Délibération n° 2016-393 du 15 décembre 2016 portant avis sur un projet de décret en Conseil d'Etat pris pour application des articles L. 774-6 et L. 744-7 du code de l'entrée et du séjour des étrangers et du droit d'asile et portant création du traitement automatisé de données à caractère personnel DN@ (saisine n° AV 16024199)

Chemin :




Article
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret en Conseil d'Etat pris pour application des articles L. 744-6 et L. 744-7 du code de l'entrée et du séjour des étrangers et du droit d'asile et portant création du traitement automatisé de données à caractère personnel DN@ ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2013/33/UE du Parlement européen et du Conseil, du 26 juin 2013 établissant des normes pour l'accueil des personnes demandant la protection internationale ;
Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment ses articles L. 723-3, L. 744-6, L. 744-7 et R. 744-14 ;
Vu le code de l'action sociale et des familles, notamment ses articles L. 348-1 et L. 349-3 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11 (4°, a) ;
Vu la loi n° 2015-925 du 29 juillet 2015 relative à la réforme du droit d'asile, notamment son article 23 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2015-1166 du 21 septembre 2015 pris pour l'application de la loi n° 2015-925 du 29 juillet 2015 relative à la réforme du droit d'asile ;
Vu l'arrêté du 23 octobre 2015 relatif au questionnaire de détection des vulnérabilités des demandeurs d'asile prévu à l'article L. 744-6 du code de l'entrée et du séjour des étrangers et du droit d'asile ;
Vu la décision n° 2009-202 du 29 mai 2009 relative au traitement automatisé de données relatives aux capacités d'hébergement des centres d'accueil pour demandeurs d'asile, à l'utilisation de ses capacités et aux demandeurs d'asile qui y sont accueillis ;
Vu la délibération n° 2009-212 du 30 avril 2009 portant avis sur le projet de décision présentée par l'Office français de l'immigration et de l'intégration relative au traitement automatisé de données à caractère personnel relatives aux capacités d'hébergement des centres d'accueil des demandeurs d'asile, à l'utilisation de ces capacités et aux demandeurs d'asile qui y sont accueillis ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, par le ministère de l'intérieur, d'un projet de décret en Conseil d'Etat pris pour l'application des articles L. 744-6 et L. 744-7 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) et portant création du traitement automatisé de données à caractère personnel DN@.
L'article L. 744-6 du CESEDA, créé par la loi susvisée du 29 juillet 2015, prévoit que l'Office français de l'immigration et de l'intégration (OFII) doit procéder, après un entretien personnel avec le demandeur d'asile, à une évaluation de la vulnérabilité de ce dernier et que les informations attestant d'une situation particulière de vulnérabilité peuvent faire l'objet d'un traitement. Les modalités d'application de ces dispositions doivent être précisées par un décret en Conseil d'Etat, pris après avis de la commission, qui doit fixer les modalités de transmission des données relatives à la vulnérabilité du demandeur d'asile de l'OFII à l'Office français de protection des réfugiés et apatrides (OFPRA), la durée de conservation et les conditions de mise à jour des informations enregistrées, les catégories de personnes pouvant y accéder et les modalités d'habilitation de celles-ci, ainsi que, le cas échéant, les conditions dans lesquelles les personnes intéressées peuvent exercer leur droit d'accès.
L'article L. 744-7 du CESEDA, relatif aux conditions matérielles d'accueil des demandeurs d'asile, et en particulier à leur hébergement, prévoit qu'un décret en Conseil d'Etat, pris après avis de la commission, détermine les informations qui doivent être fournies par l'OFII aux services intégrés d'accueil et d'orientation (SIAO) pour la mise en œuvre des dispositions relatives à la situation du demandeur d'asile qui a refusé ou abandonné l'hébergement en centre d'accueil.
Le ministère a indiqué qu'il ne serait pas mis en œuvre de nouveau traitement de données à caractère personnel relatives à l'évaluation, par l'OFII, de la vulnérabilité des demandeurs d'asile.Il est en effet prévu que ces informations soient intégrées dans le traitement actuellement mis en œuvre par l'OFII aux fins de gestion du dispositif national d'accueil des demandeurs d'asile, dénommé DN@ et créé par la décision n° 2009-202 du 29 mai 2009 susvisée, pris après l'avis de la commission en date du 30 avril 2009.
