Délibération n° 2011-036 du 10 février 2011 portant avis sur un projet de décret relatif au système informatisé de gestion des dossiers des ressortissants étrangers en France et à certains documents de voyage pour étrangers (saisine n° AV 10021783)

JORF n°0134 du 10 juin 2011
texte n° 67



Délibération n° 2011-036 du 10 février 2011 portant avis sur un projet de décret relatif au système informatisé de gestion des dossiers des ressortissants étrangers en France et à certains documents de voyage pour étrangers (saisine n° AV 10021783)

NOR: CNIX1115353X
ELI: Non disponible



La commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration, d'une demande d'avis concernant un projet de décret relatif au système informatisé de gestion des dossiers (les ressortissants étrangers en France et à certains documents de voyage pour étrangers ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le règlement (CE) n° 1030/2002 du Conseil du 13 juin 2002 modifié établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers ;
Vu le règlement (CE) n° 2252/2004 du Conseil du 13 décembre 2004 modifié établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents (le voyage délivrés par les Etats membres ;
Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, et notamment ses articles L. 611-3 et L. 611-5 ;
Vu le code de procédure pénale, et notamment ses articles 78-2 et 78-3 ;
Vu le code du travail, et notamment son article L. 5411-4 ;
Vu le code de la sécurité sociale, et notamment son article L. 115-6 ;
Vu le code des douanes, et notamment son article 67 quater ;
Vu la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données â caractère personnel, et notamment son article 27 ;
Vu la loi n° 2006-64 du 23 janvier 2006 modifiée relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, et notamment son article 9 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978, modifiée par la loi n° 2004-810 du 6 août 2004 ;
Après avoir entendu M. Sébastien HUYGHE, commissaire, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'une demande d'avis concernant un projet de décret relatif au système informatisé de gestion des dossiers des ressortissants étrangers en France et à certains documents de voyage pour étrangers.
Ce projet de décret vise notamment à remplacer les dispositions réglementaires du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) concernant les traitements dénommés « AGDREF » (Application de gestion des dossiers des ressortissants étrangers en France) et « ELOI » relatif aux étrangers faisant l'objet d'une mesure d'éloignement, dont les fonctionnalités seront réunies dans une nouvelle application dénommée « AGDREF 2 ».
Il devrait permettre des évolutions majeures du traitement AGDREF, devenu largement obsolète, et qui constitue l'outil principal de gestion administrative des étrangers et de production des titres de séjour. Ce projet de décret vise ainsi à faire application des dispositions de l'article L. 611-3 du CESEDA, qui prévoient la possibilité de relever et d'enregistrer dans un traitement de données à caractère personnel les empreintes digitales et la photographie des ressortissants étrangers sollicitant la délivrance d'un titre de séjour, ainsi que des étrangers en situation irrégulière en France ou qui font l'objet d'une mesure d'éloignement du territoire français. L'article L. 611-5 dudit code prévoit en outre qu'un décret en Conseil d'Etat, pris après avis de la CNIL, fixe les modalités d'application de ces dispositions.
Conformément aux dispositions communautaires susvisées, cette application devrait également permettre la délivrance de titres de séjour biométriques, ainsi que de titres de voyage biométriques pour réfugiés, bénéficiaires de la protection subsidiaire et apatrides, lorsque ces titres ont une durée de validité supérieure à un an.
La création du traitement AGDREF 2 devrait par ailleurs permettre la mise en relation de tous les services de l'Etat et organismes rattachés intervenant dans la gestion administrative des étrangers, afin que les informations nécessaires à cette gestion soient mieux partagées entre les acteurs concernés. Les évolutions projetées visent ainsi à moderniser et à améliorer le fonctionnement de ce fichier de référence en matière d'étrangers, qui concerne environ sept millions de personnes.
Enfin, ce projet de décret modifie les dispositions applicables en matière d'entrée et de séjour des étrangers à Mayotte, afin d'y permettre la mise en place d'AGDREF 2.
Dans la mesure où ce traitement fait notamment appel à un dispositif biométrique, la commission considère que sa création relève des dispositions de l'article 27 de la loi du 6 janvier 1978 modifiée.
1. Sur les finalités du traitement AGDREF 2 :
Le projet d'article R. 611-1 du CESEDA précise les finalités du traitement AGDREF 2, qui relève du ministère chargé de l'immigration. La commission observe tout d'abord que certaines de ces finalités sont inchangées par rapport au système actuel, comme le traitement des dossiers des ressortissants étrangers et la fabrication des titres de séjour et de voyage, ainsi que la production de statistiques en matière de séjour et d'éloignement des étrangers. Elle prend également acte que le traitement vise à mieux garantir le droit au séjour des personnes en situation régulière et à lutter contre l'entrée et le séjour irréguliers des étrangers en France, conformément aux dispositions de l'article L. 611-3 du CESEDA. La commission considère en outre comme légitimes la simplification des démarches administratives effectuées par les étrangers et l'amélioration de la coordination des services intervenant dans le cadre de la gestion de leurs dossiers.
Elle relève que la finalité de suivi et de mise en œuvre des mesures d'éloignement, qui matérialise l'intégration des fonctionnalités du traitement ELOI, constitue une évolution importante du traitement. A cet égard, la commission rappelle que la décision n° 312051 du 30 décembre 2009 du Conseil d'Etat a annulé les dispositions réglementaires relatives au traitement ELOI permettant l'enregistrement du numéro AGDREF des étrangers concernés, au motif que la pertinence et l'adéquation de cette donnée aux finalités du traitement n'étaient pas établies.
Il convient cependant d'observer que nombre de mesures d'éloignement ont pour origine une décision en matière de séjour, de sorte que ces deux catégories de décision, qui relèvent d'une compétence unique exercée par les principaux utilisateurs du système, les préfectures procèdent de la même finalité de gestion des dossiers des ressortissants étrangers en France. C'est pourquoi la commission prend acte de cette nouvelle finalité du traitement AGDREF 2.
2. Sur les traitements biométriques projetés :
(a) Sur la généralisation des éléments biométriques dans le cadre de la gestion administrative des étrangers.
