Le 24 février 2013, par Geneviève Koubi,
La Commission nationale de l’informatique et des libertés (CNIL), en sa délibération n° 2012-293 du 13 septembre 2012 portant avis sur un projet de décret relatif à l’application de gestion des dossiers de ressortissants étrangers en France et au traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d’un visa, avait d’emblée noté que, pour recomposer les fichiers AGDREF2 et VISABIO et leurs modes de consultation, « dans la mesure où ceux-ci sont mis en œuvre pour le compte de l’État et portent notamment sur des données biométriques, les modifications de leurs conditions de mise en œuvre [devaient] faire l’objet d’un décret en Conseil d’État pris après avis de la CNIL. »
Obéissant à cette forme, le décret n° 2013-147 du 18 février 2013 relatif à l’application de gestion des dossiers de ressortissants étrangers en France et au traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d’un visa [1], a pour objectif, si l’on en croit les éléments explicatifs affichés, d’élargir les « cas de consultation des données alphanumériques et biométriques des applications AGDREF et VISABIO, aux fins de contrôles frontaliers, d’identification ou de vérification de la régularité du séjour des étrangers ».
.
Le résumé donné de ce décret minimise sans nul doute la portée des modifications que le décret introduit - et dont en dessine quelque peu l’amplitude, la CNIL dans son avis du 13 septembre 2012 -, mais la liste des données communiquées s’avère suffisamment détaillée pour se saisir des finalités politiques et sociales appliquées en la matière. Le décret comporte ainsi une annexe qui forme elle-même une annexe au code de l’entrée et du séjour des étrangers et du droit d’asile : « L’annexe 6-3 du code est remplacée par l’annexe au présent décret. » (art. 5 D.) L’annexe 6.3 à l’article R. 611-9 du CESEDA actualise la « liste des données à caractère personnel communiquées automatiquement par le traitement automatisé de données à caractère personnel dénommé réseau mondial visas (RMV2), enregistrées dans le traitement automatisé prévu à l’article R. 611-8 ».
En se prononçant sur l’ajout d’une finalité et de nouvelles données enregistrées, la CNIL relevait en effet que le traitement VISABIO devait « améliorer les conditions de délivrance des visas en permettant de déceler les demandes présentées par la même personne sous plusieurs identités, améliorer la vérification de l’authenticité des visas ainsi que de l’identité de leurs détenteurs aux points de contrôle des frontières et faciliter les vérifications d’identité opérées ... ainsi que la vérification de l’authenticité des visas et de la régularité du séjour. » Comme le projet de décret envisageait des moyens pour « faciliter l’identification des étrangers en situation irrégulière en vue de leur éloignement », la CNIL admet que la mise en œuvre des mesures d’éloignement participe de la lutte contre le séjour irrégulier [2], et estime donc que « la facilitation de cette identification est conforme aux objectifs du traitement et que cette nouvelle finalité assignée au traitement VISABIO est donc déterminée, explicite et légitime ». Elle enregistrait ainsi a priori « la modification de l’annexe 6-3 du CESEDA, qui liste les données transmises par le RMV 2 et enregistrées dans le traitement VISABIO ».
.