Dans ce contexte, le présent projet de décret a pour objet, d'une part, de fixer les modalités d'application des articles L. 744-6 et L. 744-7 du CESEDA et, d'autre part, de modifier et de codifier, aux articles R. 611-17 à R. 611-24 du même code, les dispositions relatives au traitement DN@. En application des dispositions précitéesdu CESEDA et de l'article 11-(4°-a) de la loi du 6 janvier 1978 modifiée, ce projet de décret en Conseil d'Etat doit être pris après avis motivé et publié de la commission.
A titre liminaire, la commission relève que le projet de décret permet l'enregistrement, dans DN@, de données sensibles, eu égard à leur nature et à la finalité pour lesquelles celles-ci sont collectées, portant sur une catégorie de personnes concernées bénéficiant d'une protection particulière, garantie par le Préambule de la Constitution de 1946, à savoir les demandeurs d'asile. En outre, il procède à une refonte substantielle du traitement DN@ qui concerne les mêmes catégories de personnes et dont les conditions de mise en œuvre ont été initialement fixées en 2009.
Dans ces conditions, la commission regrette que le ministère n'ait pas porté à sa connaissance suffisamment d'informations sur les conditions concrètes de mise en œuvre du traitement DN@, et notamment sur les mesures de sécurité l'encadrant et qui ont nécessairement dû être mises à jour depuis 2009, ainsi que sur les justifications présidant aux modifications apportées audit traitement pour lui permettre d'apprécier pleinement la conformité du traitement projeté au regard de la loi du 6 janvier 1978 modifiée. En outre, elle souligne qu'elle n'a pas reçu d'éléments précis sur la façon dont les données relatives à la vulnérabilité des demandeurs d'asile, dont la liste a été préalablement fixée par l'arrêté ministériel du 23 octobre 2015 susvisé, sur lequel la commission n'a pas été consultée, seront traitées et protégées, la privant ainsi du contrôle expressément prévu par le législateur sur ce point.
Sur les finalités du traitement :
Le traitement DN@ actuellement mis en œuvre par l'OFII a pour finalité la gestion du dispositif national d'accueil des demandeurs d'asile. Conformément à la décision précitée du 29 mai 2009, il doit ainsi permettre d'assurer la gestion et le pilotage du dispositif des centres d'accueil pour demandeurs d'asile (CADA) ainsi que le suivi des personnes accueillies.
Refondant les dispositions applicables à ce traitement afin de tenir compte des nouvelles attributions confiées à l'OFII par la loi précitée du 29 juillet 2015, le projet d'article R. 611-17 du CESEDA étend substantiellement les finalités du traitement DN@.
L'article L. 744-4 du CESEDA prévoit qu'afin de coordonner la gestion de l'hébergement dans les lieux d'hébergement dédiés aux demandeurs d'asile, l'OFII « conçoit, met en œuvre et gère », dans les conditions prévues par la loi du 6 janvier 1978 modifiée, « un traitement automatisé de données relatives aux capacités des lieux d'hébergement, à l'utilisation de ces capacités et aux demandeurs d'asile qui y sont accueillis ». Ces finalités sont celles d'ores et déjà poursuivies par le traitement DN@ et n'appellent dès lors pas d'observation particulière de la commission. Les compétences de l'OFII ne se limitent toutefois pas à une telle coordination.
Ainsi, conformément à l'article L. 744-1 du CESEDA, l'OFII est en charge de la mise en œuvre des conditions matérielles d'accueil du demandeur d'asile, au sens de la directive 2013/33/UE susvisée. En particulier, il doit fournir aux demandeurs d'asile un hébergement tenant compte de leurs besoins particuliers.
A cet égard, le projet de décret précise qu'une des finalités du traitement est de « procurer les conditions matérielles d 'accueil réservées aux demandeurs d'asile, en évaluant leurs besoins ». La commission estime que cette formulation n'est pas suffisamment explicite pour rendre compte de l'une des finalités du traitement DN@, résultant de l'application de l'article L. 744-6 du CESEDA et qui consiste, pour l'OFII, à procéder à une évaluation de la vulnérabilité du demandeur d'asile afin de déterminer, le cas échéant, ses besoins particuliers en matière d'accueil et de tenir compte de sa vulnérabilité dans la mise en œuvre de ses droits et pendant toute la période d'instruction de sa demande.
