Date de l'avis : 11 mai 2023
N° de la délibération : 2023-045
N° de demande d'avis : 23004879
Texte concerné : projet de décret portant modification des dispositions relatives au traitement automatisé de données à caractère personnel dénommé PARAFE
Thématiques : contrôles aux frontières, reconnaissance faciale
Fondement de la saisine : article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
L'essentiel :
Mis en œuvre par la direction générale des étrangers en France du ministère de l'intérieur, le traitement PARAFE repose sur le déploiement de sas visant à faciliter les contrôles aux frontières extérieures.
Le projet de décret étend la liste des voyageurs pouvant utiliser le dispositif, met fin à la possibilité d'y recourir à partir de ses empreintes digitales, et modifie les accédants aux données du traitement.
Si ces évolutions apparaissent légitimes, les modalités concrètes de mise en œuvre du traitement appellent quelques observations.
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. Le contexte
Le traitement PARAFE est encadré par les articles R. 232-6 à R. 232-11-2 du code de la sécurité intérieure (CSI). Il repose sur le déploiement de sas destinés à améliorer et faciliter les contrôles de police aux frontières extérieures.
En pratique, les voyageurs aériens, maritimes et ferroviaires éligibles au dispositif peuvent volontairement emprunter un sas PARAFE s'ils disposent d'un document de voyage comportant des données biométriques. Le contrôle aux frontières est alors réalisé au moyen d'une authentification biométrique du voyageur via le traitement de ses empreintes digitales ou de son image faciale.
B. L'objet de la saisine
Le ministère de l'intérieur a saisi la Commission nationale de l'informatique et des libertés (CNIL), en urgence, d'un projet de décret modifiant les dispositions relatives au traitement PARAFE. Les évolutions projetées visent à :
- modifier les conditions d'éligibilité au dispositif (extension de la liste des nationalités éligibles, notamment) ;
- supprimer la possibilité de collecter des empreintes digitales pour l'authentification du voyageur, qui ne sera désormais possible qu'au moyen de l'image numérisée du visage ;
- étendre la liste des accédants au traitement, en ajoutant notamment les personnels de l'agence européenne de garde-frontières et de garde-côtes (Frontex).
Ces modifications s'inscrivent dans une perspective de fluidification des passages aux frontières, dans un contexte d'augmentation des flux de voyageurs avec, notamment, la tenue prochaine de grands événements sportifs (coupe du monde de rugby en 2023 et jeux Olympiques en 2024).
II. - L'avis de la CNIL
A. Sur les personnes éligibles à l'utilisation du sas PARAFE
a) L'extension du périmètre des personnes éligibles
L'utilisation du sas PARAFE est actuellement soumise à plusieurs conditions.
- Peuvent bénéficier du dispositif, à l'entrée et à la sortie du territoire :
- les citoyens de l'Union européenne ou ressortissants d'un autre Etat partie à l'accord sur l'Espace économique européen ou de la Confédération suisse ; et
- les ressortissants américains, andorrans, australiens, britanniques, canadiens, sud-coréens, japonais, monégasques, néo-zélandais, saint-marinais et singapouriens.
- Le dispositif n'est pas accessible aux mineurs de moins de douze ans. Les personnes mineures âgées de douze ans révolus ne peuvent utiliser le dispositif que pour l'entrée sur le territoire.
- Enfin, la possibilité d'utiliser le sas PARAFE est subordonnée à la détention d'un document de voyage répondant à certains critères (en cours de validité, comportant des données biométriques et doté d'une zone de lecture automatique).
Le projet de décret précise les caractéristiques du document requis, ce qui n'appelle pas d'observations. Il étend par ailleurs la liste des nationalités éligibles au dispositif.
A l'entrée, les ressortissants de cinq Etats tiers (Argentine, Chili, Israël, Mexique et Pérou) s'ajouteront aux personnes actuellement éligibles au dispositif.
Il est également prévu que la liste des nationalités éligibles à l'entrée, actuellement établie à l'article R. 232-6 du CSI, soit fixée par arrêté du ministre de l'intérieur. Cette évolution vise à permettre des évolutions ultérieures en cas de changement de contexte sécuritaire et géopolitique, sans modification des modalités de traitement des données à caractère personnel.
A la sortie, le public éligible à l'utilisation du sas est élargi à l'ensemble des ressortissants de pays tiers, sans condition de nationalité.
