Délibération n° 2014-308 du 17 juillet 2014 portant avis sur un projet de décret relatif à la création d'un traitement de données à caractère personnel dénommé « système API-PNR France » pris pour l'application de l'article L. 232-7 du code de la sécurité intérieure et fixant les modalités de transmission au service à compétence nationale « Unité Information Passagers » des données relatives aux passagers par les transporteurs aériens (demande d'avis n° 14014804)

JORF n°0225 du 28 septembre 2014
texte n° 51



Délibération n° 2014-308 du 17 juillet 2014 portant avis sur un projet de décret relatif à la création d'un traitement de données à caractère personnel dénommé « système API-PNR France » pris pour l'application de l'article L. 232-7 du code de la sécurité intérieure et fixant les modalités de transmission au service à compétence nationale « Unité Information Passagers » des données relatives aux passagers par les transporteurs aériens (demande d'avis n° 14014804)

NOR: CNIX1422897X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant création d'un traitement de données à caractère personnel dénommé « système API-PNR France » pris pour l'application de l'article L. 232-7 du code de la sécurité intérieure et fixant les modalités de transmission au service à compétence nationale « Unité Information Passagers » des données relatives aux passagers par les transporteurs aériens ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2004/82/CE du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers ;
Vu le code de procédure pénale, notamment ses articles 695-23 et 706-23 ;
Vu le code de la sécurité intérieure, notamment son article L. 232-7 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26 ;
Vu la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant création d'un traitement de données à caractère personnel dénommé « système API-PNR France » et fixant les modalités de transmission au service à compétence nationale « Unité Information Passagers » des données relatives aux passagers par les transporteurs aériens.
Ce projet de décret est pris en application de l'article L. 232-7 du code de la sécurité intérieure, créé par la loi n° 2013-1168 du 18 décembre 2013 susvisée, sur laquelle la commission s'est prononcée dans sa délibération n° 2013-219 du 18 juillet 2013.
L'article L. 232-7 du code de la sécurité intérieure permet la mise en œuvre d'un traitement automatisé de données à caractère personnel pour les besoins de la prévention et de la constatation des actes de terrorisme, des infractions mentionnées à l'article 695-23 du code de procédure pénale et des atteintes aux intérêts fondamentaux de la Nation, du rassemblement des preuves de ces infractions et de ces atteintes ainsi que de la recherche de leurs auteurs.
Cet article prévoit qu'un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, en détermine les modalités d'application. Il s'agit du présent projet de décret. Compte tenu des finalités poursuivies par le traitement projeté, il y a en outre lieu de faire application des dispositions de l'article 26 de la loi du 6 janvier 1978 modifiée qui soumettent la création d'un tel traitement à un acte réglementaire pris après avis motivé et publié de la commission.
Sur la création d'un nouveau traitement expérimental de données API et PNR :
A titre liminaire, la commission relève que le « système API-PNR France » concernera toutes les compagnies aériennes et l'ensemble des passagers des vols à destination et en provenance du territoire national, à l'exception des vols reliant deux points de la France métropolitaine. Ainsi, près de 100 millions de personnes par an sont concernées par le traitement projeté.
En outre, la mise en œuvre de ce système suppose la collecte d'un volume très important de données, en l'espèce, des données de réservation (« Passenger Name Record », dites PNR) et des données d'enregistrement et d'embarquement (« Advance Passenger Information », dites API) de tous les passagers aériens. Il s'agit de données initialement collectées par des entreprises de transport aérien dont la plupart sont privées, à des seules fins commerciales, et leur caractère exact, complet et mis à jour présente de ce fait une fiabilité incertaine.
