiés. Compte tenu des enjeux en termes de protection des données personnelles que comportent la collecte et l'enregistrement des empreintes digitales dans une base centrale, elle regrette l'absence de tels éléments d'information qui lui permettraient d'apprécier précisément le caractère adéquat et proportionné du dispositif retenu pour la généralisation.
La commission considère, de manière générale, que la présentation de l'évaluation décidée est nécessaire avant de procéder à la généralisation d'un dispositif et, en particulier, pour permettre à la CNIL d'émettre un avis pleinement motivé sur le projet de décret qui lui est soumis.
Dans cette optique, la commission formule les observations suivantes :
Sur les finalités du traitement et la mise en place de la base de données biométriques :
Si chacune des finalités assignées au traitement PARAFES – améliorer le contrôle de la police aux frontières sur les voyageurs aériens et faciliter un passage rapide des frontières extérieures des Etats parties à la convention Schengen – est légitime, la commission constate que l'objectif principal est bien le passage plus rapide des frontières, sur la base du volontariat, pour ” certains passagers qui ne présentent guère de risques du point de vue de la sécurité “, comme l'indique le rapport au Premier ministre qui accompagne le projet de décret, en vue d'un plus grand confort des voyageurs concernés, d'une meilleure image des aéroports et de l'attractivité de la France dans les relations d'affaires internationales. Il devrait en résulter aussi des gains de productivité pour la police aux frontières.
Ce passage plus rapide des personnes souscrivant au programme PARAFES doit bien entendu se faire dans le respect des règles de fiabilité et de sécurité des contrôles aux frontières, qui résultent notamment des obligations européennes et qui sont appliquées d'ores et déjà à tous les voyageurs.
La commission considère à cet égard, ainsi qu'elle l'a rappelé dans de nombreuses délibérations, que la mise en place d'une base centrale de données biométriques ne peut être admise que ” dans la mesure où des exigences impérieuses en matière de sécurité ou d'ordre public le justifient “.
La commission rappelle aussi que, dans ses avis précédents, elle avait souligné que l'inscription des empreintes digitales du voyageur dans une carte à puce individuelle et son utilisation comme moyen d'authentification biométrique présentaient de moindres risques par rapport à la protection des données à caractère personnel que la création d'une base centrale.
En ce qui concerne le nouveau dispositif, la commission prend acte de la suppression de la carte d'appartenance au programme et de son remplacement par un système de lecture de la bande optique du passeport, en tant que moyen d'accès au sas. Mais elle estime que l'utilisation nouvelle du passeport en tant que moyen d'accès au sas peut se combiner avec celle d'une carte à puce individuelle à l'intérieur du sas et que cela ne peut que réduire les risques, qui avaient pu être évoqués antérieurement, de falsification de la carte à puce, puisqu'il serait nécessaire de falsifier les deux documents pour franchir la frontière sous une autre identité.
Enfin, la commission considère qu'un tel dispositif, fondé sur le volontariat, concernant un nombre limité de personnes et mis en oeuvre en particulier pour améliorer, par un passage plus rapide des contrôles aux frontières, le confort des passagers constitue le cadre adapté pour mettre en place des techniques de reconnaissance de l'identité des individus plus protectrices des données personnelles que l'établissement d'une base de données centralisée des empreintes digitales.
Sur le champ d'application du dispositif :
La commission relève que, si l'adhésion au programme demeure volontaire comme dans la phase expérimentale, le champ d'application du dispositif pérennisé, et donc l'extension du traitement PARAFES, ne sont pas précisément définis par le projet de décret. Le traitement pourrait donc théoriquement s'ouvrir à la totalité des citoyens français, de l'Union européenne ou de certains autres Etats, à la seule condition qu'ils soient majeurs et détenteurs d'un passeport à bande de lecture optique, alors que le ministère de l'intérieur prévoit un nombre de participants d'environ cent mille personnes, sans exposer les critères et les conditions pour adhérer à ce dispositif de passage rapide.
Par conséquent, le champ d'application du traitement est potentiellement beaucoup plus large que la population officiellement visée par le responsable du traitement. La commission estime qu'il conviendrait que l'article 1er du projet de décret soit complété des critères précis d'adhésion au dispositif proposé.
Sur l'interconnexion avec le FPR et le SIS :
L'interconnexion du fichier PARAFES avec le fichier des personnes recherchées (FPR) et le système d'information Schengen (SIS) constitue une nouveauté par rapport au dispositif expérimenté depuis 2005, qui l'excluait formellement.