Ces évolutions apparaissent légitimes au regard du besoin opérationnel invoqué. Elles entrainent néanmoins une augmentation du volume de données traitées et de personnes concernées par le traitement. Dès lors, une attention particulière devra être portée aux modalités concrètes de mise en œuvre du traitement, s'agissant notamment de l'information des personnes.
b) Les modalités d'information des personnes
Le droit à l'information est applicable au traitement, dans les conditions prévues par l'article 13 du règlement général sur la protection des données (RGPD). Les personnes concernées par le traitement de leurs données seront informées :
- à la frontière, par les gestionnaires d'infrastructures (aéroports, ports maritimes, gares ferroviaires), qui ont conclu une convention avec le ministère de l'intérieur ;
- via le site web du ministère et une fiche spécifique sur le site « service-public.fr ».
i. Contenu et modalités de transmission de l'information
Le ministère a conclu, avec les gestionnaires d'infrastructures qui déploient les sas, des conventions comportant des obligations relatives :
- aux modalités d'information des personnes concernées ;
- à la signalétique permettant aux voyageurs de connaitre leur éligibilité au dispositif et les informant du caractère optionnel de leur utilisation.
Les éléments de communication à destination des voyageurs doivent, selon ces conventions, comporter certaines mentions obligatoires (références aux articles 13 du RGPD et 32 de la loi « informatique et libertés » ; modalités d'exercice des droits) et être adaptés aux mineurs.
Le ministère a mis en place des mesures pour assurer le respect, par les gestionnaires, de leurs obligations relatives à la communication d'informations aux voyageurs (tenue d'audits, par exemple).
La CNIL souligne que l'obligation d'informer les personnes pèse sur le responsable de traitement. A cet égard, des mesures supplémentaires devraient être déployées pour garantir que les gestionnaires fournissent, au moment de la collecte, l'ensemble des informations énumérées à l'article 13 du RGPD (par exemple, en exigeant l'affichage sur le sas de mentions d'information simplifiées, accompagnées d'un lien et d'un code QR permettant d'accéder à l'information complète).
Pour assurer l'effectivité des droits des personnes, l'information sur le traitement doit, en outre, être complétée d'éléments relatifs :
- au caractère facultatif, prévu par l'article R. 232-6 du CSI, du recours au sas PARAFE pour le franchissement des frontières ; et
- le cas échéant, à l'articulation de PARAFE avec d'autres dispositifs de facilitation des contrôles (tel que le dispositif de pré-enregistrement créé par le décret n° 2022-1145 du 10 août 2022, qui repose également sur le volontariat).
Le ministère a précisé que le caractère facultatif du dispositif est indiqué par la signalétique, les agents de facilitation déployés par les gestionnaires, ainsi que le site web du ministère.
La CNIL estime qu'une formation des personnels chargés d'orienter et d'informer les voyageurs permettrait de garantir que ces derniers soient effectivement informés du caractère facultatif du recours au sas PARAFE et donc de la possibilité, indépendamment de leur éligibilité au dispositif, de se présenter devant un garde-frontière qui effectuera le contrôle en aubette.
ii. Traduction de l'information
La CNIL rappelle que, selon la position du Comité européen de la protection des données (CEPD) dans le cadre de ses lignes directrices sur la transparence au sens du RGPD, l'information doit être traduite dans une ou plusieurs langues lorsque le responsable du traitement cible des personnes parlant ces langues (en ce sens, v. par exemple : CNIL, SP, 26 novembre 2020, avis sur projet de décret, PARAFE, n° 2020-114, publié ; CNIL, SP, 23 juin 2022, avis sur projet de décret, NATALI, n° 2022-071, publié).
Les personnes susceptibles d'être concernées par le traitement PARAFE comprennent des voyageurs de nationalité étrangère. De plus, le projet de décret étend la possibilité de recourir au dispositif, à la sortie du territoire, à l'ensemble des ressortissants de pays tiers.
Dès lors, l'information fournie à la frontière et disponible sur les sites web précités devrait être traduite en plusieurs langues. La CNIL considère qu'elle devrait être traduite a minima en anglais et accompagnée de pictogrammes.
B. Sur les catégories de données collectées
a) La suppression de la possibilité de collecter des empreintes digitales
L'article R. 232-7 du CSI énumère les catégories de données à caractère personnel traitées pour l'authentification biométrique. Pour certains voyageurs, il est possible de s'authentifier à partir d'empreintes digitales ou de l'image numérisée du visage.