En effet, alors qu'il doit définir les modalités d'application de cette disposition relative à l'évaluation de la vulnérabilité des demandeurs d'asile, le projet d'article R. 611-17 du CESEDA ne met pas clairement en exergue cette finalité du traitement DN@. Dès lors, la commission demande à ce que le projet de décret soit modifié pour en faire mention et prend acte de l'engagement du ministère de préciser le projet de décret sur ce point.
Aux termes de l'article L. 744-3 du CESEDA, l'OFII assure l'orientation des demandeurs d'asile dans les centres d'hébergement dédiés, conformément aux schémas national et régionaux d'accueil des demandeurs d'asile, prévus à l'article L. 744-2 dudit code et leur suivi administratif et social. A ce titre, les demandeurs d'asile bénéficient d'une aide à la constitution de leur dossier de demande d'asile destiné à l'OFPRA ainsi qu'à l'accès aux droits sociaux dont ils disposent. En outre, conformément à l'article L. 744-9 du CESEDA, l'OFII gère l'attribution de l'allocation pour les demandeurs d'asile (ADA). Le projet de décret prévoit en conséquence que le traitement DN@ poursuit également ces finalités.
Enfin, la commission relève que le traitement poursuit une finalité statistique. Il permet ainsi l'établissement d'une série d'indicateurs statistiques relatifs au fonctionnement de l'accueil des demandeurs d'asile, afin de faciliter le pilotage du dispositif d'accueil géré par l'OFII. Cette finalité n'est pas expressément mentionnée dans le projet de décret, dans la mesure où, selon le ministère, ces statistiques seront anonymisées. La commission rappelle que si la loi « Informatique et Libertés » ne s'applique pas aux données anonymes, seules sont anonymes les données personnelles ayant fait l'objet d'un traitement destiné à empêcher, de façon irréversible, toute identification des personnes concernées. En l'absence de mise en œuvre d'une telle anonymisation, le traitement de données à des fins statistiques, y compris si les éléments les plus directement identifiants ont été retirés, demeure soumis à la loi précitée.
Ainsi, les finalités du traitement DN@, telles que prévues par le projet de décret, visent à permettre la mise en œuvre effective de l'ensemble des missions dévolues à l'OFII en matière d'accueil des demandeurs d'asile. Sous réserve de la modification du projet de décret concernant l'évaluation de la vulnérabilité de ces derniers, la commission considère dès lors que ces finalités sont déterminées, explicites et légitimes, conformément à l'article 6-(2°) de la loi du 6 janvier 1978 modifiée.
Sur les données à caractère personnel traitées :
L'article 2 du projet de décret, qui prévoit l'insertion d'une annexe 7-2 au CESEDA, détaille les données et informations enregistrées dans le traitement DN@.
La première catégorie de données est relative à l'état civil du demandeur d'asile (nom, prénom, date de naissance, sexe, nationalité, situation matrimoniale, lieu de naissance, pays de naissance, date d'entrée en France du demandeur d'asile et de sa famille, langues parlées, coordonnées). Ces données n'appellent pas d'observation particulière de la commission.
En ce qui concerne les conditions de collecte de ces données, l'article R. 741-3 du CESEDA prévoit que le demandeur d'asile qui n'est pas déjà titulaire d'un titre de séjour doit fournir pour l'enregistrement de sa demande des informations relatives « à son état civil et, le cas échéant, à celui de son conjoint, de son partenaire avec lequel il est lié par une union civile ou de son concubin et de ses enfants à charge ». Si la personne est déjà titulaire d'un titre de séjour délivré par les ses données d'identité, elle ne fournit en revanche qu'un justificatif de domicile et des photographies aux fins d'édition de son attestation de demande d'asile. Dans ce cas, les données d'identité seront transmises à l'OFII par le ministère de l'intérieur, par l'intermédiaire de l'application AGDREF 2, dont les conditions de mise en œuvre sont prévues aux articles R. 611-1 à R. 611-7-4 du CESEDA.