La commission considère que l'interrogation de ces fichiers de police apparaît en elle-même légitime, dès lors qu'elle permet d'harmoniser les conditions de contrôle automatique des passagers empruntant le sas rapide avec celles du contrôle réglementaire classique opéré par les agents de la police de l'air et des frontières. Elle admet également qu'une interrogation systématique de ces fichiers, en temps réel, est plus efficace.
La commission, afin de lever toute ambiguïté, estime que le projet de décret devrait être complété pour mieux définir et limiter les modalités d'interconnexion de ces fichiers. Elle propose de reformuler la première phrase du paragraphe 2 de l'article 4, par exemple sous la forme suivante : ” Des dispositions techniques sont prises pour que le traitement PARAFES interroge systématiquement le fichier des personnes recherchées et le système d'information Schengen, dans ce seul sens, sur la base des seules données alphanumériques, afin de ne connaître que le statut “connu, inconnu ou signalé de la personne en cause “.
Sur les données enregistrées :
Sur les empreintes digitales :
Le projet du ministère de l'intérieur prévoit l'enregistrement des minuties des empreintes digitales de huit doigts des voyageurs aériens participant au programme. La commission constate cependant que les conditions du contrôle d'authentification biométrique à l'intérieur du sas ne sont précisément fixées ni dans le projet de décret ni dans le dossier de déclaration du traitement, puisqu'il est seulement indiqué que les lecteurs d'empreintes pourront être monodoigt ou de quatre doigts.
La commission relève que les expérimentations menées depuis 2005, reposant sur la conservation des minuties des seuls deux index, ont donné lieu à des résultats satisfaisants selon le ministère de l'intérieur, qui n'apporte à cet égard aucune justification sur l'évolution du dispositif. Elle souligne, au surplus, que le choix technique des huit doigts ne correspond pas à celui qui vient d'être fait au niveau européen pour le passeport. Elle rappelle enfin que toutes les études disponibles tendent à montrer, dans le cadre de l'authentification, c'est-à-dire de comparaisons 1 contre 1, le caractère suffisant, en terme d'efficacité, de la présence de deux empreintes digitales de doigts posés à plat.
La commission considère que l'enregistrement dans une base centrale des empreintes digitales de huit doigts apparaît dès lors excessif au regard de la finalité principale du traitement.
Sur l'enregistrement des données relatives au franchissement de la frontière :
La commission prend acte de l'absence de conservation dans le traitement de l'indicateur du résultat de l'interrogation du FPR et du SIS pour les voyageurs ne faisant pas l'objet d'une recherche ou d'un signalement.
Cependant, elle constate que cet indicateur est, en revanche, conservé pour les personnes recherchées et signalées. La commission considère que la conservation de ces données n'est pas justifiée au regard de la finalité principale du traitement. L'absence d'enregistrement de cet indicateur dans le traitement ne remet pas en cause le degré actuel de sécurité des contrôles car si le voyageur est recherché, le sas de passage rapide est bloqué et s'il fait l'objet d'un signalement aux fins de surveillance discrète, un message d'alerte parvient au poste de supervision définissant la conduite à tenir.
La commission demande enfin que le projet de décret précise que les dates des passages ne sont pas conservées dans le fichier PARAFES.
Sur l'adresse :
A la lumière des éléments fournis, la commission constate qu'aucune justification n'est donnée à la collecte de l'adresse ni à sa conservation dans le traitement.
Sur l'information, le droit d'accès des personnes et les modalités de désinscription :
La commission prend acte des mesures prévues pour informer les passagers s'inscrivant au programme. Elle prend acte également de la suppression de l'article 6 du projet de décret, relatif au droit d'opposition des personnes concernées, qui n'a pas d'application dans le cadre d'un dispositif reposant sur le volontariat.
Elle observe, par ailleurs, que les modalités de l'exercice du droit d'accès et de rectification ont été prévues dans le projet de décret. Elle estimerait cependant souhaitable que le projet de décret prévoie la possibilité explicite de se désinscrire du programme l'effacement des données à caractère personnel de tout voyageur qui se désinscrit.
Sur les conditions de sécurité du traitement :
Hormis les aspects biométriques précédemment examinés, la commission considère, en l'état du dossier qui lui est soumis, que les mesures de sécurité prises sont identiques à celles examinées lors des expérimentations précédentes, en particulier en ce qui concerne l'architecture informatique, les sécurités et les sauvegardes.
Le président, A. Türk