Après avoir entendu Mme Sophie LAMBREMON, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :

1. Le projet de décret en Conseil d'Etat soumis pour avis à la Commission vise à autoriser la consultation de certaines données du traitement relatif aux étrangers sollicitant la délivrance d'un visa (VISABIO) par les organismes de sécurité sociale. Cette consultation doit ainsi permettre la vérification du respect des conditions de prise en charge au titre de l'aide médicale de l'Etat (AME) prévue à l'article L. 251-1 du code de l'action sociale et des familles (CASF) et des soins urgents prévus à l'article L. 254-1 du même code, et plus spécifiquement de l'irrégularité du séjour.
2. La Commission prend acte que cette vérification s'inscrit dans un contexte global de lutte contre le phénomène de fraude à ces dispositifs du fait de ressortissants étrangers qui, étant en situation régulière, ne sont pas en droit d'en bénéficier.
3. Conformément à l'article L. 611-7 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) qui prévoit qu'« un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les modalités d'application de l'article L. 611-6. », et aux dispositions du II de l'article 33 de la loi du 6 janvier 1978 modifiée, la modification de ce traitement est soumise pour avis à la Commission.
4. Dans ce contexte, le projet de décret modifie les finalités du traitement VISABIO telles que prévues à l'article R. 611-8 du CESEDA, afin qu'il vise également à faciliter la vérification des conditions d'éligibilité des assurés étrangers aux dispositifs précités. Il modifie également les destinataires de ce traitement tels que prévus à l'article R. 611-12 du CESEDA afin de prévoir à titre d'accédants les agents des organismes de sécurité sociale, qui interrogeront le traitement VISABIO, par l'intermédiaire d'un service web, aux fins de vérification de l'existence ou non d'un visa en cours dans le cadre de l'instruction d'une demande d'AME.

Sur les finalités du traitement et l'ajout de nouveaux destinataires

5. La Commission rappelle que, conformément aux termes de l'article L. 611-6 du CESEDA, les empreintes digitales et une photographie des ressortissants étrangers peuvent, et dans le cadre d'une délivrance de visa doivent, faire l'objet d'un traitement automatisé.
6. A cet égard, elle rappelle que les dispositions de l'article R. 611-8 du CESEDA prévoient expressément que le traitement VISABIO a pour finalités :

- de mieux garantir le droit au séjour des personnes en situation régulière et de lutter contre l'entrée et le séjour irréguliers des étrangers en France, en prévenant les fraudes documentaires et les usurpations d'identité ;
- de permettre l'instruction des demandes de visas en procédant notamment à l'échange d'informations, d'une part, avec des autorités nationales et, d'autre part, avec les autorités des Etats Schengen au travers du système d'information sur les visas (VIS) pour les données biométriques se rapportant aux visas pour un séjour d'une durée inférieure à trois mois délivrés par les autorités françaises.