A cet égard, la commission relève que le ministère n'a fourni aucun élément technique permettant d'attester de la sécurité de ces transmissions d'information et rappelle que toutes les mesures nécessaires doivent être prises afin de garantir la sécurité de ces échanges. Elle relève toutefois que le ministère s'engage à mettre en œuvre des mesures pour assurer la confidentialité et l'authentification des acteurs concernés.
La deuxième catégorie de données traitées est relative à la situation administrative du demandeur d'asile au regard du séjour et de la procédure d'asile. A cet égard, la commission relève que les modalités d'accueil des demandeurs d'asile varient selon leur situation au regard de la législation en matière d'entrée et de séjour des étrangers et de droit d'asile. A titre d'illustration, l'article R. 744-12 du CESEDA prévoit que dès qu'une décision définitive relative à une demande d'asile est intervenue, l'OFII « en informe sans délai le gestionnaire du lieu qui héberge la personne concernée, en précisant la date à laquelle cette décision a été notifiée au demandeur ».
Il est dès lors justifié que soient enregistrées, dans le traitement DN@, les données relatives à la procédure d'instruction de la demande d'asile, tant devant l'OFPRA que, le cas échéant, devant la Cour nationale du droit d'asile (CNDA), à l'exclusion de toute donnée relative à l'instruction des dossiers par ces deux organismes. La commission rappelle en effet que la confidentialité des éléments d'information détenus par l'OFPRA relatifs aux demandeurs d'asile est une garantie essentielle du droit d'asile, principe de valeur constitutionnelle impliquant notamment que seuls les agents habilités à mettre en œuvre le droit d'asile puissent avoir accès à ces informations.
Au titre des données relatives à la prise en charge du demandeur d'asile sont enregistrées différentes données nécessaires, entre autres, au suivi personnalisé des demandeurs d'asile, à leur accompagnement dans leurs différentes démarches et au versement de l'ADA. C'est également au titre de cette catégorie que sont enregistrées les données relatives à l'évaluation de la vulnérabilité des demandeurs d'asile.
Conformément à l'article L. 744-6 du CESEDA, l'évaluation de la vulnérabilité des demandeurs d'asile, par l'OFII, « vise, en particulier, à identifier les mineurs, les mineurs non accompagnés, les personnes en situation de handicap, les personnes âgées, les femmes enceintes, les parents isolés accompagnés d'enfants mineurs, les victimes de la traite des êtres humains, les personnes atteintes de maladies graves, les personnes souffrant de troubles mentaux et les personnes qui ont subi des tortures, des viols ou d'autres formes graves de violence psychologique, physique ou sexuelle, telles que des mutilations sexuelles féminines ».
L'article R. 744-14 du CESEDA prévoit que l'appréciation de cette vulnérabilité, par l'OFII, s'effectue « à l'aide d'un questionnaire dont le contenu est fixé par arrêté des ministres chargés de l'asile et de la santé ». Il s'agit de l'arrêté du 23 octobre 2015 précité qui fixe une liste de questions pour lesquelles l'agent de l'OFII en charge de l'évaluation de la vulnérabilité doit cocher l'une des cases suivantes : oui/non/non-réponse. Parmi ces questions figurent notamment des demandes sur la présence d'un handicap sensoriel chez le demandeur d'asile (handicap visuel, auditif, difficultés à verbaliser) ou d'un handicap moteur (appareillage, chaise roulante, besoin de l'assistance d'un tiers pour les actes essentiels de la vie quotidienne). L'arrêté du 23 octobre 2015 précité prévoit que les documents à caractère médical qui seraient communiqués par le demandeur d'asile doivent être transmis, sous pli confidentiel, au médecin de l'OFII qui les appréciera afin de formuler un avis sur les spécificités de l'hébergement pouvant s'ensuivre.
Ces dispositions conduisent ainsi à mettre en œuvre un traitement comportant des données sensibles, au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, et relatives aux demandeurs d'asile qui bénéficient d'une protection particulière constitutionnellement garantie.