Or, dans la pratique, l'utilisation de sas à reconnaissance faciale est venue se substituer au recours aux sas à empreintes digitales (v. en ce sens la délibération n° 2020-114 précitée).
Dès lors, le projet de décret supprime la possibilité de collecter des empreintes digitales et, par là même, de mettre en place des sas à empreintes digitales.
La CNIL accueille favorablement cette évolution.
b) Les conditions de traitement des données
L'article R. 232-8 du CSI prévoit que les données collectées sont « traitées à la seule fin de permettre l'authentification biométrique du voyageur et la consultation prévue à l'article R. 232-9, permettant le contrôle aux frontières ». Autrement dit, les données alphanumériques collectées sont utilisées pour consulter, dans le cadre des contrôles prévus par le règlement (UE) 2016/399 (code frontières Schengen) : le fichier des personnes recherchées, le système d'information Schengen et le fichier des documents de voyage volés et perdus d'Interpol. Ces traitements font alors l'objet d'une mise en relation avec PARAFE.
Le projet de décret supprime la mention des traitements consultés et prévoit, en conséquence, que les données sont traitées non plus pour la consultation de ces derniers, mais pour « la collecte des données nécessaires aux contrôles aux frontières ».
La CNIL ne remet pas en cause l'absence d'obligation de mentionner, au sein du projet de décret, les mises en relation. Elle rappelle néanmoins que, dans certains cas particuliers, leur mention peut constituer une bonne pratique, notamment lorsque les finalités principales du traitement sont étroitement liées à quelques mises en relation particulières. La transparence vis-à-vis du public quant aux conditions de mise en œuvre de ces opérations participe également de l'équilibre entre l'objectif poursuivi par les traitements en cause et le respect de la vie privée des personnes concernées (sur ce point, v. CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié).
Au regard de ces éléments, la CNIL recommande de maintenir, au niveau du décret, la mention des mises en relation. À défaut, elle recommande vivement au ministère de décrire sur son site web l'ensemble des mises en relation réalisées avec d'autres traitements.
C. Sur les accédants
Le projet de décret modifie la liste des accédants aux données du traitement, pour ajouter :
- aux agents de la police nationale et des douanes, les militaires de la gendarmerie nationale, pour les seuls besoins des contrôles aux frontières ;
- les membres du personnel opérationnel du contingent permanent du corps européen de garde-frontières et de garde-côtes de l'agence Frontex, mentionnés à l'article 54 du règlement UE 2019/1896.
D'une part, il ressort des précisions apportées que le contrôle aux frontières relève de la compétence de la direction centrale de la police aux frontières, de la direction générale des douanes et des droits indirects, et de la gendarmerie de l'air. Dans ces conditions, les militaires de la gendarmerie nationale pourraient légitimement accéder aux données du traitement.
D'autre part, s'agissant de l'accès aux données de PARAFE par les membres de Frontex, il est précisé que :
- l'ensemble des catégories d'agents du contingent de Frontex visées à l'article 54 du règlement UE 2019/1896 sont susceptibles d'effectuer des contrôles aux frontières ;
- ces personnels sont mis à disposition par l'agence dans le seul cadre d'une opération conjointe et présentent les garanties nécessaires pour effectuer des contrôles aux frontières de première ligne (contrôles auxquels sont soumis l'ensemble des voyageurs - v. en ce sens l'art. 2 du code frontières Schengen).
Au regard de ces éléments, l'ajout des accédants envisagé par le projet de décret apparaît pertinent.
D. Sur la sécurité du traitement
La CNIL accueille favorablement la mise à jour de l'analyse d'impact relative à la protection des données (AIPD), pour prendre en compte :
- les évolutions du traitement ; et
- les recommandations de la CNIL formulées dans sa délibération n° 2020-114 précitée (revue des habilitations régulière intégrée au plan d'action à très court terme du ministère ; réduction de la durée de conservation des traces à trois mois).
Par ailleurs, le ministère a fait preuve de vigilance en matière d'authentification au dispositif en s'assurant que les nouveaux accédants utilisent eux aussi une authentification forte avec une carte à puce pour se connecter (carte agent ou autre carte à puce au moins aussi sûre).
Ainsi, les mesures de sécurité décrites par le responsable de traitement semblent conformes à l'exigence de sécurité prévue par les articles 5.1.f et 32 du RGPD.Liens relatifs
La présidente,
M.-L. Denis