Délibération n° 2017-323 du 7 décembre 2017 portant avis sur un projet d'arrêté portant autorisation du registre de rétention prévu à l'article L. 553-1 du code de l'entrée et du séjour des étrangers en France et d'un traitement automatisé de données à caractère personnel dénommé « Logiciel de gestion individualisée des centres de rétention administrative » (LOGICRA) (demande d'avis n° 1936397)

JORF n°0057 du 9 mars 2018
texte n° 124



Délibération n° 2017-323 du 7 décembre 2017 portant avis sur un projet d'arrêté portant autorisation du registre de rétention prévu à l'article L. 553-1 du code de l'entrée et du séjour des étrangers en France et d'un traitement automatisé de données à caractère personnel dénommé « Logiciel de gestion individualisée des centres de rétention administrative » (LOGICRA) (demande d'avis n° 1936397)

NOR: CNIX1806615X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant autorisation du registre de rétention prévu à l'article L. 553-1 du code de l'entrée et du séjour des étrangers en France et d'un traitement automatisé de données à caractère personnel dénommé « Logiciel de gestion individualisée des centres de rétention administrative » (LOGICRA) ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment ses articles L. 551-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-I ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Michel TEIXEIRA, adjoint au commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie d'un projet d'arrêté portant autorisation du registre de rétention prévu à l'article L. 553-1 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) et d'un traitement automatisé de données à caractère personnel dénommé « Logiciel de gestion individualisée des centres de rétention administrative » (LOGICRA). Ces traitements doivent permettre, à titre général, la gestion quotidienne des personnes placées en rétention administrative et le suivi statistique des mesures de rétention.
Les traitements seront mis en œuvre dans les centres de rétention administrative (CRA), dont la majorité est gérée par la direction générale de la police nationale (DGPN) et plus précisément par la direction centrale de la police aux frontières (DCPAF), qui a notamment pour missions de lutter contre l'immigration illégale et de mettre en œuvre l'éloignement effectif des étrangers en situation irrégulière, et qui sont, pour certains, gérés par la direction de l'ordre public et de la circulation (DOPC) de la préfecture de police de Paris. Ces centres permettent de retenir dans un lieu fermé, pour une durée limitée et sous contrôle juridictionnel, certains ressortissants étrangers faisant l'objet d'une procédure d'éloignement prise par l'autorité administrative ou judiciaire et ne présentant pas de garanties suffisantes pour prévenir le risque de se soustraire à une obligation de quitter le territoire français.
Les traitements concernés, qui intéressent la sécurité publique et ont pour objet l'exécution d'une mesure de sûreté, doivent dès lors être autorisés par arrêté ministériel pris après avis motivé et publié de la Commission, conformément aux dispositions de l'article 26-I de la loi du 6 janvier 1978 modifiée.
Sur les finalités assignées aux traitements :
L'article 1er du projet d'arrêté assigne aux deux traitements concernés, le registre de rétention et le LOGICRA, deux finalités.
En premier lieu, il s'agit de permettre « la gestion quotidienne de la rétention administrative des étrangers en situation irrégulière placés en centre de rétention administrative ». En ce qui concerne le registre de rétention, la Commission relève que le projet d'arrêté régularise la mise en œuvre d'un traitement prévu par les articles L. 553-1 et suivants du CESEDA et dont l'objet principal est de permettre au juge des libertés et de la détention (JLD) de s'assurer que le ressortissant étranger placé en rétention a été pleinement informé de ses droits et mis en mesure de les exercer. En effet, conformément auxdites dispositions du CESEDA, le registre de rétention, qui doit être tenu dans tous les CRA et émargé par toute personne qui y est placée, mentionne l'état civil de ces personnes ainsi que les conditions de leur placement ou de leur maintien.