De plus, le traitement projeté permettra d'effectuer un rapprochement entre les données collectées et d'autres fichiers de police judiciaire et administrative relatifs à des personnes ou des objets recherchés ou surveillés. Il permettra également d'expérimenter de nouvelles modalités d'exploitation de ces données. Ainsi, il sera possible de savoir si une personne ou un objet, compte tenu de ses caractéristiques de déplacement, présente un risque particulier au regard des finalités énumérées par l'article L. 232-7 du code de la sécurité intérieure et doit dès lors faire l'objet de mesures particulières. L'exploitation des données API et PNR permettra en effet le ciblage des individus au travers de différents critères préétablis ainsi que leur classement sur une échelle de risques, grâce à l'utilisation d'un outil de scoring.
De telles possibilités seront enfin offertes à un très grand nombre de services, dotés de prérogatives de police judiciaire ou de police administrative, à l'instar de tous les services de renseignement spécialisés.
Eu égard à l'ampleur de ce traitement, tant au niveau du nombre de personnes concernées, du volume de données collectées, du grand nombre de personnes susceptibles d'y avoir accès, que des nouvelles conditions d'exploitation de ces données, la commission estime que le traitement projeté est susceptible de porter une atteinte particulièrement grave au droit au respect de la vie privée et à la protection des données personnelles.
Une telle atteinte ne saurait être admise que si elle apparaît strictement nécessaire au but poursuivi et qu'elle présente des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données personnelles. La commission estime ainsi que des mesures juridiques et techniques adaptées doivent être prévues afin d'assurer un haut niveau de protection des données.
A cet égard, elle relève que l'existence de dispositions législatives précises, introduites par la loi du 18 décembre 2013 susvisée ainsi que les dispositions réglementaires objet du présent décret constituent une première garantie permettant d'encadrer le risque d'atteinte portée à la vie privée et à la protection des données personnelles des personnes concernées par le traitement.
La commission relève également que des garanties supplémentaires ont été prévues par le ministère de l'intérieur, s'agissant des modalités de collecte et de traitement des données (absence de traitement des données dites sensibles, masquage des données au bout de deux ans, destinataires limitativement prévus en fonction de leurs missions, environnement technique sécurisé), des modalités d'exploitation des données (apurement de certaines fiches dans le cadre du criblage) ainsi que des mesures de sécurité et de traçabilité mises en œuvre.
En outre, le caractère expérimental du traitement projeté, expressément prévu par le législateur, ne préjuge en rien de la pérennisation du système « API-PNR France ».
Si la commission prend acte de ces garanties, il convient de s'assurer de leur caractère effectif et adapté. C'est pourquoi cette expérimentation devra faire l'objet d'une évaluation rigoureuse avant d'envisager ou non de maintenir le traitement. La commission demande qu'un bilan d'évaluation du dispositif lui soit adressé et que le projet de décret soit expressément précisé sur ce point. A cet égard, elle estime que ce rapport d'évaluation devra tout particulièrement s'attacher à vérifier ['effectivité des garanties prévues et devra donc mentionner a minima :


- des éléments chiffrés sur le nombre de données collectées, le nombre de personnes concernées, le nombre de requêtes reçues par l'Unité d'Information Passagers, etc. ;
- des éléments chiffrés sur le nombre de demandes relatives à la levée du procédé de masquage sur les données concernées ainsi que sur le nombre de levées effectuées ;
- des éléments chiffrés correspondant aux demandes de visualisation par les services compétents ;
- une description des conditions de mise en œuvre technique et opérationnelle du traitement ;
- une description précise des différentes interconnexions du système « API/PNR France » avec d'autres traitements et de leurs modalités de mise en œuvre ;
- des éléments de conclusion généraux relatifs au fonctionnement du traitement, aux éventuelles difficultés rencontrées, aussi bien juridiques que techniques.