Dans ces conditions, la commission regrette de n'avoir pas été saisie de cet arrêté. Bien que le législateur n'ait pas expressément prévu que la nature des données relatives à la vulnérabilité des demandeurs d'asile fasse l'objet d'une consultation de la commission, elle aurait pu en être saisie sur le fondement de l'article 11-(2°, d) de la loi « Informatique et Libertés », à l'instar de ce qui avait été fait par le ministère en 2009 lors de la création du traitement DN@. Ces données auraient également pu être fixées dans le cadre du présent décret d'application de l'article L. 744-6 du CESEDA, permettant ainsi à la commission de se prononcer sur ce point.
Néanmoins, elle prend acte que le traitement des données sensibles prévues par l'arrêté du 23 octobre 2015 précité est fondé sur l'article L. 744-6 du CESEDA, qui impose à l'OFII de procéder à un entretien pour évaluer la situation du demandeur d'asile. Elle relève que le demandeur d'asile n'est pas tenu de répondre au questionnaire, que les documents à caractère médical doivent être remis sous pli confidentiel à un médecin et ne sauraient dès lors être enregistrés dans le traitement DN@. Enfin, la commission relève que le questionnaire prévoit une case à cocher par le demandeur d'asile pour matérialiser son consentement exprès à la transmission de ces informations à l'OFPRA, conformément aux dispositions législatives précitées.
Une dernière catégorie de données enregistrées dans le traitement porte sur les lieux d'hébergement et d'accompagnement des demandeurs d'asile visés aux articles L. 744-1 et L. 744-3 du CESEDA et aux centres provisoires d'hébergement, visés à l'article L. 349-2 du code de l'action sociale et des familles. Ces données et informations n'appellent pas d'observation particulière, dès lors qu'elles sont nécessaires aux missions de l'OFII en matière d'hébergement.
Au regard de ces éléments, la commission considère que les données et informations enregistrées dans le traitement DN@ sont adéquates, pertinentes et non excessives, conformément à l'article 6-(3°) de la loi du 6 janvier 1978 modifiée.
Sur les accédants et les destinataires :
Le projet de décret précise que peuvent accéder à tout ou partie des données et informations enregistrées dans le traitement, dans la limite de leurs attributions, les agents de l'OFII, individuellement désignés et spécialement habilités, chargés de la gestion du dispositif national d'accueil, affectés à la direction de l'asile, à l'agence comptable et aux bureaux chargés de l'asile au sein de ses directions territoriales.
La commission considère que ces agents sont légitimes à accéder directement au traitement DN@ dès lors que, conformément aux dispositions précitées du CESEDA, l'OFII est chargé de gérer l'ensemble du dispositif d'accueil des demandeurs d'asile ainsi que l'attribution à ceux-ci des conditions matérielles d'accueil.
Elle rappelle toutefois que les documents à caractère médical doivent être portés à la connaissance du seul médecin de l'OFII. A cet égard, la commission relève que le projet d'article R. 611-22 du CESEDA prévoit que les médecins de l'OFII reçoivent communication des données relatives à l'identité et à la situation administrative du demandeur d'asile « par l'intermédiaire du traitement DN@ », quand ils sont saisis pour émettre un avis sur les documents médicaux fournis par le demandeur d'asile. Or, ces personnels de santé de l'OFII ne sont pas expressément mentionnés au titre des accédants ou destinataires du traitement. Dès lors, la commission prend acte de l'engagement du ministère de clarifier le projet de décret sur ce point.
Peuvent également accéder à tout ou partie des données et informations enregistrées dans le traitement, dans la limite de leurs attributions, les agents chargés de l'accueil des demandeurs d'asile relevant des services centraux et déconcentrés des ministères de l'intérieur et des affaires sociales, individuellement désignés et spécialement habilités.
Depuis la loi précitée du 29 juillet 2015, l'accueil des demandeurs d'asile s'effectue auprès d'un guichet unique au sein duquel sont réunis agents de la préfecture et agents de l'OFII. Les premiers ont pour principales attributions l'information du demandeur d'asile, son identification, l'enregistrement de sa demande et la qualification de la procédure de demande d'asile applicable, conformément aux articles R. 741-1 et suivants du CESEDA. La commission relève également que l'article R. 744-8 du CESEDA prévoit un accès direct du préfet au traitement DN@ afin de « signifier à [l'OFII] son opposition à l'admission d'une personne dans un lieu d'hébergement pour demandeur· d'asile de son ten·itoire pour des motifs d'ordre public ». Elle considère dès lors que ces agents sont légitimes à accéder directement au traitement DN@, à l'exclusion notamment des données relatives à la vulnérabilité des demandeurs d'asile.