L’ensemble des données consultables est donc recomposé par cette annexe au décret. La liste concerne ainsi autant les données relatives à la demande de visa que les données relatives au demandeur de visa comme celles relatives au visa :
« I. ― Données relatives à la demande de visa - a) Données générales : Information visa demandé ; numéro de la demande ; lien demande précédente ; nom de l’autorité saisie ; localisation de l’autorité saisie ; indication que l’autorité a été saisie en remplacement d’un autre Etat membre ; lieu et date de la demande ; type de visa ; motif du voyage ; nom ; prénom et adresse de la personne invitante ; nom et adresse de la société ou compagnie invitante (personne morale) ; nom et prénom de la personne à contacter dans la société ou la compagnie invitante ; destination principale ; durée prévue du séjour ; date d’arrivée prévue ; date de départ prévue ; frontière de première entrée prévue ; route de transit prévue ; motif et date du retrait de la demande par le demandeur ; b) Données relatives à un groupe de demandeurs de visa : Type de groupe ; lien demande du groupe. // II. ― Données relatives au demandeur de visa - a) Données d’état civil : Nom ; nom de naissance ; noms antérieurs ; prénoms ; sexe ; date de naissance ; lieu de naissance ; pays de naissance ; nationalité actuelle ; nationalité de naissance ; b) Données relatives aux documents de voyage : Type de document ; numéro du document ; autorité de délivrance ; date de délivrance ; date d’expiration ; c) Données biométriques : Photographies ; empreintes digitales du demandeur ; d) Autres données : Résidence ; nom et prénom du père et de la mère du demandeur ; nom et coordonnées de l’employeur ; nom de l’établissement scolaire ou universitaire (étudiant) ; profession actuelle. // III. ― Données relatives au visa - a) Données relatives au visa délivré : Information visa délivré ; lieu de la décision et date de délivrance du visa ; nom et localisation de l’autorité ayant délivré le visa ; indication que l’autorité a été saisie pour le compte d’un autre État membre ; validité territoriale dans laquelle le porteur du visa est autorisé à circuler ; type de visa délivré ; numéro de la vignette visa délivrée ; date de début et de fin de validité du visa ; nombre d’entrées autorisées ; durée de validité du visa ; durée du séjour autorisé ; information visa délivré sur feuillet séparé ; b) Données relatives à l’abandon d’examen de la demande : Information indiquant que l’examen de la demande de visa a été interrompu ; État membre compétent pour examiner la demande ; nom et localisation de l’autorité ayant interrompu l’examen de la demande ; date et lieu de l’interruption ; c) Données relatives au refus de visa : Information visa refusé ; nom et localisation de l’autorité qui a refusé le visa ; date, lieu et motif du refus ; d) Données relatives à l’annulation, au retrait ou à la réduction de la durée de validité du visa : Information visa annulé, retiré ou réduit dans sa validité ; nom et localisation de l’autorité ayant pris la décision ; date et lieu de la décision ; nouvelle date d’expiration de la validité du visa ; numéro de la nouvelle vignette ; motifs de la décision d’annulation, de retrait ou de réduction de validité de la vignette ; e) Données relatives à la prolongation du visa : Information visa prorogé ; nom et localisation de l’autorité ayant prorogé le visa ; date et lieu de la décision ; date de début et de fin de la période prorogée ; numéro de la nouvelle vignette ; période de prorogation de la durée du séjour, territoire sur lequel le porteur du visa est autorisé à circuler ; type de visa prorogé ; motifs de la prorogation. »
.
La liste des destinataires du traitement est en conséquence plus fournie (art. 4 D. n° 2013-147 du 18 février 2013). Les agents compétents en matière de délivrance ou de prorogation des titres de séjour sont désormais en mesure « d’authentifier les visas présentés à l’appui de la demande afin de prévenir une éventuelle usurpation d’identité ». Il est facile de prétendre que la modification est "corollaire à l’ajout de la finalité d’identification des étrangers en situation irrégulière en vue de leur éloignement", ces vérifications par le truchement de VISABIO étant des opérations préparatoires aux mesures d’éloignement prononcées. Mais, de ce fait, au vu de la justification ainsi entérinée, les personnels chargés du contrôle aux frontières, les agents de la police et la gendarmerie nationales chargés de l’éloignement des étrangers disposent donc eux aussi d’un accès au traitement VISABIO. D’autres fonctions sont alors inévitablement concernées. L’extension des consultations n’est pas vraiment la conséquence de la nouvelle finalité assignée au traitement VISABIO, mais plus sûrement son but [3]. Ce qui permet la jonction entre deux fichiers : AGDREF2 et VISABIO.
Dans son avis du 13 septembre 2012, la CNIL avait rappelé les enjeux du traitement AGDREF2 développés à partir du décret n° 2011-638 du 8 juin 2011. Ce traitement est utilisé pour « la gestion par les préfectures des dossiers de ressortissants étrangers et la fabrication des titres de séjour, en même temps qu’il permet aux agents habilités à examiner la situation des étrangers au regard du séjour en France d’effectuer les vérifications nécessaires ». Le traitement AGDREF2 intègre ainsi le fichier ELOI. Cette combinaison s’applique aux demandeurs de titre de séjour, personnes en situation irrégulière et personnes faisant l’objet d’une mesure d’éloignement grâce à une base centralisée de données biométriques [4]. Elle conditionne donc aussi la délivrance de titres biométriques de séjour et de voyage des étrangers.
Dans la limite du besoin d’en connaître, tous les services de l’État y ont accès — au moins pour la gestion administrative des droits et obligations des étrangers.
.