S'agissant de LOGICRA, ce traitement doit permettre une gestion harmonisée de la retenue administrative des étrangers en situation irrégulière dans l'ensemble des CRA du territoire, tout au long des différentes étapes de la rétention (rendez-vous judiciaire, durée de la rétention, transfert, contentieux, etc.). Le déploiement de cet outil doit permettre d'uniformiser la mise en œuvre de la rétention administrative en France et contribuer à une meilleure fiabilité des données enregistrées.
La Commission relève que cette première finalité assignée au traitement LOGICRA est proche de celle poursuivie par le traitement AGDREF 2 qui, afin de garantir le droit au séjour des ressortissants étrangers en situation régulière et de lutter contre l'entrée et le séjour irréguliers en France des ressortissants étrangers, vise notamment, en application de l'article R. 611-1 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA), à « permettre la gestion des différentes étapes de la procédure applicable aux mesures d'éloignement ».
Elle prend néanmoins acte que le traitement AGDREF 2 a pour objet la gestion administrative globale de l'ensemble des ressortissants étrangers, et non pas uniquement de ceux qui sont en situation irrégulière, tandis que le traitement LOGICRA n'a qu'une vocation opérationnelle, centrée sur la gestion quotidienne, par les CRA, des seules personnes faisant l'objet d'un placement en rétention administrative.
A cet égard, la Commission constate que, bien que les finalités de ces deux traitements soient distinctes, de nombreuses données enregistrées dans LOGICRA sont également traitées dans AGDREF 2. Certaines des données mentionnées à l'annexe 6-4 du CESEDA, telles que, par exemple, les bagages placés en consigne ou les biens placés au coffre, n'ont en outre une utilité qu'en matière de gestion des CRA. Elle estime dès lors que l'absence de finalité de gestion quotidienne des centres de rétention de AGDREF 2 et la création du traitement LOGICRA, qui vise précisément une telle gestion, impliquent que de telles données soient retirées du traitement AGDREF 2 et que l'annexe précitée du CESEDA soit modifiée en ce sens.
A cet égard, le ministère a indiqué que les traitements AGDREF 2 et LOGICRA n'étaient pour le moment pas mis en relation. La Commission rappelle, que si une telle mise en relation était par la suite souhaitée, le ministère devrait, préalablement à sa mise en œuvre, l'en informer dans les conditions prévues par l'article 30 de la loi du 6 janvier 1978 modifiée.
Par ailleurs, le ministère a indiqué que si le LOGICRA permet de dématérialiser la gestion quotidienne des CRA, il n'a toutefois pas pour objet la dématérialisation de la procédure juridictionnelle relative à la rétention administrative et notamment des différents procès-verbaux prévus en la matière par le CESEDA, tels que, par exemple, le procès-verbal de notification des droits en rétention visé à l'article R. 551-4 dudit code. La seule fonctionnalité de LOGICRA relative à ces procès-verbaux consiste à proposer des modèles qui devront être imprimés puis signés par les personnes concernées.
Au titre de cette finalité de gestion informatisée de la rétention administrative, il est prévu que le traitement LOGICRA remplace divers registres papiers mis en œuvre, dans les CRA, aux fins de gestion opérationnelle du fonctionnement de ces centres et des personnes qui y sont retenues tels que, par exemple, le registre d'accueil, le registre spécial d'inventaire, le registre de mise en chambre d'isolement, à l'exclusion du registre de rétention. Bien qu'ils ne soient pas expressément prévus par des textes, ces registres, qui constituent des traitements de données à caractère personnel, semblent toutefois nécessaires au bon fonctionnement des CRA.
Dans la mesure où le traitement LOGICRA sera déployé au niveau national et permettra une mise à jour des données optimisée, des conditions de conservation sécurisées et une traçabilité effective des accès, la Commission estime que le remplacement desdits registres par un logiciel informatisé contribue à une meilleure protection des données personnelles. Elle rappelle néanmoins que l'ensemble des registres papiers précités devra être détruit après que, si nécessaire, les données et informations contenues dans ces registres et pertinentes au regard des finalités précitées auront été reprises dans le traitement informatisé.