En tout état de cause, au vu des risques particulièrement graves d'atteinte à la vie privée et au respect des principes fondamentaux relatifs à la protection des données personnelles, la commission se montrera particulièrement attentive aux conditions réelles de mise en œuvre de ce traitement et ne manquera pas de faire usage, le cas échéant, de ses pouvoirs de contrôle prévus à l'article 44 de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement :
Le projet de décret renvoie aux finalités prévues à l'article L 232-7 du code de la sécurité intérieure, soit la prévention et la constatation des actes de terrorisme, des infractions mentionnées à l'article 695-23 du code de procédure pénale et des atteintes aux intérêts fondamentaux de la Nation, du rassemblement des preuves de ces infractions et de ces atteintes ainsi que de la recherche de leurs auteurs.
Le projet de décret vise à permettre la collecte des données API et PNR des passagers aériens afin de répondre aux besoins des services opérationnels des agents de la police nationale, de la gendarmerie nationale et des douanes ainsi que des services de renseignement spécialisés (direction générale de la sécurité intérieure, direction générale de la sécurité extérieure, direction de la protection et de la sécurité de la défense, direction du renseignement militaire, du service à compétence nationale TRACFIN, direction nationale du renseignement et des enquêtes douanières).
La commission relève que ce dispositif porte tant sur des finalités administratives que judiciaires et que les infractions permettant la consultation du traitement sont très nombreuses. S'il n'appartient plus à la commission de se prononcer sur ce point, dans la mesure où ces finalités ont été prévues par le législateur, elle insiste sur l'importance de mettre en place les garanties appropriées afin de préserver les droits et libertés fondamentaux des personnes concernées.
Compte tenu de ces éléments, la commission considère que les finalités poursuivies sont déterminées, explicites et légitimes, conformément à l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées et leur exploitation :
L'article L. 232-7-II du code de la sécurité intérieure autorise le traitement des données d'enregistrement relatives aux passagers des vols à destination et en provenance du territoire national, à l'exception des vols reliant deux points de la France métropolitaine, mentionnées à l'article L. 232-4 du même code ainsi que les données relatives aux passagers enregistrées dans les systèmes de réservation des transporteurs aériens.
L'article R. 232-14 dudit code, tel que prévu par le projet de décret, précise les différentes catégories de données à caractère personnel et informations enregistrées dans le traitement envisagé.
La commission relève, à titre liminaire, qu'aucune donnée sensible au sens de l'article 8 de fa loi du 6 janvier 1978 modifiée ne sera collectée dans le cadre du traitement projeté, conformément aux dispositions de l'article L. 232-7-1 dudit code. Elle prend acte des mesures de filtrage mises en œuvre afin de s'assurer que ces données ne soient pas intégrées au traitement API/PNR si elles venaient à être transmises par les transporteurs aériens, qui reposent sur la constitution d'une « liste noire » répertoriant les données identifiées comme sensibles. Cette liste, qui fera l'objet d'une mise à jour dès lors que les référentiels sur lesquels elle s'appuie évoluent, permettra d'identifier les champs pouvant contenir de telles données, il en résulte que le système filtrera de manière automatique l'ensemble des données collectées sur la base de cette liste noire, qui ne seront dès lors pas accessibles.
Compte tenu de la sensibilité de ces informations et de l'interdiction légale de les traiter dans le cadre du système projeté, il conviendra de s'assurer du caractère effectif des garanties mises en œuvre. Le bilan d'évaluation devra dès lors contenir des éléments sur ce point.
La première catégorie de données collectées sont les données dites de réservation (données PNR) fournies par les voyageurs au stade de la réservation commerciale. Il s'agit principalement de données relatives à l'identité des passagers aériens (nationalité, nom, prénom, date de naissance), à l'itinéraire emprunté, au nombre et noms des autres voyageurs figurant dans le dossier passager ainsi que d'autres informations concernant le passager (numéro de siège, informations relatives aux bagages, moyens de paiement, etc.).
La deuxième catégorie de données collectées sont des données d'enregistrement et d'embarquement (API) présentes dans les systèmes d'information des compagnies aériennes ou des plateformes aéroportuaires, La liste mentionnée au projet d'article R. 232-14 du code de la sécurité intérieure est conforme à celle prévue par l'article 3-2° de la directive 2004/82/CE du 29 avril 2004 susvisée qui établit une liste minimale de données que les transporteurs doivent transmettre aux autorités compétentes.