A titre liminaire, la commission rappelle que le traitement des données biométriques des ressortissants étrangers a été expressément autorisé par le législateur. En effet, les articles L. 611-3 et L. 611-6 du CESEDA disposent que les empreintes digitales et la photographie des catégories suivantes de ressortissants étrangers peuvent être « relevées, mémorisées et faire l'objet d'un traitement automatisé » : les demandeurs d'un titre de séjour, les étrangers en situation irrégulière en France, ceux qui font l'objet d'une mesure d'éloignement du territoire, les personnes qui ne remplissent pas les conditions d'entrée sur le territoire, les bénéficiaires de l'aide au retour, ainsi que les demandeurs d'un visa.
La commission rappelle qu'elle considère que les éléments biométriques peuvent avoir des avantages réels pour la vérification de l'identité des personnes et de l'authenticité des documents dont elles sont titulaires. Cependant, il convient que les traitements biométriques mis en œuvre soient entourés de strictes garanties du point de vue de la protection des données personnelles. C'est d'ailleurs pourquoi le législateur a également prévu que ces traitements doivent être mis en œuvre « dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 », et que les modalités d'application de ces dispositions soient fixées par décret en Conseil d'Etat pris après avis de la CNIL.
Dès lors, la commission considère qu'elle a toute légitimité pour apprécier les modalités précises de mise en œuvre des traitements de données biométriques prévus par le CESEDA, comme elle l'a d'ailleurs déjà fait s'agissant des traitements VISABIO (demandeurs de visa), FNAD (étrangers non admis à la frontière) et OSCAR (bénéficiaires de l'aide au retour). Elle observe en outre que la mise en œuvre du traitement AGDREF 2 permettra la généralisation de l'utilisation des empreintes digitales dans le cadre de la gestion administrative des étrangers, dans la mesure où ce traitement concerne les trois autres catégories de ressortissants étrangers mentionnées à l'article L. 611-3 du CESEDA.
C'est pourquoi la commission rappelle à nouveau que la collecte des empreintes digitales n'est pas toujours physiquement possible, ni exploitable. Elle rappelle également que toute comparaison biométrique comporte inévitablement des taux de fausses acceptations et de faux rejets, qui doivent impérativement être pris en compte dès lors qu'il s'agit d'utiliser la biométrie pour assurer l'identification des personnes, et en particulier dans le cadre de traitements concernant un nombre important de personnes.
De façon générale, cette spécificité des empreintes digitales impose d'apprécier, avec une vigilance toute particulière, la proportionnalité des dispositifs biométriques proposés au regard des objectifs poursuivis. Elle appelle également l'adoption de garanties renforcées, afin de prévenir les usages indus de ces données biométriques, de prévoir explicitement des alternatives à l'impossibilité de collecte de ces éléments et d'évaluer précisément la fiabilité des éléments d'identification retenus.
Or, la commission observe que cette généralisation intervient avant toute évaluation globale des avantages et des inconvénients précis retirés du recours à l'utilisation de ces éléments biométriques, et en particulier de leur traitement en base centralisée, au regard des finalités prévues par les dispositions législatives du CESEDA. Elle regrette notamment que le rapport de l'évaluation du traitement VISABIO, prévue à l'article R. 611-15 du CESEDA, ne lui ait pas été communiqué avant que cette généralisation soit envisagée.
(b) Sur l'enregistrement de données biométriques dans le composant électronique des titres de séjour et de voyage.
La commission rappelle que la collecte de l'image numérisée du visage et de deux empreintes digitales du demandeur de titre de séjour, d'une part, et du demandeur de titre de voyage d'une durée de validité supérieure à un an, d'autre part, est rendue nécessaire par les dispositions respectives du règlement (CE) n° 1030/2002 du 13 juin 2002 modifié et du règlement (CE) n° 2252/2004 du 13 décembre 2004 modifié. Ces règlements font en effet obligation aux Etats membres de délivrer des titres dotés d'un composant électronique comportant les éléments biométriques précités.
Elle rappelle qu'elle considère comme légitime le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique, dès lors que les données biométriques sont conservées sur un support dont la personne a l'usage exclusif : La commission prend donc acte de l'enregistrement des éléments biométriques précités dans le composant électronique des titres de séjour et des titres de voyage délivrés aux réfugiés, aux bénéficiaires de la protection subsidiaire et aux apatrides.
(c) Sur la conservation des empreintes digitales des étrangers en base centrale.
Le projet d'article R. 611-2 du CESEDA prévoit en outre l'enregistrement dans le traitement AGDREF 2 des images numérisées de la photographie et des empreintes digitales des dix doigts des étrangers demandeurs d'un titre de séjour, d'un titre de voyage d'une durée de validité supérieure à un an, ainsi que des étrangers en situation irrégulière ou faisant l'objet d'une mesure d'éloignement. La commission prend acte de ce que ledit article précise que le traitement ne comporte pas de dispositif de reconnaissance faciale à partir des photographies qui y sont enregistrées, et que l'impossibilité de collecte totale ou partielle des empreintes digitales est mentionnée dans le traitement. De même, la commission prend acte de ce que, aux termes du projet d'article R. 742-13 du CESEDA, les empreintes digitales des mineurs de moins de douze ans demandeurs d'un titre de voyage ne seront pas collectées, dans la mesure où cette exemption est conforme aux dispositions du règlement (CE) n° 2252/2004 telles que modifiées en 2009, d'une part, et où elle prend en compte les réserves exprimées par la commission à de nombreuses reprises, s'agissant de la collecte des identifiants biométriques des enfants, d'autre part.
Elle souligne cependant que le recueil des dix empreintes digitales des personnes concernées, d'une part, et la conservation en base centrale de l'image numérisée de ces dernières ainsi que celle du visage du titulaire, d'autre part, ne résultent pas d'une prescription communautaire. La commission observe en outre que les dispositions législatives du CESEDA, si elles autorisent la collecte et la mémorisation de tels éléments biométriques à des fins déterminées, ne précisent pas les modalités selon lesquelles ils doivent être traités.
Elle rappelle également qu'elle a toujours considéré que le traitement, sous une forme automatisée et centralisée, de données telles que les empreintes digitales, compte tenu à la fois des caractéristiques de l'élément d'identification physique retenu, des usages possibles de ces traitements et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant, ne peut être admis que dans la mesure où des exigences fortes en matière de sécurité ou d'ordre publie le justifient.
Or, la commission observe que, s'agissant des demandeurs de titre de séjour et de titres de voyage, le traitement biométrique projeté a pour finalités, conformément au projet d'article R. 611-1 du CESEDA, la fabrication desdits titres et l'amélioration des conditions de vérification de leur authenticité. Plus précisément, le ministère chargé de l'immigration a indiqué que la conservation en base centrale des données biométriques précitées est nécessaire afin d'éviter le ré-enrôlement à chaque renouvellement de titre, de faciliter la délivrance de duplicatas, et d'assurer une cohérence entre le système AGDREF 2 et le traitement VISABIO relatif aux demandeurs de visa.