En second lieu, le traitement projeté a pour finalité le « suivi statistique des mesures de rétention ». Le ministère a indiqué que ce suivi doit permettre de procéder à un état précis et exhaustif des mesures de placement en CRA ainsi que d'établir des éléments sur le taux de renouvellement des placements en rétention pour un même individu, aux fins notamment d'évaluation de l'efficacité des dispositifs de lutte contre l'immigration irrégulière.
Au regard de ces éléments, la Commission estime que les finalités assignées au registre de rétention et à LOGICRA sont déterminées, explicites et légitimes, conformément à l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur les personnes concernées et la nature des données traitées :
L'article 2 du projet d'arrêté prévoit que les données collectées sont relatives au ressortissant étranger placé en rétention administrative et, le cas échéant, aux enfants mineurs l'accompagnant, à la procédure administrative de placement en rétention, aux procédures juridictionnelles mises en œuvre au cours de la rétention et à la fin de celle­ ci ainsi qu'à l'éloignement des personnes concernées. Il renvoie à une annexe fixant la liste détaillée des données enregistrées dans le registre de rétention et le LOGICRA.
S'agissant des mineurs, la Commission relève que l'éloignement forcé d'un étranger majeur peut entraîner celui du ou des enfants mineurs l'accompagnant, ce qui justifie la collecte de données d'identité les concernant, alors même qu'aucune mesure d'éloignement ne peut être prononcée à l'encontre des étrangers mineurs de moins de dix-huit ans.
Concernant les données relatives aux ressortissants étrangers faisant l'objet d'une mesure de placement en rétention administrative, la Commission relève qu'aucun dispositif de reconnaissance faciale ne sera mis en œuvre à partir de la photographie. Elle estime que le projet d'arrêté devrait être complété en ce sens afin de faire apparaître expressément cette garantie, qui semble d'autant plus nécessaire que certains centres de rétention mettent en œuvre des dispositifs de vidéosurveillance.
Le numéro AGDREF 2 des mêmes personnes sera enregistré dans le traitement. Le ministère a précisé que le traitement de ce numéro national d'identification unique assigné à chaque ressortissant étranger figurant dans le traitement éponyme est indispensable pour permettre de lutter contre les homonymies et les alias et améliorer ainsi l'identification de l'étranger en situation irrégulière en vue de 1'exécution d'une mesure d'éloignement. Compte tenu des finalités du traitement, la Commission considère que l'identification fiable des personnes concernées par un placement en rétention administrative est nécessaire, de sorte que l'enregistrement de cette donnée est justifié.
Il est également prévu l'enregistrement de la qualité de « sortant de prison ». Le ministère a précisé que, si les ressortissants étrangers incarcérés faisant l'objet d'une mesure d'éloignement doivent, en principe, être, dès leur sortie, directement éloignés sans placement dans un CRA, ilest possible que, pour des raisons liées principalement à des difficultés pratiques ou logistiques, une personne sortant de prison et faisant l'objet d'une mesure d'éloignement soit placée en rétention administrative le temps d'organiser matériellement l'éloignement. Dès lors, la mention de cette situation dans LOGICRA doit permettre aux personnels du CRA concerné de porter une attention particulière à cette personne dont la prise en charge peut nécessiter des aménagements. Par exemple, le dispositif d'éloignement peut devoir être adapté en fonction du profil de l'ancien détenu (mise en place d'une escorte). Au regard de ces éléments, la Commission considère que l'enregistrement de cette donnée est justifié.
En outre, la Commission relève qu'aucune donnée relevant de l'article 8 de la loi du 6 janvier 1978 modifiée ne sera enregistrée dans le traitement projeté. Si des données relatives à une éventuelle hospitalisation (moment d'admission et de sortie, lieu) ou à l'existence d'une procédure « étranger malade » pourront être enregistrées, aucune donnée relative à un constat ou un diagnostic médical ne sera enregistrée.