Toutefois, c’est surtout à propos de VISABIO que la CNIL s’était épanchée en septembre 2012. Rappelant le décret n° 2007-1560 du 2 novembre 2007, substantiellement modifié par le décret n° 2010-645 du 10 juin 2010, qui en retrace les objectifs, la CNIL insistait sur le fait que « le traitement VISABIO constitue la première base centralisée de données biométriques mise en place pour le compte de l’État. Il concerne les ressortissants étrangers sollicitant la délivrance d’un visa, soit plus de deux millions d’étrangers par an, et a pour finalité générale "de mieux garantir le droit au séjour des personnes en situation régulière et de lutter contre l’entrée et le séjour irréguliers des étrangers en France, en prévenant les fraudes documentaires et les usurpations d’identité". Ce traitement enregistre les empreintes digitales des dix doigts et la photographie numérisée des personnes concernées ainsi que des éléments alphanumériques d’identification et des données relatives à leur titre de voyage et au visa délivré, qui sont communiquées automatiquement par le traitement RMV 2 (Réseau Mondial Visas), conformément à l’article R. 611-9 du CESEDA. Ces données sont conservées cinq ans à compter de leur inscription dans le système. » Elle remarquait alors que « ce traitement VISABIO constitue la partie nationale biométrique du Visa Information System (VIS), en cours de déploiement au niveau européen, dont les modalités de mise en œuvre sont définies par le "règlement VIS".... VISABIO intervient en effet dans le domaine de la délivrance des visas qui, pour les visas de court séjour qui représentent la grande majorité des visas délivrés par l’État français, relève de la pleine compétence communautaire. »
Ces projections européennes ne sont pas rendues visibles dans le décret du du 18 février 2013 relatif à l’application de gestion des dossiers de ressortissants étrangers en France et au traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d’un visa [5], alors même que cela suppose une extension de l’externalisation aux prestataires agréés en ce qui concerne les modalités de collecte des données qui sont enregistrées dans VISABIO.
Si la CNIL avait, auparavant, dans sa délibération n° 2009-494 du 17 septembre 2009 sur l’expérimentation de cette collecte, considéré que « l’intervention d’un prestataire extérieur dans le processus de collecte des données comporte un risque de compromission de l’intégrité du processus de délivrance des visas, et notamment du niveau de fiabilité et de sécurité de ce processus, ainsi que des garanties entourant la protection des données personnelles relatives aux demandeurs de visa », elle ne peut que constater que les "sérieuses réserves" qu’elle avait émises n’ont pas été suffisamment prises en considération, certaines obligations n’ont pas même été respectées [6]. Toutefois, l’expérimentation BIONET semble avoir été fertile ... Elle est continuée même si « les risques mentionnés en 2009 (par la CNIL), notamment sur l’utilisation des données collectées par les autorités locales, restent en tout point d’actualité »...
.
Être étranger, être multi-fiché !? Les applications du décret n° 2013-147 du 18 février 2013 le confirment une fois de plus.
.
[1] JO 20 févr. 2013.
[2] ... finalité du traitement VISABIO.
[3] La CNIL en sa délibération n° 2012-293 du 13 septembre 2012 ne parvient pas à convaincre du bien fondé de l’élargissement des utilisations du traitement...
[4] ... dix empreintes digitales et photographie.
[5] V. toutefois, Cahiers juridiques du Gisti, janv. 2013 : « Entrée, circulation en France et dans l’espace ’Schengen’ ».
[6] « En premier lieu, des contrôles ont révélé qu’aucune des données enregistrées dans le traitement depuis le début de sa mise en œuvre, c’est-à-dire depuis 2005, n’a été effacée de la base centrale. (...) En outre, il a été constaté que des empreintes digitales de mineurs de moins de douze ans ont été collectées après le décret du 10 juin 2010, qui a notamment élevé l’âge minimal de collecte de ces identifiants de six à douze ans, (...) »
La CNIL rappelle aux pouvoirs publics alors « l’impérieuse obligation de ne pas enregistrer dans le traitement VISABIO de tels éléments et d’effacer, lorsque la fonctionnalité de purge sera mise en œuvre, toutes les données illégalement enregistrées dans le traitement. » De plus, elle note que « contrairement aux engagements pris par les ministères concernés en 2009, le récépissé n’est pas remis aux personnes concernées après sa signature, mais simplement conservé par le prestataire dans le dossier de demande de visa. Afin de favoriser une meilleure information de celles-ci quant au traitement de données dont elles font l’objet, la Commission demande donc de prévoir l’édition de récépissés dans une langue compréhensible par les personnes concernées et qu’une copie de ce récépissé leur soit remise. ».