Il s'agit principalement de données relatives à l'identité des passagers aériens (nationalité, nom, prénom, date de naissance, sexe), au document de voyage utilisé (type, numéro), au vol emprunté (numéro, point de passage frontalier, code de transport, date du vol, heures et point de départ et d'arrivée, point d'embarquement et de débarquement, nombre total de personnes transportées) ainsi que d'autres informations concernant le passager (statut de la personne embarquée, numéro de siège, code repère du dossier passager, nombre, poids et identification des bagages).
Toutes ces données sont transmises par les compagnies aériennes à une Unité d'Information Passagers (UIP), qui a vocation à recueillir les données, à les exploiter et à les transmettre aux services demandeurs. Ce service, à caractère interministériel et à compétence nationale, sera rattaché au ministre chargé des douanes et fera l'objet d'un décret spécifique.
L'intérêt, pour les services concernés, de collecter un si grand nombre de données est double. Il s'agit, d'une part, de vérifier si une personne ou, le cas échéant, un objet, qui s'apprête à être enregistré sur un vol au départ ou à l'arrivée du territoire n'est pas recherché et, d'autre part, de déterminer si un passager, compte tenu de ses habitudes de voyage, présente un risque particulier au regard des finalités énumérées à l'article L. 232-7 du code de la sécurité intérieure.
En premier lieu, le dispositif projeté doit permettre, à chaque réception des données API et PNR par l'Unité, de les comparer automatiquement et systématiquement avec certains fichiers relatifs à des personnes ou des objets recherchés ou surveillés (FPR, FOVeS, SIS II, SILCF, base ASF-SLTD d'Interpol). Cette fonctionnalité, dite « de criblage », s'exécute automatiquement lors de l'arrivée de nouveaux flux de données en provenance des compagnies aériennes. Ces interconnexions ont pour but de déterminer si des personnes ou des objets inscrits dans ces fichiers figurent sur un vol concerné par le traitement.
La commission relève que différentes garanties ont été prévues quant à cette utilisation des données enregistrées dans le traitement. Le ministère a en effet sélectionné les seules fiches FPR qui doivent être consultées au regard du seuil de gravité infractionnelle, expressément prévu à l'article L. 232-7 du code de la sécurité intérieure, permettant le traitement des données API et PNR. Ainsi, les données API et PNR des passagers ne seront pas criblées avec l'ensemble des fiches FPR, mais uniquement avec celles compatibles avec cette condition. En cas de réponse positive (« hit » positif), la réponse est fournie à la fois au service qui a émis le signalement dans le FPR et au service chargé de la police générale sur la plateforme empruntée par le passager. Cette réponse s'accompagne de la mise à disposition de la copie de la fiche de recherche ou de surveillance concernée. La commission prend acte que les autres traitements avec lesquels le système API/PNR sera rapproché feront l'objet du même travail d'apurement. En outre, les fiches de ces traitements ne sont pas conservées dans le système « API-PNR », seule l'existence ou non d'un « hit » positif (numéro de fiche, type de fiche et conduite à tenir) aux dates et heures considérées étant enregistrée dans le traitement, ce qui est expressément prévu par le projet de décret.
Enfin, afin d'augmenter la fiabilité du système et de préserver au mieux le respect de la vie privée et le droit à la protection des données personnelles, le ministère met en œuvre un logiciel de gestion des homonymies, assorti d'un outil d'aide à la décision permettant une levée de doute par l'UIP (outil de scoring) qui permet de classer les individus selon le score obtenu et de réduire les risques de faux résultats positifs. Une liste blanche est également constituée à partir de l'identité des personnes contrôlées à tort pour réduire les dysfonctionnements dus aux homonymies et indiquer que cette personne ne fait pas l'objet de recherches complémentaires.