7. Dans ce contexte, l'article 1er du projet de décret prévoit d'ajouter une disposition à l'article précité afin de « permettre aux organismes de sécurité sociale de vérifier le respect des conditions de prise en charge au titre de l'aide médicale de l'Etat prévue aux trois premiers alinéas de l'article L. 251-1 du code de l'action sociale et des familles et des soins urgents mentionnés à l'article L. 254-1 du même code ».
8. La Commission relève tout d'abord que cette modification vise à ajouter une nouvelle finalité au traitement VISABIO. A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles cette consultation, effectuée par les organismes de sécurité sociale sur le fondement de la mission d'intérêt public (article 6.1-e du RGPD), vise uniquement à permettre de vérifier l'absence de régularité du séjour, sans avoir pour finalité de vérifier le respect des conditions de présence sur le territoire ni de ressources. La Commission prend à ce titre acte de l'engagement du ministère de modifier, à sa demande, le projet de décret en ce sens.
9. Elle observe par ailleurs que le législateur, à l'article L. 611-6 du CESEDA, a défini les finalités générales - garantir le droit au séjour des personnes en situation régulière et lutter contre l'entrée et le séjour irréguliers des étrangers en France - fondant la collecte et le traitement des empreintes digitales et d'une photographie des personnes concernées, sans définir pour autant de manière exhaustive les caractéristiques essentielles du traitement VISABIO, dont la création est prévue par décret. L'article L. 611-6 ne fait dès lors pas obstacle à ce que le pouvoir réglementaire précise les finalités et autres caractéristiques de ce traitement dans le respect des objectifs assignés par la loi. A ce titre, la modification dont elle est saisie, qui a également pour conséquence de créer une nouvelle catégorie de destinataires au traitement VISABIO, pour la finalité indiquée au point précédent, n'apparaît pas incompatible avec les dispositions de l'article L. 611-6 précité.
10. L'article 2 du projet de décret prévoit quant à lui que peuvent consulter les données précitées « à la seule fin d'effectuer les vérifications mentionnées au 7° de l'article R. 611-8 », « les agents des organismes de sécurité sociale individuellement désignés et spécialement habilités par les directeurs de ces organismes ».
11. La Commission prend acte des précisions apportées par le ministère selon lesquelles « les organismes de sécurité sociale » ainsi visés sont les caisses primaires d'assurance maladie (CPAM) et les caisses générales de sécurité sociale (CGSS) qui instruisent ces demandes pour le compte de l'Etat dans les collectivités d'outre-mer.
12. Compte tenu de ce qui précède, la Commission estime que l'accès aux données du traitement des personnes visées par le projet de décret est légitime.

Sur la procédure de vérification des conditions de prise en charge au titre de l'aide médicale d'Etat

13. Sans se prononcer sur les autres éléments de la vérification d'irrégularité du séjour par les organismes de sécurité sociale pour instruire une demande d'AME, et notamment la consultation du traitement AGDREF 2, dont elle n'est pas saisie, la Commission prend acte que la consultation de VISABIO par l'intermédiaire du service web sera systématique pour toute demande de prise en charge au titre de l'AME en cas d'absence de passeport, de passeport périmé ou de passeport incomplet.
14. Elle prend également acte que les agents des organismes de sécurité sociale, après avoir corrélé les informations présentes sur le formulaire CERFA de demande d'AME avec celles figurant sur le document d'identité présenté, interrogeront le service web permettant la consultation de VISABIO à partir du nom, du prénom et de la date de naissance du demandeur, en renseignant ces informations grâce aux indications figurant dans le formulaire CERFA S3720.
15. La Commission rappelle qu'une attention particulière devra être portée aux conséquences d'une concordance avec le traitement VISABIO, compte tenu des enjeux spécifiques de fiabilité de certaines des données qui y sont enregistrées et notamment celles des documents d'état civil.
16. Elle prend acte des précisions apportées par le ministère selon lesquelles la consultation de VISABIO ne s'inscrit pas dans le cadre de l'article 47 de la loi du 6 janvier 1978 relatif notamment aux décisions produisant des effets juridiques ou affectant de manière significative la personne concernée, prises sur le seul fondement d'un traitement automatisé de données à caractère personnel.
17. La Commission prend également acte des précisions apportées par le ministère selon lesquelles le système d'interrogation ne permet que la seule consultation des données de VISABIO, sans qu'aucune donnée ne soit enregistrée dans ce traitement.

Sur les autres modifications envisagées (nature et durée de conservation des données collectées, droits des personnes et mesures de sécurité)
Sur les données collectées et leur durée de conservation