Si la commission reconnaît la légitimité d'assurer une plus grande sécurité pour la délivrance des titres de séjour, cet objectif n'apparaît pas de nature à lever les réserves exprimées jusqu'alors par la commission à l'endroit de la constitution de bases centralisées de données biométriques. Elle relève que le ministère a également prévu de rendre accessibles ces données dans le cadre des procédures de vérification d'identité effectuées en application de l'article 78-3 du code de procédure pénale. Cependant, elle estime que la seule éventualité de l'utilité de ces données dans le cadre d'une procédure judiciaire ne saurait justifier, à elle seule, un tel traitement.
Dès lors, la commission considère que, si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation de données biométriques telles que les empreintes digitales. Le dispositif projeté, qui permettra de procéder à des recherches en identification, pourrait être de nature à porter une atteinte excessive à la liberté individuelle des personnes concernées.
Elle observe cependant qu'elle a déjà porté une telle appréciation concernant le dispositif des passeports biométriques, qui a été mis en œuvre selon des modalités similaires à celles prévues pour le traitement AGDREF 2, à l'exception de la possibilité de procéder à des recherches en identification sur la base des empreintes digitales enregistrées dans le traitement, non autorisée dans le cadre des passeports biométriques.
En ce qui concerne les étrangers en situation irrégulière ou faisant l'objet d'une mesure d'éloignement, la commission estime en revanche qu'un tel traitement centralisé semble justifié par un impératif d'ordre public, dans la mesure où l'identification de ces personnes participe directement de la lutte contre l'entrée et le séjour irréguliers des étrangers en France et à la mise en œuvre des mesures d'éloignement décidées par les pouvoirs publics, conformément aux finalités du traitement AGDREF 2.
Cependant, il apparaît que les modalités précises de traitement de ces données n'ont pas encore été prévues par le ministère chargé de l'immigration. Interrogé sur ce point, celui-ci a en effet indiqué que les modalités du recueil des données biométriques des étrangers en situation irrégulière n'ont pas encore été définies, et aucune information n'a été communiquée à la commission concernant l'utilisation exacte des données biométriques de ces personnes. S'agissant des données relatives aux étrangers faisant l'objet d'une mesure d'éloignement, s'il a été indiqué que leur collecte serait effectuée dans les lieux de rétention administrative ou en préfecture, la commission observe que la seule utilisation prévue de ces données devrait permettre de vérifier si l'étranger concerné n'est pas déjà connu sous une autre identité.
Dès lors, en l'absence de précision concernant les objectifs poursuivis par le traitement des données biométriques de ces catégories de ressortissants étrangers, la commission estime qu'elle n'est pas en mesure d'apprécier l'adéquation des moyens utilisés au regard des finalités exactes du traitement.
Elle observe en outre qu'afin de bien proportionner l'utilisation du traitement AGDREF 2 à ces objectifs de lutte contre le séjour irrégulier, il pourrait être envisagé d'autoriser l'enregistrement en base centrale des empreintes digitales des demandeurs de titre de séjour, tout en n'autorisant qu'un accès aux seules données relatives aux personnes dont le titre de séjour n'est plus valide et qui ne disposent d'aucune autorisation de séjour. Ainsi, seules les données biométriques des personnes devenues irrégulières, ou dont il est raisonnable de soupçonner qu'elles peuvent ne plus être en situation régulière au regard du séjour en France, pourraient être consultées pour les vérifications d'identité, et non les empreintes digitales des étrangers en situation régulière.
En tout état de cause, la commission demande donc que lui soient adressés des éléments d'information précisant les utilisations prévues de ces données et démontrant la proportionnalité du dispositif ainsi projeté, avant que ne soient autorisés par le projet de décret qui lui est soumis la collecte et l'enregistrement de ces données dans le traitement AGDREF 2.
Ces éléments devraient en outre être accompagnés de précisions concernant les sécurités techniques entourant le traitement de ces données. A cet égard, la commission relève que le ministère ne lui a pas fourni d'informations suffisamment précises concernant les arbitrages retenus en termes de taux de fausse acceptation et de faux rejets, dont les conséquences peuvent être particulièrement préjudiciables aux personnes concernées. Elle estime enfin qu'afin de protéger la confidentialité des gabarits biométriques, stockés sous forme d'image dans le traitement, ce qui est susceptible d'en faciliter la réutilisation, ceux-ci devraient faire l'objet d'un chiffrement systématique.
3. Sur les autres données à caractère personnel enregistrées dans le traitement :
Le projet d'annexe 6-4 du CESEDA détaille les données à caractère personnel traitées dans l'application AGDREF 2 et distingue les informations enregistrées dans la base centrale (données générales, données relatives au droit au séjour, au droit au travail et au titre de voyage, données relatives à la procédure d'éloignement), celles qui figurent sur les titres de séjour ou de voyage, et les données contenues dans les composants électroniques de ces titres.
Le dernier alinéa du projet d'article R. 611-4 du CESEDA prévoit en outre que les titres de séjour comportent un deuxième composant électronique destiné à l'accès à des services en ligne et comportant l'adresse du titulaire. La commission relève que la possibilité de l'insertion de ce second composant, aux fins de l'accès aux services de l'administration et du commerce en ligne, est en effet ouverte par les dispositions de l'article 4 du règlement (CE) n° 1030/2002 modifié.
Si la mise à disposition par l'Etat d'un nouvel outil permettant de s'identifier à distance sur les réseaux de communication électronique publics et privés apparaît tout à fait légitime, la commission considère qu'elle appelle des garanties particulières, dans la mesure où son utilisation dans le cadre de téléservices implique la mise en œuvre de certificats électroniques, qui peuvent contenir un grand nombre de données à caractère personnel. Or, le ministère chargé de l'immigration n'a pas fourni d'informations suffisantes à la commission pour que celle-ci puisse se prononcer dans des conditions satisfaisantes sur le dispositif projeté, qui semble d'ailleurs ne pas avoir été arrêté.
Dès lors, elle demande que ces dispositions soient retirées du projet de décret et que le dispositif lui soit présenté ultérieurement, dès que ses caractéristiques auront été précisément définies.