En second lieu, l'exploitation des données API et PNR donnera lieu à la mise en œuvre de différentes techniques de ciblage des individus (ciblage de précision, ciblage personnalisé, ciblage de masse, recherches multicritères, visualisation). Ces modes d'exploitation des données ne seront mis en œuvre que sur demande spécifique d'une autorité compétente, reposeront sur des critères objectifs et ne seront pas tous accessibles à l'ensemble des services mentionnés dans le projet de décret.
Ces fonctionnalités permettent notamment d'établir un niveau de risques, à partir de critères objectifs, puis à l'appliquer à une ou plusieurs personnes afin de détecter un comportement dit « à risque » au vu des finalités prévues par l'article L. 232-7 du code de sécurité intérieure. Elles permettent en outre la mise en attention d'une ou plusieurs personnes ou objets, à partir d'éléments recueillis par les services demandeurs. Enfin, elles permettent, sous certaines conditions, de visualiser directement, pour les seuls agents des directions générales de la sécurité extérieure et intérieure, les données collectées.
Conformément à l'article 10 de la loi du 6 janvier 1978 modifiée, la commission rappelle qu'aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé. Il convient donc de s'assurer que le profilage résultant de ces outils d'aide à la prise de décision ne mène pas automatiquement à une décision prise à l'encontre des personnes concernées par ce traitement.
A cet égard, la commission relève que des vérifications humaines et manuelles sont réalisées par l'unité lorsqu'elle est saisie d'une requête puis par les services destinataires qui décident de la conduite à tenir et peuvent, le cas échéant, effectuer les vérifications complémentaires qu'ils estiment nécessaires. Par ailleurs, les réponses transmises à ces services ne conduiront pas systématiquement à la mise en œuvre d'une action spécifique.
Elle considère dès lors que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6-3° de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article L. 232-7 du code de la sécurité intérieure prévoit que les données ne peuvent être conservées que pour une durée maximale de cinq ans. Le projet de décret s'aligne sur cette durée, qui correspond par ailleurs à celle fixée dans le cadre du projet de directive européenne relative à l'utilisation des données des dossiers passagers.
Ainsi, l'article R. 232-16 du même code, tel que prévu par le projet de décret, prévoit que les données à caractère personnel et les informations enregistrées dans les traitements mis en œuvre sont conservées cinq ans à compter de leur réception dans le système. La commission rappelle néanmoins que ces données ne pourront en aucun cas être conservées pendant cette durée en l'absence de pérennisation du système projeté et d'une prorogation des dispositions législatives, auquel cas il conviendra de les détruire sans délai.
Les données susceptibles de révéler l'identité des passagers font quant à elles l'objet d'une garantie supplémentaire, résultant de la mise en œuvre d'un procédé de masquage à l'expiration d'un délai de deux ans à compter de leur collecte. Ainsi, si ces données devaient apparaître dans des résultats suite à des requêtes, elles ne seront visibles ni par l'UIP ni a fortiori par les services ayant formulé ces requêtes. Afin de prendre connaissance de ces données, il sera nécessaire de formuler une demande motivée auprès de l'UIP, dont le directeur autorisera de manière expresse la levée de ce masquage.
Au regard de ces éléments, la commission considère que les données collectées sont conservées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément à l'article 6-5° de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article R. 232-15 du code de la sécurité intérieure, tel que prévu par le projet de décret, énumère les catégories de personnes habilitées à formuler des requêtes auprès de l'UIP et à être destinataires des réponses.
Ces destinataires sont catégorisés en fonction des finalités distinctes prévues par l'article L. 232-7 dudit code et comprennent notamment les services spécialisés de renseignement, les services à compétence judiciaire, des services à compétence administrative ainsi que les services ayant des compétences spécialisées en matière aéroportuaire.