La Commission prend également acte qu'aucune donnée relative aux éventuels visiteurs des personnes placées dans un CRA (représentants des associations humanitaires habilitées, personne du choix de la personne placée en rétention, autorités consulaires, avocat, personnel de la permanence du barreau du tribunal de grande instance dans le ressort duquel se trouve le lieu de rétention, etc.) ne sera enregistrée dans le LOGICRA.
Enfin, elle relève que les données inscrites dans le registre de rétention sont conformes aux dispositions précitées du CESEDA.
Les autres données enregistrées dans les traitements concernent les agents des CRA et les interprètes. Elles n'appellent pas d'observations particulières de la Commission.
Au regard de l'ensemble de ces éléments, la Commission estime que ces données sont adéquates, pertinentes et non excessives au regard des finalités assignées aux traitements visés par le projet d'arrêté, conformément à l'article 6-3 de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données traitées :
L'article 4 du projet d'arrêté prévoit que les données enregistrées dans LOGICRA sont conservées trois ans à compter de la sortie définitive du lieu de rétention de la personne. A l'issue de cette durée de conservation de trois ans, il est prévu que les données directement identifiantes (nom, prénom, alias, photographie et numéro AGDREF 2) soient effacées automatiquement et que les autres données soient alors conservées deux ans. Le projet d'arrêté précise en outre qu'en cas d'annulation, d'abrogation ou de retrait de la décision d'éloignement, les données directement identifiantes sont effacées, de manière manuelle, dès réception de la décision, les autres données étant alors conservées cinq ans.
Interrogé sur les justifications de ces durées de conservation, le ministère a précisé qu'elles doivent permettre d'élaborer des statistiques, notamment sur le taux de renouvellement des placements en rétention pour un même individu, des études chiffrées ainsi que des analyses diverses et des comparaisons sur l'évolution de la réalité de la rétention administrative en France.
Si la Commission ne remet pas en cause l'utilité d'établir des statistiques fiables, elle relève néanmoins que la durée maximale de placement en centre de rétention administrative est de quarante-cinq jours et estime dès lors que la conservation de l'ensemble des données, en base active, pendant trois ans à compter de la sortie définitive du lieu de rétention de la personne, n'est pas proportionnée au regard de la finalité principale du traitement. Elle considère en outre que l'établissement de statistiques précises et fiables, en particulier sur le taux de réitération en matière de séjour irrégulier des étrangers en France, nécessite uniquement la conservation de données pseudonymisées, et non de l'ensemble des données relatives à une personne placée en CRA.
Au regard de ces éléments, elle considère que la durée de conservation des données enregistrées dans LOGICRA est excessive au regard des finalités poursuivies par le traitement.
Pour se conformer aux dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée, le ministère devrait mettre en œuvre des mesures techniques et organisationnelles de nature à assurer un équilibre entre la protection de la vie privée des personnes concernées et son besoin de disposer de statistiques fiables. La Commission estime ainsi qu'il devrait être procédé, d'une part, à un tri des données au regard de la finalité statistique poursuivie pour ne conserver que celles nécessaires à l'analyse du taux de réitération et, d'autre part, à leur pseudonymisation, grâce, par exemple, à un système de hachage à clef secrète du numéro AGDREF. En outre, à l'expiration de la durée de conservation qui aura été identifiée comme nécessaire à la finalité de gestion des CRA, un mécanisme de purge automatique devrait être mis en place afin que ne soient conservées, dans une base distincte uniquement accessible aux personnes spécifiquement habilitées à procéder à l'analyse statistique, que les seules données nécessaires à cette finalité statistique.
Concernant le registre de rétention, l'article 4 du projet d'arrêté prévoit que les données sont conservées pendant une durée qui ne peut excéder trois ans à compter de leur inscription. Si cette durée ne répond pas strictement à une nécessité au regard des finalités poursuivies par le registre, la Commission relève que le format papier de ce traitement induit des difficultés pratiques de conservation et de suppression des données qui y sont inscrites. Elle rappelle néanmoins que cette durée maximale ne saurait constituer une norme et que le système de registre mis en place dans chaque CRA doit permettre la suppression des données dans un délai raisonnable et proportionné au besoin de s'assurer que la personne retenue s'est vu notifier ses droits et a été en mesure de les exercer.