18. L'article 2 du projet de décret prévoit tout d'abord que la consultation de VISABIO portera sur « les données relatives au nom, au prénom, à la date et au lieu de naissance, à la photographie de l'étranger ainsi qu'à la délivrance d'un visa, à sa date, à sa durée de validité et aux documents de voyage ». La Commission observe que ces informations font partie de la liste des données à caractère personnel enregistrées dans VISABIO et énumérées à l'annexe 6.3 du CESEDA.
19. La Commission prend acte des engagements du ministère selon lesquels aucune donnée sensible issue de VISABIO ne sera traitée dans le cadre de cette consultation, les images numérisées des visages n'étant pas utilisées pour des comparaisons biométriques mais pour des vérifications visuelles réalisées par les agents des organismes de sécurité sociale.
20. Elle prend également acte des précisions apportées par le ministère selon lesquelles les données relatives aux documents de voyage sont constituées du « type de document de voyage » et du « numéro du document de voyage » et que cet accès permettra aux organismes de sécurité sociale de vérifier que la personne qui sollicite le bénéfice de l'AME est bien celle qui détient le visa identifié lors de la consultation de VISABIO.
21. En ce qui concerne l'enregistrement d'informations de VISABIO dans l'outil d'instruction de l'AME, la Commission relève que le ministère a indiqué qu'aucune information de VISABIO ne sera enregistrée dans l'outil d'instruction de l'AME, seule la trace de la consultation étant conservée et que, dans les cas où la consultation de VISABIO conduit au refus du bénéfice de l'AME ou des soins urgents, une copie d'écran sera réalisée dans le but de conserver une trace de l'interrogation effectuée par l'organisme de sécurité sociale en cas de recours administratif. Il est également précisé qu'« en cas de refus du dossier, celui-ci est conservé en base vivante ».
22. Si la Commission prend acte de la précision apportée par le ministère relative à l'intégration d'une copie écran de l'interrogation VISABIO au dossier papier et/ou dans le système d'archivage des documents, elle s'interroge toutefois sur la possibilité de procéder ainsi sans qu'aucune donnée issue de VISABIO ne soit enregistrée dans l'outil d'instruction de l'AME. Dans ces conditions, elle rappelle que si des données issues de VISABIO devaient être enregistrées dans un autre traitement, il conviendrait le cas échéant de modifier l'acte encadrant ce traitement.
23. Sous ces réserves, la Commission considère que les catégories de données ainsi traitées et collectées dans le cadre de la consultation de VISABIO par les organismes de sécurité sociale sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l'article 5-1-c) du RGPD.
24. S'agissant de la durée de conservation des données, la Commission prend acte des précisions apportées par le ministère selon lesquelles en cas de refus de l'octroi de l'AME, le dossier est conservé en base active pendant la durée légale du délai de recours allongée d'un mois, puis archivé pour une durée maximale de cinq années.
25. Elle relève néanmoins que l'article R. 611-11 du CESEDA prévoit que « La durée de conservation des données à caractère personnel mentionnées à l'article R. 611-9 est de cinq ans à compter de leur inscription ». En l'absence de justification de nature à permettre l'allongement de cette durée de conservation et de modification de l'article R. 611-11, la Commission estime que les données ne sauraient être conservées plus de cinq années.
26. Elle demande par conséquent que l'acte encadrant le traitement AME prévoie le cas échéant une durée de conservation compatible avec celle prévue par l'article R. 611-11 du CESEDA.

Sur les droits des personnes concernées

27. L'article 3 du projet de décret prévoit les conditions dans lesquelles s'exercent les droits d'information, d'accès, de rectification et à la limitation des personnes concernées.
28. Si les modalités d'exercice des droits n'appellent pas, de manière générale, d'observations de la Commission, elle prend acte de plusieurs engagements du ministère à savoir :

- la modification des mentions d'information du formulaire CERFA S3720 afin d'y ajouter l'information relative à la consultation du traitement VISABIO aux fins de vérifier l'existence ou non d'un visa en cours de validité et des conséquences que la constatation de la détention d'un visa en cours de validité a sur l'éligibilité à l'AME ou aux soins urgents ;
- la modification du projet de décret afin de mentionner, ainsi que le prévoit l'article 23 du RGPD, les motifs (« lutte contre la fraude documentaire et la fraude aux prestations servies par les organismes de sécurité sociale ») justifiant l'exclusion du droit d'opposition.