En ce qui concerne les informations enregistrées dans la base centrale, la commission observe tout d'abord qu'il s'agit, pour l'essentiel, de données qui figurent déjà dans l'application AGDREF actuelle, et, s'agissant des données relatives à l'éloignement, dans le traitement ELOI. Elle souligne en outre que le nombre important et la précision de ces données sont justifiés au regard de la finalité principale du traitement, la gestion des dossiers des ressortissants étrangers, dans la mesure où l'application AGDREF 2 doit permettre à tous les services intervenant dans le cadre de cette gestion de disposer des informations nécessaires à leurs missions.
S'agissant des données mentionnées au projet d'annexe 6-4 du CESEDA et qui n'étaient pas enregistrées dans les applications AGDREF et ELOI, elles répondent aux nouveaux besoins exprimés par ces destinataires. Ainsi, la donnée relative aux langues parlées par les personnes concernées par exemple, apparaît nécessaire à l'OFII et à l'OFPRA afin de leur permettre l'organisation de l'interprétariat lors des entretiens avec les ressortissants étrangers, dans le cadre du contrat d'accueil et d'intégration et de la demande d'asile, et a également été demandée par l'INED, de même que l'historique des nationalités connues aux fins d'études statistiques. De même, l'enregistrement des numéros de dossiers administratifs utilisés par l'OFII (numéro IMMI), la police aux frontières (numéro BUREL), l'OFPRA (numéro INEREC), ou les services chargés de l'éloignement (numéros SUEDEE et SIRSEI), apparaît nécessaire aux fins de l'organisation des échanges de données entre l'application AGDREF 2 et les traitements informatiques ou les dossiers papier de ces organismes.
Dans ces conditions, la commission prend acte de l'enregistrement des données relatives aux demandeurs de titre de séjour et de voyage et aux personnes faisant l'objet d'une mesure d'éloignement, mentionnées au projet d'annexe 6-4 au CESEDA.
La commission observe par ailleurs que des données relatives à des ressortissants étrangers mineurs sont susceptibles d'être enregistrées dans le traitement AGDREF 2. En effet, si les étrangers âgés de moins de dix-huit ans ne doivent pas être munis d'une carte de séjour pour séjourner en France, conformément aux dispositions de l'article L. 311-1 du CESEDA, ils peuvent cependant se voir délivrer des titres de voyage ainsi que des documents de circulation et des titres d'identité républicains, et la production de ces titres nécessite dès lors l'enregistrement de certaines données relatives à leur titulaire. En outre, des données relatives à des mineurs peuvent également être enregistrées dans le traitement lorsque leurs parents font l'objet d'une mesure d'éloignement, aux fins de maintien de l'unité familiale. La commission prend donc acte de l'enregistrement des données relatives aux étrangers mineurs mentionnées aux sections I et II du projet d'annexe 6-4 au CESEDA.
Elle relève en outre que des données relatives à des personnes tierces, mentionnées audit projet d'annexe, peuvent également être enregistrées dans le traitement. La commission prend acte de l'enregistrement de données relatives aux conjoints et membres de famille, nécessaires aux fins de l'instruction des demandes de séjour et de regroupement familial. Elle prend également acte de l'enregistrement de données relatives aux garants d'étrangers étudiants et qui ne disposent pas de ressources personnelles, aux personnes hébergeant un ressortissant étranger, et aux responsables d'un mineur étranger, qui doivent être pouvoir être contactées par l'administration. De même, elle observe que l'enregistrement de données relatives à l'employeur est nécessaire à la gestion de l'autorisation de travail.
S'agissant des données relatives aux personnes hébergeant un étranger assigné à résidence, la commission relève qu'il s'agit des mêmes données que celles actuellement enregistrées dans l'application ELOI. Elle prend donc acte de cet enregistrement et relève qu'à sa demande, ces données seront expressément mentionnées au projet d'annexe 6-4 du CESEDA.
La commission relève par ailleurs que certaines des données enregistrées dans le traitement sont librement saisissables et ne sont pas associées à une liste de valeurs, et notamment les données d'état civil, les adresses et données de contact, ainsi que les observations portées par les agents administratifs compétents dans des zones de commentaire. A cet égard, elle prend acte des précisions du ministère, selon lesquelles une zone de commentaire est disponible pour chaque procédure, afin de mieux encadrer les informations susceptibles d'être portées dans ces zones. Dans la mesure où il est en outre techniquement impossible d'effectuer des requêtes sur ces zones de texte libre, la commission prend acte de cette possibilité de libre saisie, tout en demandant au ministère de rappeler aux utilisateurs leur obligation de n'enregistrer que des données pertinentes et non excessives au regard de chaque procédure concernée.
Enfin, elle constate que certaines des données enregistrées dans AGDREF 2 seront importées d'autres applications, qui relèvent du ministère chargé de l'immigration mais également d'autres organismes, comme l'OFPRA, l'OFII, le ministère chargé du travail ou l'INSEE. Le ministère avait initialement prévu de ne pas mentionner dans le traitement l'origine des données importées, qui peuvent être alphanumériques, mais aussi biométriques dans le cadre du transfert de données du traitement VISABIO. Or, la commission relève qu'en cas d'altération ou d'inexactitude des données transférées, il aurait été difficile de détecter que les données erronées proviennent d'un autre système, ce qui n'aurait pas facilité la résolution du problème ainsi que la correction des données du système source. Elle prend donc acte qu'à sa demande, l'origine des données sera mentionnée dans l'application, afin de faciliter leur rectification le cas échéant.
4. Sur les durées de conservation des données :
Le projet d'article R. 611-7-1 du CESEDA précise les durées de conservation des données enregistrées dans le traitement AGDREF 2, variables en fonction des situations des personnes concernées au regard du séjour. Il est ainsi prévu que les données soient classées dans des dossiers électroniques, et que les dossiers d'étrangers n'ayant fait l'objet d'aucune mise à jour pendant cinq ans soient détruits. Cependant, cette règle de suppression des données ne s'appliquerait qu'à compter de l'expiration du titre de séjour ou du document de voyage de l'étranger concerné, au terme d'un délai de trente ans en cas de saisie dans le traitement d'un arrêté d'expulsion ou d'une peine d'interdiction définitive du territoire, ou d'un délai de cinq ans à compter de l'extinction d'une peine d'interdiction du territoire à temps.