En ce qui concerne l'accès direct au traitement des agents des services centraux et déconcentrés du ministère des affaires sociales, le ministère a indiqué qu'il s'agit d'un accès en simple consultation, restreint aux seules données administratives (coordonnées des demandeurs, état d'avancement de la procédure d'asile et situation au regard de l'hébergement) des seuls demandeurs d'asile présents sur leur territoire d'intervention. Selon le ministère, cet accès se justifie notamment au regard des missions de ces services en matière de tarification des structures d'hébergement, de pilotage du dispositif de la veille sociale prévu à l'article L. 345-2 du code de l'action sociale et des familles. En outre, ces services devant s'assurer que les SIAO effectuent les vérifications prévues par l'article L. 744-7 du CESEDA avant d'orienter vers un hébergement des demandeurs d'asile ayant refusé l'offre de prise en charge dédiée qui leur a été proposée, il est nécessaire qu'ils aient accès aux mêmes données et informations que ces SIAO. Au regard de ces éléments, la commission considère que ces agents sont légitimes à accéder directement au traitement DN@.
Le projet de décret prévoit enfin que peuvent accéder au traitement les agents, individuellement désignés et spécialement habilités, des centres d'accueil des demandeurs d'asile (CADA) et des structures d'hébergement financées par le ministère et déclarées, au sens de l'article L. 744-3 du CESEDA, pour les données relatives aux demandeurs d'asile accueillis dans leur établissement, à l'exception de certaines données relatives à l'ADA et à l'avis du médecin de l'OFII relatif aux conditions matérielles d'accueil adaptées à la situation du demandeur d'asile, pris en application de l'article R. 744-14 du CESEDA. La commission considère que ces personnes sont légitimes à accéder au traitement dans la mesure où elles ont pour mission d'assurer le suivi effectif des demandeurs d'asile hébergés au sein de leur structure et sous réserve des limitées fixées par le projet de décret.
En ce qui concerne les destinataires, le projet de décret prévoit que les agents, individuellement désignés et spécialement habilités, de l'Agence de services et de paiement, établissement public interministériel, peuvent connaître les données relatives aux bénéficiaires de l'ADA enregistrées dans DN@, au titre de l'article D. 744- 41 du CESEDA. La commission considère que ces destinataires sont légitimes à connaître des données relatives aux bénéficiaires de l'ADA, dans la mesure où l'article D. 744-41 précité prévoit que l'OFII communique, mensuellement, à l'Agence de services et de paiement « la liste nominative des personnes bénéficiaires de l'allocation ». Cette disposition fixe en outre les données précises qui doivent être transmises à ce titre (éléments propres à identifier les allocataires et éléments relatifs à l'allocation à verser) afin que l'Agence de services et de paiement puisse réaliser le versement de l'ADA.
Conformément aux dispositions de l'article L. 744-7 du CESEDA, le projet de décret prévoit en outre que peuvent être destinataires de certaines données enregistrées dans le traitement DN@ les agents des services intégrés d'accueil et d'orientation (SIAO). Ledit article L. 744-7 prévoit qu'un décret en Conseil d'Etat, pris après avis de la commission, détermine les informations qui doivent être fournies par l'OFII aux SIAO pour la mise en œuvre des dispositions relatives à la situation du demandeur d'asile qui a refusé ou abandonné l'hébergement en centre d'accueil.
A cet égard, le projet de décret prévoit que les personnes affectées au sein des SIAO, individuellement et spécifiquement habilitées, sont destinataires des données et informations relatives à l'identité du demandeur d'asile (projet d'annexe 7-2-I), à son attestation de demande d'asile (projet d'annexe 7-2-II-4°, 5°, 6°) et à la prise en charge de ce dernier (projet d'annexe 7-2-III).