Sur les accédants et les destinataires :
L'article 3 du projet prévoit qu'accèdent directement à l'application LOGICRA les agents de la police nationale, les agents des préfectures et de la préfecture de police de Paris, les agents du bureau chargé de la rétention et de l'éloignement (BRE) à la direction générale des étrangers en France (DGEF), individuellement désignés et habilités par l'autorité hiérarchique dont ils relèvent.
Les agents des services de la PAF, qui relèvent de la police nationale, ceux des préfectures et de la préfecture de police de Paris sont les personnels en charge de la gestion des CRA. Le ministère a en outre précisé que le traitement LOGICRA doit permettre à la DCPAF d'avoir une visibilité sur l'ensemble des CRA et assurer une meilleure coordination entre les CRA au niveau national. Il doit également permettre aux agents habilités des préfectures de connaître directement et en temps réel la disponibilité des places vacantes dans l'ensemble des CRA au niveau national et ainsi constituer une aide efficace à l'affectation des personnes placées en rétention. Au regard de ces éléments, la Commission estime que l'accès direct au traitement LOGICRA de ces personnels et de leurs supérieurs hiérarchiques est justifié. Elle rappelle néanmoins que l'accès doit être restreint à ces seuls personnels et que l'arrêté serait dès lors utilement précisé sur ce point.
Dans la mesure où les missions de lutte contre l'immigration irrégulière des agents du BRE impliquent de mettre en œuvre des procédures d'éloignement tout en portant une attention particulière aux personnes présentant une menace grave pour l'ordre et la sécurité publics, il est nécessaire que ces agents disposent d'informations fiables sur les personnes accueillies en CRA et présentant une telle menace.
Le ministère a indiqué que les échanges d'information entre les différents services chargés de l'éloignement manquaient d'efficacité, ce qui a été source de plusieurs dysfonctionnements graves. L'accès direct au traitement LOGICRA des agents de la DGEF doit dès lors leur permettre de connaître en temps réelles informations à jour relatives à une personne nécessitant un suivi particulier et ainsi pallier les actuelles carences dans la transmission desdites informations, en la rendant plus efficace et plus fiable. Il est prévu que les agents de la DGEF, restreints à quelques agents du BRE, ne disposent que d'un accès en consultation des données.
Au regard de ces éléments, la Commission considère que les accès de ces personnes au traitement LOGICRA sont justifiés au regard des finalités de celui-ci.
Enfin, elle relève que des agents de la DGPN, de la préfecture de police et de la DGEF pourront être rendus destinataires de données statistiques, ne comportant pas de données à caractère personnel.
Concernant le registre de rétention, le projet d'arrêté ne mentionne pas de destinataires. La Commission rappelle néanmoins que le JLD et le procureur de la République sont habilités, en application notamment des articles L. 553-3 et L. 552-2 du CESEDA, à prendre connaissance des éléments portés au registre et que l'article L. 553-1 du CESEDA prévoit en outre que « l'autorité administrative tient à la disposition des personnes qui en font la demande les éléments d'information concernant les date et heure du début du placement de chaque étranger en rétention, le lieu exact de celle-ci ainsi que les date et heure des décisions de prolongation ».
Sur les droits des personnes :
Le ministère a initialement indiqué souhaiter faire application des dispositions de l'article 32-V de la loi du 6 janvier 1978 modifiée, qui permettent d'écarter le droit d'information des personnes concernées. Toutefois, à la demande la Commission, le ministère s'est engagé à procéder à une information des personnes retenues dans les CRA, par voie d'affichage et en différentes langues, ce dont la Commission prend acte. Elle rappelle en outre la nécessité de les informer de manière compréhensible, en des termes clairs et simples, et aisément accessible de tous les éléments prévus à l'article 32 de la loi du 6 janvier 1978 modifiée.