La commission observe tout d'abord que le ministère chargé de l'immigration n'a pas prévu de durées de conservation différenciées en fonction des données enregistrées dans le traitement. Ledit ministère a en effet précisé que les décisions en matière de séjour et d'éloignement des étrangers sont prises au vu de la globalité d'un dossier administratif, et que des durées de conservation des données modulables entraîneraient une lecture partielle du dossier de l'étranger concerné préjudiciable tant à l'administration qu'à lui-même.
Au vu de ces précisions, la commission prend donc acte de ces modalités de conservation des données enregistrées dans le traitement. Elle prend également acte de ce que seules la création et la modification d'un dossier constituent des mises à jour, et qu'en aucun cas une simple consultation des données du traitement n'a d'incidence sur les délais de suppression de celles-ci.
S'agissant de la durée de conservation des données relatives aux titulaires de titre de séjour, soit cinq ans à compter de l'expiration du titre si le dossier n'a fait l'objet d'aucune mise à jour, provoquée par exemple par la notification d'une mesure d'éloignement, la commission relève qu'elle est inchangée par rapport à celle qui prévaut actuellement dans le cadre du traitement AGDREF. Il en est de même de la conservation des données relatives aux étrangers ayant fait l'objet d'une interdiction définitive du territoire et d'un arrêté d'expulsion, d'une durée de trente ans à compter de la saisie de la mesure dans le traitement. La commission prend également acte de la durée de conservation des données relatives aux étrangers ayant fait l'objet d'une interdiction à temps du territoire, de cinq ans à compter de l'extinction de la peine.
Elle observe cependant qu'aucune disposition réglementaire n'était initialement prévue s'agissant des personnes ayant acquis la nationalité française. La commission considère que la conservation de données à caractère personnel relatives à des ressortissants nationaux n'est pas conforme aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée, dans la mesure où de telles données ne sont ni adéquates, ni pertinentes, au regard des finalités de gestion des dossiers des ressortissants étrangers du traitement AGDREF 2.
Elle prend donc acte qu'à sa demande, des durées de conservation spécifiques seront précisées dans le projet de décret, afin que les données relatives à ces personnes ne soient pas conservées dans le traitement au-delà de la durée strictement nécessaire aux finalités de celui-ci. La commission rappelle que ces données sont conservées un an après le décret de naturalisation ou six mois après la date d'enregistrement de la déclaration de nationalité dans l'actuelle application AGDREF.
Le projet d'article R. 611-7-1 du CESEDA prévoit également que les données relatives à l'éloignement, mentionnées au 1 (C) du projet d'annexe 6-4 dudit code, sont effacées sans délai en cas de délivrance d'un titre de séjour. A défaut de cette délivrance, et en l'absence de mise à jour du dossier du ressortissant étranger concerné, les données seraient supprimées du traitement à l'issue d'une période de cinq ans.
La commission relève que ces dispositions sont sensiblement différentes de celles qui régissent actuellement la conservation des données enregistrées dans l'application ELOI : l'article R. 611-28 du CESEDA prévoit en effet que les données relatives à l'étranger faisant l'objet d'une mesure d'éloignement sont effacées trois mois après la date de l'éloignement effectif. Si le décret du 26 décembre 2007 portant création de ce traitement avait initialement prévu une durée de conservation dérogatoire de trois ans pour certaines données, la commission souligne en outre que le Conseil d'Etat, dans sa décision précitée du 30 décembre 2009, a annulé cette disposition, de sorte que toutes les données actuellement enregistrées dans le traitement ELOI ne peuvent être conservées que pendant trois mois après la date de l'éloignement ou à compter de la date à laquelle il a été mis fin à sa rétention administrative.
Le ministère a cependant indiqué qu'au vu de la finalité plus générale du traitement AGDREF 2 de gestion des dossiers des ressortissants étrangers, tant du point de vue de leur séjour en France que de leur éventuel éloignement, il apparaît nécessaire de prévoir une durée de conservation de ces données plus longue, notamment afin de tenir compte des éloignements antérieurs dans le cadre des demandes de titre de séjour et de fixation des interdictions de retour à temps. Il a également précisé que l'échec et la répétition de nombreuses tentatives d'éloignement rendent nécessaire la conservation de certaines données afin de faciliter la mise en œuvre des éloignements ultérieurs, conformément aux finalités du traitement. Enfin, il a été indiqué qu'il apparaissait préférable de fixer une durée de conservation de ces données semblable à celle qui prévaut pour les autres données enregistrées dans le traitement AGDREF 2, afin de faciliter l'application des règles de conservation ainsi définies, ainsi que pour les données enregistrées dans les autres traitements nationaux et européens utilisés dans le cadre de la gestion des étrangers.
Au vu de ces précisions, et notamment de la nécessité de conserver dans le traitement les données relatives aux mesures d'éloignement prononcées, la commission prend acte de la durée de conservation de ces données. Elle relève néanmoins que la consultation de certaines données, et en particulier de certaines informations relatives à la détention et à la rétention administrative des étrangers faisant l'objet d'une mesure d'éloignement, ou aux procédures juridictionnelles mises en œuvre dans ce cadre, n'apparaît pas nécessaire à l'issue de la mise en œuvre de la mesure. Dès lors, la commission prend acte qu'à sa demande, le ministère s'est engagé à réserver la consultation de ces données aux seuls personnels en charge de l'exécution de ces mesures, lorsqu'elle leur est strictement nécessaire.
Par ailleurs, la commission prend acte de ce que les données personnelles relatives aux personnes hébergeant un étranger assigné à résidence sont effacées sans délai après la fin de l'assignation à résidence.
Sous réserve des observations précédentes, la commission considère que les délais d'effacement des données enregistrées dans le traitement prévus par l'article R. 611-7-1 n'excèdent pas la durée nécessaire aux finalités pour lesquelles ces données sont traitées, conformément aux dispositions du 5° de l'article 6 de la loi du 6 janvier 1978 modifiée. Cette durée de conservation devrait en effet permettre aux autorités administratives de mieux lutter contre l'entrée et le séjour irréguliers des étrangers, d'une part, et aux personnes en situation régulière de bénéficier de garanties quant à leur droit au séjour, notamment dans le cadre de leurs futurs séjours en France, d'autre part.
Cependant, au vu de la grande quantité des données enregistrées, du caractère sensible de certaines d'entre elles et du nombre important de destinataires du traitement projeté, la commission estime que ces modalités de conservation des données doivent avoir pour nécessaire corollaire la limitation des accès des différents destinataires aux données strictement nécessaires à l'exercice de leurs missions, que le ministère s'est d'ailleurs engagé à mettre en œuvre. Dès lors, la commission se montrera particulièrement attentive, dans le cadre de l'exercice de ses missions de contrôle a posteriori effectuées en application de l'article 44 de la loi du 6 janvier 1978 modifiée, au respect de cette obligation.