En l'absence d'éléments permettant de justifier du besoin que ces personnes auraient de connaître l'ensemble de ces données et informations, la commission estime que seules les données relatives à l'identité du demandeur d'asile, au lieu et à la typologie de l'hébergement proposé et à son refus ou abandon de l'hébergement proposé devraient être transmises par l'OFII aux SIAO. Elle prend acte de l'engagement du ministère de modifier le projet de décret en ce sens.
Conformément à l'article L. 744-6 du CESEDA, le projet de décret prévoit que les données relatives à l'évaluation de la vulnérabilité du demandeur d'asile par l'OFII, sur la base du questionnaire prévu par l'arrêté du 23 octobre 2015 précité, peuvent être transmises, sous réserve de l'accord du demandeur d'asile, à l'OFPRA. En effet, conformément à l'article L. 723-3 du CESEDA, cet organisme peut également prendre en compte la vulnérabilité des demandeurs d'asile pour aménager les modalités d'examen de leur demande. La transmission des éléments issus du questionnaire relatif à la vulnérabilité par l'OFII ne préjuge pas de la propre appréciation de cette vulnérabilité par l'OFPRA ou du bien-fondé de la demande d'asile.
Dès lors qu'elle constitue la stricte application de l'article L. 744-6 du CESEDA, cette disposition du projet de décret n'appelle pas d'observation particulière de la commission.
En revanche, la commission relève que le projet de décret se contente d'indiquer que cette transmission s'effectue « par voie électronique ». Si aucun élément n'a été fourni par le ministère sur les mesures mises en œuvre pour garantir la sécurité de ces données, alors même que l'article L. 744-6 du CESEDA prévoit que les modalités de transmission, par l'OFII à l'OFPRA, des informations attestant d'une situation particulière de vulnérabilité doivent être précisées par un décret en Conseil d'Etat pris après avis de la commission, le ministère s'est engagé à ce que les échanges avec l'OFPRA s'effectuent selon des modalités garantissant la confidentialité des données transmises et l'authentification des acteurs habilités.
A cet égard, la commission rappelle que ces transmissions doivent s'effectuer de façon sécurisée et demande à ce que le projet de décret soit modifié en ce sens. Elle considère que, pour chaque transfert de données, des mesures devront assurer la confidentialité et l'authentification des acteurs concernés. A titre d'illustration, pour un transfert numérique, le chiffrement en transport et l'authentification par certificat du serveur destinataire avec des protocoles respectant les recommandations de l'ANSSI dans son référentiel général de sécurité constitueraient des mesures adéquates.
Sur la durée de conservation et les conditions de mise à jour des données et informations enregistrées :
Le projet de décret prévoit que les données et informations enregistrées dans DN@ sont conservées pour une durée maximale de deux ans à compter de la notification de la décision définitive sur la demande d'asile.
La commission relève que la durée de conservation des données dans le traitement DN@ est actuellement de deux ans à compter de la sortie du centre d'accueil des demandeurs d'asile (CADA). En outre, aux termes de l'article R. 744-13 du CESEDA, « le centre d'accueil pour demandeurs d'asile conserve les dossiers des personnes accueillies deux années civiles après la·sortie ».
Au regard de ces éléments, la commission considère que la durée de conservation des données prévue par le projet de décret est conforme aux dispositions de l'article 6-(5)° de la loi du 6 janvier 1978 modifiée.
Le projet de décret précise par ailleurs que les données transmises par l'OFII à l'OFPRA sont conservées dans le traitement de l'OFPRA, dénommé INEREC, et mises à jour dans ce traitement « lors de la transmission par le demandeur, ou l'OFII, d'éléments nouveaux ». Le ministère n'a toutefois pas apporté d'indication sur la mise en œuvre concrète de cette procédure de mise à jour des données.
En outre, aux termes de l'article L. 744-6 du CESEDA, le projet de décret doit prévoir les modalités de mise à jour des informations relativesà la vulnérabilité et aux besoins particuliers des demandeurs d'asile enregistrées dans un traitement, en l'occurrence DN@. Or, les dispositions du projet de décret ne concernent que les mises à jour des données et informations transmises par l'OFII à l'OFPRA, et non les modalités de mise à jour de l'ensemble des données relatives à l'évaluation de la vulnérabilité des demandeurs d'asile. A cet égard, si le ministère s'est engagé à modifier le projet de décret afin que soient également visée la mise à jour de ces données, il n'a cependant pas fourni d'éléments concrets sur la mise en œuvre de cette procédure de mise à jour des données.