En application des articles 39,40 et du dernier alinéa de l'article 41 de la loi di 6 janvier 1978 modifiée, il est prévu que les droits d'accès et de rectification s'exercent de manière directe. Il est également prévu que le droit d'opposition ne s'applique pas au traitement projeté, ce qui n'appelle pas d'observation particulière de la part de la Commission.
Sur l'architecture, les mesures de sécurité et de traçabilité :
Le traitement LOGICRA est une application accessible, à travers un navigateur, uniquement sur l'Intranet du ministère de l'intérieur, dans un réseau isolé et compartimenté. Il est hébergé par le ministère dans des locaux sécurisés de la PAF sous contrôle d'accès restreint par le poste de police. La Commission relève que les sauvegardes, quotidiennes, sont conservées dans ces locaux sécurisés et réparties sur trois sites ; elle recommande néanmoins de les chiffrer.
Des profils d'habilitation définissent les fonctions ou les types d'informations accessibles à un utilisateur. Les agents sont spécialement habilités à accéder au traitement et leurs droits d'accès sont attribués après validation hiérarchique. Les droits sont gérés par l'administrateur local du CRA et supprimés manuellement, en cas de départ de l'utilisateur ou automatiquement après quatre-vingt-dix jours d'inactivité d'un compte utilisateur. La Commission rappelle que les droits d'accès doivent néanmoins être paramétrés avec une durée déterminée et qu'une revue globale des habilitations doit être opérée régulièrement.
Le contrôle d'accès à l'application se fait par un couple identifiant et mot de passe de huit caractères, défini par l'utilisateur lors de la première connexion et stocké sous forme chiffrée. La Commission relève que ceux-ci ne sont donc pas conformes à l'état de l'art, tel que précisé dans ses recommandations en la matière. Elle demande dès lors à ce que les mots de passe fassent une longueur minimale de douze caractères et soient composés de lettres majuscules, minuscules, chiffres et symboles ou qu'ils fassent entre huit et onze caractères, soient composés de trois des quatre possibilités précitées et associés à une restriction d'accès en cas d'erreurs successives (blocage temporaire de compte, possibilité de nouvelles tentatives après une durée d'attente incrémentielle, etc.). Elle recommande en outre qu'ils soient stockés sous forme hachée avec un algorithme irréversible réputé fort intégrant l'utilisation d'un sel ou d'une clé secrète.
Les accès à l'application et toutes les opérations effectuées sont journalisés avec le détail des enregistrements concernés. Ces données sont conservées trois ans à compter de leur enregistrement. La Commission recommande de réaliser un contrôle régulier, voire automatique, des traces afin de détecter les comportements anormaux et lever des alertes.
La Commission relève qu'un logiciel d'analyse de données permet d'effectuer des statistiques à partir des données pseudonymisées. A cet égard, elle rappelle que l'outil de requête doit réduire le risque de ré-identification des personnes en limitant les interrogations ciblées et le niveau de détail des rapports.
Concernant les photographies, la Commission rappelle que des mesures de sécurité renforcées, telles que, par exemple, la limitation de la qualité de l'image numérisée, l'intégration d'un filigrane comportant la date de collecte et l'identité du responsable de traitement ou le recours à des mécanismes de chiffrement conformes au référentiel général de sécurité (RGS), doivent être mises en œuvre afin de se prémunir contre les risques de mésusage de ces données et, notamment, d'utilisation des photographies à des fins de reconnaissance faciale.
Concernant le registre de rétention, qui constitue un document papier contenant des données à caractère personnel, la Commission rappelle qu'il convient de le stocker dans un meuble sécurisé, de le détruire à l'aide d'un broyeur approprié tel que par exemple un broyeur certifié au minimum de classe 3 de la norme DIN 32757105.
Sous réserve des précédentes observations, la Commission estime que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle néanmoins que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


La présidente,

I. Falque-Pierrotin