En outre, elle estime que des mécanismes spécifiques doivent être mis en ouvre afin de s'assurer du strict respect des durées de conservation prévues. A cet égard, la commission rappelle que l'actuelle application AGDREF rencontre d'importantes difficultés de mise à jour et d'apurement, comme elle l'a indiqué à plusieurs reprises au ministère chargé de l'immigration, et comme de récentes missions de contrôle, diligentées à la suite de plaintes reçues par la commission, ont également permis de le constater, s'agissant en particulier de la conservation dans le système de personnes ayant acquis la nationalité française depuis de nombreuses années.
Elle souhaite donc, à nouveau, exprimer sa préoccupation sur ce point et rappelle que la mise à jour et l'effacement des données au terme des délais prévus constituent des obligations au titre de l'article 6 de la loi du 6 janvier 1978 modifiée. La commission demande dès lors expressément au ministère chargé de l'immigration de mettre en œuvre des mécanismes techniques, tels que des modules de suppression automatique des données à l'expiration de leur durée de conservation, ou à tout le moins des alertes automatiques prévenant les services gestionnaires du fichier de la nécessité de procéder à des mises à jour, afin de garantir la suppression des données dans les délais prévus par le projet d'article R. 611-7-1 du CESEDA.
Enfin, elle considère que la création du traitement AGDREF 2 doit constituer l'occasion de résoudre ces difficultés de mise à jour des données des personnes concernées, et qu'en aucun cas, les problèmes relevés lors des contrôles menés par la commission ne doivent peser sur le respect des durées de conservation prévues dans le cadre du nouveau traitement.
Elle souligne en particulier que les contrôles qu'elle a menés ont notamment permis de constater que l'absence d'enregistrement dans le système, par les agents préfectoraux, de la remise physique du titre à l'étranger concerné, a pour conséquence de ne pas mettre à jour dans l'application la situation de celui-ci au regard du séjour. Lors de la consultation du traitement dans le cadre d'un contrôle d'identité par exemple, l'étranger concerné peut ainsi être considéré comme étant en situation irrégulière, dans la mesure où il n'est pas indiqué comme porteur d'un titre de séjour dans l'application.
Dès lors, la commission demande que soit dorénavant mise en place une alerte automatique, au moment de la remise physique du titre à son titulaire, prévenant l'agent préfectoral de la nécessité d'enregistrer cette information dans le traitement. Elle demande également que, s'agissant des personnes déjà titulaires d'un titre de séjour et dont les données seront transférées vers le traitement AGDREF 2, l'enregistrement de cette information soit systématiquement vérifié.
5. Sur les destinataires du traitement :
Les projets d'articles R. 611-5 à R. 611-7 bis du CESEDA précisent les catégories de personnes pouvant accéder aux données à caractère personnel enregistrées dans le traitement AGDREF 2 et dans le composant électronique des titres de séjour et documents de voyage, en distinguant les destinataires pouvant alimenter, consulter et modifier les donnés du traitement des personnels bénéficiant d'un simple accès en consultation aux données.
L'article R. 611-5 prévoit ainsi un accès à l'intégralité des données du traitement, y compris aux données biométriques, des principaux utilisateurs de l'application, soit les agents des administrations centrales concernées par la réglementation des étrangers, les agents préfectoraux, les agents diplomatiques et consulaires chargés des visas, les services de police, de gendarmerie et des douanes chargés du contrôle aux frontières, et les agents en charge de la gestion de la rétention administrative et des mesures d'éloignement. Toutefois, seuls les agents préfectoraux et consulaires ont accès aux données enregistrées dans le composant électronique des titres, aux fins de délivrance et de renouvellement de ces derniers, ainsi que les agents chargés du contrôle aux frontières, aux fins de contrôle de l'authenticité et de la validité des documents détenus par les personnes.
Le projet d'article R. 611-6 du CESEDA mentionne tous les agents habilités à obtenir communication des données enregistrées dans le traitement, en consultation, et à l'exclusion des empreintes digitales des étrangers. Les projets d'article R. 611-7 et R. 611-7 bis précisent les agents pouvant, par dérogation, accéder à ces données. En ce qui concerne les empreintes digitales enregistrées dans le composant électronique des titres de séjour et de voyage, il s'agit des personnels de la police, de la gendarmerie et des douanes chargés des missions de contrôle de l'identité des personnes et de vérification de validité des titres de séjour et de voyage, ainsi que des agents de l'OFII et de l'OFPRA lorsqu'ils sont chargés de la remise des cartes de séjour. S'agissant des empreintes enregistrées dans la base centrale, il s'agit des agents des personnels de police et de gendarmerie lorsqu'ils procèdent à une vérification d'identité dans les conditions prévues par l'article 78-3 du code de procédure pénale, des personnels techniques chargés de la lutte contre la fraude documentaire, des agents des services antiterroristes, ainsi que des agents d'organismes de coopération internationale en matière de lutte contre l'immigration irrégulière et d'États étrangers.
La commission rappelle tout d'abord que le traitement AGDREF 2 a notamment pour finalité la mise en relation des services de l'Etat et organismes rattachés intervenant dans la gestion administrative des étrangers, afin d'améliorer la coordination de ces services par un meilleur partage des informations nécessaires à cette gestion. Elle estime dès lors que cet objectif est de nature à justifier le nombre élevé et la diversité des destinataires du traitement. Sans compter les effectifs des organismes de sécurité sociale, dont les modalités d'accès n'ont pas encore été définitivement arrêtées, plus de 180 000 agents pourront ainsi recevoir communication des données qui y sont enregistrées.
La commission prend acte que tous ces personnels devront faire l'objet d'une désignation individuelle et d'une habilitation spéciale par leur autorité hiérarchique afin de pouvoir accéder aux données, et que cette procédure est expressément mentionnée dans les dispositions réglementaires projetées.
Elle estime cependant, au vu de cette quantité très importante de destinataires, que deux conditions doivent nécessairement être respectées pour assurer la protection des données à caractère personnel enregistrées dans le traitement AGDREF 2.