Dans ces conditions, la commission considère que les modalités de mise à jour des données et informations relatives à la vulnérabilité des demandeurs d'asile ne sont pas définies de manière satisfaisante et ne sont dès lors pas conformes aux exigences de l'article 6-(4°) de la loi du 6 janvier 1978 modifiée.
Sur les droits des personnes :
Concernant l'information des personnes concernées, la commission avait demandé, lors de la création du traitement, à ce que le contrat de séjour signé entre le CADA et la personne qui y est accueillie dès son admission soit complété des informations mentionnées à l'article 32 de la loi du 6 janvier 1978 modifiée. Elle avait en outre pris acte de l'engagement de l'OFII à fournir ces informations aux personnes concernées dans une langue qu'elles comprennent, eu égard à la population concernée par le traitement.
L'arrêté du 29 octobre 2015 relatif au contrat de séjour type prévoit une information sur l'existence d'un traitement des informations relatives à la prise en charge des demandeurs d'asile et leurs destinataires. Cet arrêté dispose en outre que le contrat de séjour type doit contenir une mention relative au droit d'accès et de rectification des personnes hébergées. La commission rappelle que ces dispositions ne contiennent toutefois pas de manière exhaustive les éléments d'information prévus à 1'article 32 de la loi « Informatique et Libertés » et demande au ministère de compléter ces mentions d'information.
Au regard de la sensibilité du traitement en cause, elle rappelle en effet l'impérieuse nécessité d'informer les personnes concernées par le traitement, de tous les éléments prévus à l'article 32 de la loi du 6 janvier 1978 modifiée, et en particulier des finalités du recueil des éléments destinés à évaluer la vulnérabilité, selon des modalités de nature à garantir l'effectivité de cette information. Elle prend acte de l'engagement du ministère de fournir une information sur des formulaires rédigés en différentes langues susceptibles d'être comprises par les demandeurs d'asile.
Le projet de décret prévoit en outre que les droits d'accès et de rectification s'exercent auprès du directeur général de l'OFII. Cette modalité d'exercice n'appelle pas d'observation particulière.
Enfin, conformément à l'article 38 de la loi du 6 janvier 1978 modifiée, le droit d'opposition ne s'applique pas au traitement DN@, dans la mesure où il répond à une obligation légale.
Sur les mesures de sécurité :
Le projet de décret précise que les opérations de consultation de DN@ sont journalisées et que les informations relatives à ces traces sont conservées pendant trois ans. La commission relève que le ministère s'engage, à sa demande, à étendre cette journalisation aux opérations de création et de modification des données.
Elle rappelle en outre que les accès à l'application DN@ devront faire l'objet de mesures techniques de nature à assurer l'authentification des utilisateurs. A cet égard, la décision du 29 mai 2009 susvisée, portant création du traitement DN@, précisait expressément que les utilisateurs habilités à accéder au traitement étaient « dotés de certificats d'accès individuels et nominatifs d'une durée de validité de douze mois ». La commission recommande de conserver cette mesure qui permet d'assurer un haut niveau de confiance dans les authentifications mises en œuvre ou de mettre en œuvre une mesure assurant un niveau de sécurité équivalent.
Il en va de même des transmissions « par voie électronique » de données aux destinataires précités (OFPRA, SIAO, agence de service et de paiement). La commission prend acte que, pour chaque transfert de données, le ministère s'engage à mettre en œuvre des mesures destinées à assurer la confidentialité des données et l'authentification des acteurs concernés.
La commission regrette néanmoins que le ministère n'ait pas fourni suffisamment d'éléments concernant les mesures destinées à garantir la sécurité des données enregistrées dans le traitement DN@. Cette absence fait en effet obstacle à ce que la commission puisse pleinement se prononcer sur le respect des dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée, et notamment des obligations, impérieuses au cas d'espèce au vu de la sensibilité des informations traitées, d'intégrité et de confidentialité, lors de la transmission comme dans le cadre du stockage en base, desdites données.


Liens relatifs à cet article