En premier lieu, la commission relève que seuls les personnels affectés au sein de l'UIP auront directement accès aux données à caractère personnel, comme le mentionne expressément le projet de décret. Il en résulte que les personnels ayant directement accès aux données sont peu nombreux. En outre, les vérifications effectuées par cette unité au moment de l'exploitation des données (levée de doute par le biais de vérifications manuelles, délai de réflexion, liste blanche) constituent un filtre important, permettant de réduire le risque d'atteinte portée à la vie privée et à la protection des données personnelles.
Néanmoins, la commission prend acte que les seuls agents spécialisés des directions générales de la sécurité intérieure et extérieure pourront visualiser les données collectées dans le cadre du système « AP1-PNR France », uniquement en cas de menace grave, d'urgence avérée et pour les seuls besoins de la prévention des actes de terrorisme et des atteintes aux intérêts fondamentaux de la Nation, comme le prévoit expressément le projet de décret.
En second lieu, en fonction des motifs de la demande, une distinction est réalisée entre les agents des services habilités à formuler des requêtes auprès de l'UIP et à être destinataires des réponses correspondantes et ceux ne pouvant formuler aucune requête mais étant habilités à recevoir communication de certaines données à des fins opérationnelles (intervention sur les plateformes aéroportuaires).
En pratique, les requêtes adressées par les agents des services concernés seront réalisées par l'intermédiaire d'un espace de travail virtuel, après une identification préalable au moyen d'une carte agent. Cet espace de travail contiendra les résultats mis à disposition par l'UIP ainsi qu'un certain nombre d'indicateurs d'activité.
En outre, le type de requête pouvant être formulée est propre à chaque service et conditionne les modalités d'exploitation des données auxquelles ont accès les agents.
A cet égard, la commission relève que les Etats-majors de la direction centrale de la police judiciaire et de la direction régionale de la police judiciaire de Paris pourront être amenés à formuler des requêtes au titre de la prévention et de la constatation des actes de terrorisme, du rassemblement des preuves de ces actes et de la recherche de leurs auteurs. Sur ce point, le ministère a précisé que ces requêtes étaient subordonnées à l'existence de circonstances particulières liées à des situations d'urgence ou de crise. La commission invite le ministère à l'indiquer expressément dans le projet de décret.
Enfin, elle prend acte qu'il n'est pas prévu d'instituer des échanges internationaux spécifiques permettant l'échange des données collectées, qui dérogeraient aux instruments et accords déjà en vigueur en matière de coopération policière et douanière et qu'il ne sera pas procédé à une mise en réseau des UIP des Etats membres de l'Union européenne.
La commission considère que les finalités du traitement mis en œuvre justifient que l'ensemble des destinataires énumérés par le projet de décret puissent avoir accès aux données collectées dans le cadre de leurs missions et habilitations respectives et que les précisions apportées quant à leurs modalités d'accès aux données constituent une garantie supplémentaire au regard du nombre important de destinataires.
Sur l'information des personnes :
L'article L. 232-7 du code de la sécurité intérieure impose expressément aux transporteurs aériens d'informer les personnes concernées du traitement envisagé.
Afin de se conformer aux exigences de l'article 6-1° de la loi du 6 janvier 1978 modifiée, relatif à la licéité et à la loyauté de la collecte des données, le ministère doit dès lors s'assurer de la bonne information, par les transporteurs aériens, des personnes concernées. Ainsi, une information effective des passagers sur la collecte et le traitement de leurs données doit être réalisée, dans une langue compréhensible par les personnes intéressées. En outre, la commission rappelle que cette information doit être claire, complète et pédagogique dans la mesure où elle conditionne l'exercice des droits des personnes concernées par le traitement mis en œuvre.
Par ailleurs, la commission relève qu'au-delà de la délivrance de cette information par les transporteurs aériens, une information des personnes sera également assurée par le Gouvernement au moyen d'un site internet grand public. Ainsi, des informations relatives à la transmission des données API et PNR à l'UIP, aux finalités de l'exploitation de ces données, à la durée de conservation ainsi qu'aux modalités d'exercice des droits des personnes seront communiquées.