En premier lieu, il convient qu'une politique rigoureuse de traçabilité des actions effectuées dans le système soit mise en œuvre, qu'il s'agisse des opérations de création et de modification des dossiers, ou des accès en consultation du système et des communications de données. En effet, l'exploitation de telles données de journalisation apparaît nécessaire aux fins de prévention, par le responsable du traitement, des consultations abusives de celui-ci et de ses éventuels détournements de finalité, ainsi qu'au bon exercice, par la commission, de ses pouvoirs de contrôle a posteriori.
Dans ces conditions, la commission prend acte que le ministère chargé de l'immigration a prévu des mesures de traçabilité effective de ces actions, sensiblement améliorée par rapport au système actuel. Le projet d'article R. 611-7-1 du CESEDA prévoit ainsi que les consultations du traitement feront l'objet d'un enregistrement, et que les informations relatives à ces consultations (identification du consultant, date et heure) seront conservées pendant trois ans.
Elle prend également acte que, conformément à ses demandes, le ministère a prévu des modalités précises d'accès à ces données de journalisation, qui sera réservé aux personnels habilités à les exploiter, ainsi que des modalités techniques visant à assurer la confidentialité de ces informations, qui seront portées à la connaissance de la commission.
En second lieu, elle rappelle que le nombre et la diversité des destinataires du traitement imposent la mise en œuvre de mesures juridiques et techniques de nature à garantir des accès restreints aux seules données strictement nécessaires à l'accomplissement de leurs missions. A cet égard, la commission relève que les finalités présidant à chacun de ces accès sont expressément mentionnées dans les dispositions réglementaires projetées, d'une part, et que le ministère a fourni des précisions concernant les modalités techniques d'accès en consultation aux données, de nature à assurer la restriction des accès aux seules données pertinentes pour chaque destinataire, d'autre part. La commission portera cependant une attention particulière sur ce point, dans le cadre de ses éventuelles missions de contrôle a posteriori du système.
Par ailleurs, la commission souhaite appeler l'attention du ministère chargé de l'immigration concernant les trois catégories suivantes de destinataires.
En ce qui concerne tout d'abord les accès des agents des organismes chargés de la gestion d'un régime de sécurité sociale et du Pôle emploi, elle rappelle que les dispositions législatives du code du travail et du code de la sécurité sociale réservent l'inscription sur la liste des demandeurs d'emploi et l'affiliation à un régime obligatoire de sécurité sociale aux étrangers en situation régulière au regard du séjour en France, et imposent aux organismes compétents de vérifier le respect de cette condition. L'article L. 5411-4 du code du travail et l'article L. 115-7 du code de la sécurité sociale prévoient en outre que le Pôle emploi et les organismes chargés de la gestion d'un régime obligatoire de sécurité sociale assurant l'affiliation, le versement des prestations ou le recouvrement des cotisations, peuvent avoir « accès aux fichiers des services de l'Etat pour obtenir les informations nécessaires à cette vérification ».
Dans ces conditions, la commission prend acte de ce que ces organismes seront autorisés, en vertu du projet d'article R. 611-6 du CESEDA, à accéder en consultation aux données enregistrées dans le traitement AGDREF 2.
Cependant, elle relève que les informations qui lui ont été communiquées sur les modalités précises de ces accès font état d'un échange de données sous la forme d'une interconnexion entre l'application AGDREF et les systèmes informatiques de ces organismes. Dans la mesure où les traitements ainsi projetés ont pour objet l'interconnexion de fichiers dont les finalités correspondent à des intérêts publics différents, elle rappelle que leur mise en œuvre doit faire l'objet d'une autorisation de la commission, conformément aux dispositions du I (5°) de l'article 25 de la loi du 6 janvier 1978 modifiée.
Elle demande donc que des dossiers de formalités préalables lui soient adressés par ces organismes, qui devront notamment indiquer les données précisément transférées de leur système informatique au traitement AGDREF ainsi que les mesures prises pour assurer la traçabilité de ces échanges.
S'agissant des services chargés des missions de prévention et de répression des actes de terrorisme, la commission observe que l'article 9 de la loi du 23 janvier 2006 modifiée prévoit en effet un accès de ces agents aux données actuellement enregistrées dans le système AGDREF.
Cependant, elle relève que ledit article ne prévoit, s'agissant des données biométriques mentionnées à l'article L. 611-3 du CESEDA, qu'un accès aux données relatives aux étrangers qui ne remplissent pas les conditions requises d'entrée sur le territoire, et non aux autres catégories de ressortissants étrangers énumérées audit article. C'est d'ailleurs pourquoi l'accès de ces services aux données biométriques enregistrées dans le traitement OSCAR relatif aux bénéficiaires de l'aide au retour n'a pas été autorisé par les dispositions réglementaires portant création de ces traitements, de même que l'accès aux empreintes digitales enregistrées dans le système des passeports biométriques. La commission s'interroge dès lors sur la validité du fondement juridique permettant d'étendre l'accès de ces services aux données biométriques enregistrées dans AGDREF 2.
Enfin, elle souligne que le ministère chargé de l'immigration a prévu un accès à l'ensemble des données enregistrées dans le traitement, y compris aux données biométriques aux fins d'identification des personnes, pour les agents d'organismes de coopération internationale en matière de lutte contre l'immigration irrégulière et les agents des Etats étrangers. L'article R. 611-7 bis dispose ainsi que ces consultations ont lieu dans les conditions prévues par tout engagement liant la France à des organismes internationaux ou à des Etats étrangers, et lorsque ceux-ci assurent un niveau de protection des données adéquat au sens de l'article 68 de la loi du 6 janvier 1978 modifiée. Le ministère chargé de l'immigration a précisé à la commission que ces dispositions visaient notamment à permettre la bonne application d'accords de coopération signés avec l'Espagne aux fins de lutte contre l'immigration irrégulière, ainsi que de futurs accords similaires.
La commission relève que la rédaction projetée aurait pour conséquence de ne plus avoir à modifier les dispositions réglementaires du CESEDA relatives au traitement AGDREF 2 en cas de signature de nouveaux accords bilatéraux ou multilatéraux permettant l'échange de données dactyloscopiques, sauf si les Etats ou organismes concernés n'assurent pas un niveau de protection des données suffisant. Dès lors, la commission serait simplement tenue informée de tout changement affectant les destinataires du traitement et les transferts de données à caractère personnel envisagés, conformément aux dispositions combinées du II de l'article 30 de la loi du 6 janvier 1978 modifiée et de l'article 101 du décret du 20 octobre 2005 modifié.