29. La Commission relève par ailleurs que si l'article 3 du projet de décret transmis prévoit que les droits s'exercent « auprès du ministère des affaires étrangères (direction des Français à l'étranger et de l'administration consulaire), du ministère chargé de l'immigration (direction de l'immigration) ou du service où la demande de visa a été déposée », les personnes concernées seront, selon les précisions apportées par le ministère, « invitées à prendre contact avec l'autorité ayant délivré le visa objet de la contestation ».
30. Compte tenu de cette précision, la Commission considère que la notice d'information liée au formulaire CERFA S3720 devrait expliciter les conditions pratiques d'exercice de leurs droits par les personnes concernées.
31. Sous cette réserve, la Commission considère que les droits d'information, d'accès, de rectification et à la limitation des personnes concernées sont effectifs, conformément aux dispositions des articles 13, 15, 16 et 18 du RGPD.

Sur les mesures de sécurité

32. S'agissant des mesures correctrices des droits des personnes, et notamment de la sensibilisation des agents concernés des organismes de sécurité sociale aux risques sur la vie privée encourus par les personnes, la Commission estime que celles-ci devraient intervenir en tout état de cause avant la mise en œuvre du traitement.
33. L'accès au traitement VISABIO s'effectue, pour les utilisateurs du ministère de l'intérieur, à l'aide d'une application en « client lourd », c'est-à-dire à l'aide d'une application devant être installée sur le poste de l'utilisateur souhaitant accéder au traitement. Afin de pouvoir consulter le traitement, il est nécessaire que les utilisateurs du ministère s'authentifient. Cette authentification peut se faire par le biais des différents portails d'authentification unique (dits SSO) du ministère : Cheops-NG, Proxyma, Passage2.
34. S'agissant des agents des organismes de sécurité sociale souhaitant accéder au traitement, ces derniers y accèdent par le biais d'un service web après avoir obtenu une habilitation de la part de l'organisme d'assurance maladie dont ils dépendent.

Pour les cas où les agents ont à s'authentifier à l'aide d'un couple identifiant et mot de passe, la Commission invite le ministère à procéder aux éventuelles modifications nécessaires afin de mettre sa politique de mot de passe en conformité avec les recommandations de la Commission relatives aux mots de passe. Elle préconise, dans le cas d'espèce, l'utilisation d'une authentification forte, dès lors que cette dernière est réalisable.

35. La Commission relève que des comptes à privilège, génériques, permettant l'administration des socles serveurs existent. Ces comptes sont partagés entre six super-utilisateurs qui peuvent les utiliser depuis leur poste d'administration dédié. Elle invite le ministère à, autant qu'il est techniquement possible, limiter l'utilisation de comptes génériques partagés et à mettre à disposition des administrateurs des comptes nominatifs d'administration.
36. La Commission note par ailleurs que les différentes traces et journaux techniques (dits « logs ») ont des durées de conservation hétérogènes allant de un mois à un an, sans centralisation.
37. Elle recommande, sur la gestion des traces et journaux, de mettre en œuvre une durée de conservation ne dépassant pas six mois et de réaliser, en vue d'être en mesure d'assurer l'intégrité et la disponibilité de ces derniers, un système de centralisation des traces.
38. A titre subsidiaire, la Commission relève tout d'abord que différents profils existent dans le traitement, notamment un profil utilisateur, permettant la lecture en consultation des données alphanumériques inscrites dans le traitement et un profil dit avancé permettant notamment l'extraction des données biométriques. Elle prend acte que, s'agissant de ce dernier profil, l'obligation de passer par une authentification forte par carte à puce est en cours de mise en œuvre et invite le ministère à faire aboutir cette solution technique dans les plus brefs délais.
39. La Commission prend par ailleurs acte du chiffrement mis en œuvre par le ministère s'agissant de la base de correspondance entre les données alphanumériques et les données biométriques ainsi que du chiffrement des flux.
40. Sur ce dernier point, elle rappelle que ce chiffrement doit s'appliquer également sur les flux du service web permettant la consultation du traitement par les agents CPAM / CNAM dans les conditions prévues notamment par l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et par le décret du 2 février 2010 susvisé.