Ces mesures constituent une garantie supplémentaire afin d'assurer, d'une part, la protection des données personnelles des personnes concernées par le traitement et, d'autre part, la légitimité de la mise en œuvre du système projeté. Compte tenu de l'impérieuse nécessité de s'assurer de l'information des personnes concernées par le traitement, la commission sera particulièrement attentive aux modalités effectives de délivrance de celle-ci.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au traitement projeté. Eu égard aux finalités de ce dernier, ce point n'appelle pas d'observation particulière de la part de la commission.
Le projet de décret prévoit un droit d'accès mixte aux données enregistrées dans le traitement. Ainsi, ces droits s'exercent de manière indirecte auprès de la Commission nationale de l'informatique et des libertés pour la mention « connu » ou « inconnu » au FPR, SIS II, FOVeS, SILCF et à la base de données d'Interpol, conformément aux dispositions de l'article 41 de la loi du 6 janvier 1978 modifiée.
En application du dernier alinéa du même article, les droits d'accès et de rectification des autres données enregistrées dans le système « API-PIN France » s'exercent directement auprès du directeur de l'UIP ou de son adjoint.
Si la commission ne peut que se féliciter de cette garantie supplémentaire, elle rappelle néanmoins que tous les éléments mentionnés à l'article 39 de la loi du 6 janvier 1978 modifiée, et notamment à l'article 39-1-5° (informations permettant de connaître la logique qui sous-tend le traitement), devront être communiqués à toute personne en faisant la demande.
Sur la sécurité des données et la traçabilité des actions :
Les mesures de sécurité décrites et prévues par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
Le ministère a notamment mis en œuvre des mécanismes de sauvegarde automatique de tout fichier reçu et ajouté en base. Ceux-ci sont signés et horodatés. Un reçu est envoyé à la compagnie aérienne émettrice du fichier. Ce reçu lui permet de vérifier l'intégrité des informations reçues par le ministère grâce à un outil ergonomique de vérification qu'il lui aura fourni. La confidentialité des sauvegardes est principalement assurée par des mesures de sécurité physique.
Des mécanismes et procédures sont prévus pour la prévention, la détection, l'analyse et la réaction en cas d'incident.
L'ensemble des flux sont chiffrés et utilisent des mécanismes d'authentification mutuelle, à l'exception d'un moyen de secours permettant aux fournisseurs d'envoyer leurs données.
Des mécanismes de cloisonnement réseau, de droits d'accès par profil métier et de traçabilité systématique et détaillée, y compris de toute action des administrateurs, permettent de limiter le risque d'atteinte au droit d'en connaître. Le système est administré par deux équipes d'administrateurs ayant une hiérarchie distincte, ce qui facilite un contrôle réciproque. La détection d'anomalie donne lieu à une alerte.
L'authentification des destinataires et agents habilités se fait par carte agent, garantissant une authentification forte, tandis que celle des fournisseurs s'effectue, d'une part, par un certificat matériel et, d'autre part, par identifiant et mot de passe envoyés par deux canaux séparés.
Des mécanismes et procédures pour assurer l'absence d'information résiduelle sur les matériels mis au rebus sont mis en œuvre.
Sur la traçabilité, la commission relève que le futur article R. 232-17 du code de la sécurité intérieure, tel que prévu par le projet de décret, prévoit la mise en œuvre d'une journalisation systématique et détaillée de toutes les opérations (consultation, création et modification) du traitement ; les traces sont conservées cinq ans.
Enfin, la commission rappelle toutefois que l'obligation de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée qui incombe au responsable de traitement, nécessite la mise à jour des mesures de sécurité en fonction d'une réévaluation régulière des risques. La commission souligne notamment l'importance de réévaluer périodiquement les mesures relatives aux outils utilisés dans le cadre du traitement projeté, qui reposent sur la prise en compte de différents critères amenés à évoluer pour appréhender au mieux les changements des comportements criminels.


La présidente,

I. Falque-Pierrotin