Or, elle n'a connaissance ni des pays concernés, ni du contenu de tels accords, et des garanties en termes de protection des données qu'ils pourront comporter. La commission relève en outre que, malgré ses demandes répétées, elle n'est ni associée à la préparation et à la définition de la position française dans les négociations de ces accords, ni consultée sur les dispositions permettant leur intégration dans l'ordre juridique interne, comme le permettent pourtant les dispositions des articles 11-4-(d) et 11-4-(a) de la loi du 6 janvier 1978 modifiée.
Dès lors, eu égard au nombre et à la sensibilité des informations enregistrées dans le traitement AGDREF 2 et susceptibles d'être transmises, et aux garanties spécifiques qui doivent être prises pour assurer la protection de ces données, et en particulier des données biométriques des personnes concernées, la commission émet de sérieuses réserves quant à la possibilité qui pourrait ainsi être donnée d'élargir la liste des destinataires du traitement AGDREF 2 en conséquence de l'entrée en vigueur de nouveaux engagements internationaux.
6. Sur les droits des personnes :
En ce qui concerne l'information des personnes concernées tout d'abord, la commission prend acte de ce que le projet d'article R. 611-7-2 du CESEDA prévoit que la remise du titre de séjour et de voyage s'accompagne d'une copie sur papier des données à caractère personnel enregistrées dans le composant électronique du titre, indiquant notamment le nombre et la nature des empreintes digitales qui y sont enregistrées. Elle prend également acte de ce que les personnes concernées seront également informées des données enregistrées dans le traitement centralisé, par des mentions affichées dans les locaux préfectoraux et figurant également sur les formulaires de demande de titre.
S'agissant de l'information des personnes en situation irrégulière et des personnes faisant l'objet d'une mesure d'éloignement, dont les données seront enregistrées dans le traitement AGDREF 2, la commission relève en revanche que le ministère chargé de l'immigration ne lui a pas communiqué d'éléments suffisants pour apprécier la conformité des mesures prévues aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, tout en indiquant que l'information de ces personnes serait assurée.
Enfin, elle rappelle que les personnes tierces devront également faire l'objet d'une information relative à l'enregistrement de leurs données personnelles dans le traitement. Si cette information est notamment prévue pour les garants, par une mention adéquate sur les imprimés d'engagement, la commission demande que tous les formulaires de collecte remplis par ces personnes fassent état de cet enregistrement.
En ce qui concerne les droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, la commission prend acte de l'exercice direct de ces droits, auprès de l'autorité de délivrance s'agissant des titres de séjour et de voyage, et du préfet compétent s'agissant des mesures d'éloignement, prévu par le projet d'article R. 611-7-3 du CESEDA.
Elle relève cependant qu'aucun mécanisme spécifique n'est prévu quant à l'exercice de ces droits par les personnes tierces, qui ne pourront accéder à leurs données que via le nom de l'étranger auquel elles sont liées, dans la mesure où n'est pas envisagée la possibilité d'effectuer des recherches dans la base sur ces personnes. La commission demande donc la mise en œuvre de mesures permettant de telles recherches, par les seuls personnels spécifiquement habilités à répondre aux demandes d'accès et de rectification des données, afin de mieux permettre l'exercice de ces droits par les personnes concernées.
Enfin, la commission prend acte de l'absence de possibilité, pour toutes les personnes concernées par le traitement AGDREF 2, de s'opposer à l'enregistrement de leurs données personnelles.
7. Sur les autres sécurités du dispositif :
La commission relève tout d'abord que le système central sera hébergé dans les locaux du ministère chargé de l'immigration, et que l'application ne sera disponible que sur le réseau interne et sécurisé de celui-ci, ce qui permet d'assurer sa sécurité physique et logique. Elle prend également acte que les utilisateurs ayant des droits de création et de modification sur les dossiers des étrangers seront soumis à une procédure d'identification forte par carte à puce, et devront également saisir un mot de passe pour s'authentifier.
Elle relève par ailleurs que le traitement AGDREF 2 fera l'objet de nombreuses mises en relations avec les applications informatiques des autres organismes intervenant dans le cadre de la gestion administrative des étrangers, aux fins de partage et de mise à jour des informations qui y sont enregistrées. Cependant, contrairement aux premières indications du ministère, le traitement ne fera pas l'objet d'une interconnexion avec le FNAD relatif aux personnes non admises à entrer sur le territoire.
La commission souligne tout d'abord que les mesures de sécurités entourant les échanges de données effectués avec l'application INEREC de l'OFPRA, et avec l'application FRAMIDE (ex-GeMOE) utilisée par les services de la main-d'œuvre étrangère, n'ont pas été suffisamment précisées par le ministère chargé de l'immigration, qui s'est cependant engagé à communiquer à la commission des informations complémentaires sur ce point. De même, le ministère devra lui adresser des précisions s'agissant de l'interconnexion du traitement avec l'application RMV 2 enregistrant les dossiers de demande de visa et avec le traitement PRENAT qui gère l'instruction des demandes de naturalisation, ainsi que de la réception d'informations relatives aux étrangers décédés transmises par l'INSEE, aux fins de mise à jour de l'application.
En revanche, les sécurités techniques mises en œuvre afin d'assurer la confidentialité des données échangées avec l'ANTS aux fins de production des titres de séjour apparaissent conformes aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée. La commission prend également acte des modalités d'échanges de données entre le traitement AGDREF 2 et les applications IMMI 2 de l'OFII, et du casier judiciaire national, déjà mis en œuvre dans le cadre de l'actuelle application AGDREF, de même que des modalités d'interrogation du fichier des personnes recherchées,
S'agissant en particulier de l'interconnexion prévue avec le traitement VISABIO, qui permettra de transmettre les données d'identification biométriques et alphanumériques des demandeurs de visa se présentant en préfecture pour demander un titre de séjour, elle estime également que les modalités de sécurisation des transferts de données apportent des garanties de sécurité suffisantes,
En tout état de cause, la commission rappelle que tous les échanges de données permis par ces mises en relation doivent faire l'objet d'une traçabilité effective. Enfin, elle appelle l'attention du ministère sur la nécessité de modifier les dispositions réglementaires portant création de certaines des applications ainsi mises en relation, dans la mesure où certaines de ces dispositions, comme par exemple celles relatives aux traitements PRENAT ou INEREC, prévoient expressément l'absence de telles mises en relation.


Le vice-président délégué,

E. de Givry