Sur la notion de responsable du traitement :
Dans la mesure où le ministère de l'intérieur et le ministère des affaires étrangères déterminent conjointement la finalité et les moyens du traitement, s'agissant en particulier de ses modalités d'alimentation et de consultation, ils doivent être considérés comme responsables conjoints du traitement.
A cet égard, la commission prend acte qu'à sa demande le projet d'article R. 611-8 du CESEDA a été modifié dans les termes suivants : « Est autorisée la création par le ministère des affaires étrangères et le ministère chargé de l'immigration d'un traitement automatisé de données à caractère personnel pris pour l'application de l'article L. 611-6 dénommé VISABIO. »
Sur les finalités et les destinataires du traitement :
La commission considère comme légitime la finalité principale du traitement qui est de « mieux garantir le droit au séjour des personnes en situation régulière et de lutter contre l'entrée et le séjour des personnes en situation régulière et de lutter contre l'entrée et le séjour irréguliers des étrangers en France », ce qui montre qu'il ne s'agit pas d'un fichier d'identification des étrangers consultable en toutes circonstances. Elle estime que la volonté de préciser les différents objectifs qui concourent à cette finalité devrait avoir pour corollaire une distinction plus affirmée entre les différents destinataires et modes d'accès au traitement en fonction de ces objectifs.
Le projet de décret prévoit d'ajouter notamment aux destinataires mentionnés dans les deux décrets précédents les agents des préfectures compétents pour la délivrance et la prorogation des visas et les agents du ministère de l'économie et des finances (douanes) chargés du contrôle aux frontières. Au total, une fois le système étendu à l'ensemble des services de police, de gendarmerie et des douanes, près de 5 000 postes de consultation munis de capteurs-lecteurs d'empreintes seraient installés, outre ceux des postes consulaires.
La commission prend acte que le recours à la base centrale, aux fins de vérification de l'authenticité des visas et de l'identité des étrangers, ne s'effectuera, soit en consultation, soit en alimentation, que par les agents individuellement désignés et spécialement habilités des services de la police de l'air et des frontières chargés de la délivrance ou du contrôle des visas. Elle demande que les profils d'utilisateur soient précisément définis en fonction de la finalité rappelée ci-dessus et des tâches spécifiques des agents, et que, lors du contrôle aux frontières, l'accès à la base centrale ne se fasse qu'à partir du numéro de la vignette visa seul ou en association avec la vérification des données biométriques.
La commission prend acte également que, pour les contrôles sur le territoire national, seuls ont accès aux données de VISABIO des officiers de police judiciaire individuellement désignés et spécialement habilités ainsi que les officiers de police judiciaire de la direction centrale de la police judiciaire et de la direction générale de la gendarmerie nationale, pour des missions de vérification d'identité prévues par l'article 78-3 du code de procédure pénale, de contrôle de l'authenticité des visas et de la régularité du séjour.
La commission prend acte qu'à sa demande le II du projet d'article R. 611-12 du CESEDA prévoit expressément une procédure de désignation-habilitation pour les services chargés de la prévention et de la répression des actes de terrorisme.
Elle demande aussi que soit indiqué dans le projet de décret, pour chaque type d'accès, la ou les données permettant d'entrer dans la base centrale et d'obtenir telle ou telle catégorie d'informations.
La commission estime enfin que, dans la mesure où le nouveau dispositif prévoit d'enregistrer les entrées et sorties des titulaires de visas, il pourrait être envisagé de constituer le sous-ensemble des personnes s'étant maintenues en situation irrégulière à l'expiration de la durée de leur visa et d'organiser un accès pour les contrôles sur le territoire national à cette seule partie de la base centrale, afin de mieux proportionner l'utilisation de VISABIO à ses objectifs.
Sur les données enregistrées :
La commission prend acte qu'il est prévu de collecter et mémoriser les images numérisées de la photographie et des empreintes des dix doigts des demandeurs de visas, certaines données issues du réseau mondial visas sur l'identité, le titre de voyage et les caractéristiques du visa, ainsi que les données recueillies lors des entrées et sorties du détenteur de visa (date de première entrée, date de dernière entrée et date de sortie).
Sur les empreintes digitales :
La commission rappelle que la collecte des empreintes digitales n'est pas toujours physiquement possible, ni exploitable, d'une part, et que toute comparaison biométrique comporte un taux incompressible de faux rejets, d'autre part. La commission prend acte à cet égard que le projet de décret précise que « l'impossibilité de collecte totale ou partielle des empreintes digitales sera mentionnée dans le traitement ».
La commission prend aussi acte que l'âge à partir duquel seront enregistrées les empreintes digitales est fixé à six ans dans le projet de décret. Elle rappelle à cet égard que le Groupe Article 29 a considéré, dans son avis 3/2007 du 1er mars 2007 sur le projet de règlement modifiant les instructions consulaires communes, que l'âge à partir duquel les empreintes sont relevées n'est pas seulement un élément technique mais une question de principe méritant un large débat, voire un amendement à la convention sur les droits de l'enfant. Pour préserver la dignité de la personne et pour garantir la fiabilité de la procédure, la collecte et le traitement des empreintes digitales doivent être limités pour les enfants.
Sur la durée de conservation et la reprise des éléments biométriques après une première demande :
Elle prend acte que l'ensemble des données traitées par VISABIO seront conservées pour une durée de cinq ans à compter de leur date d'inscription.
Sur l'enregistrement des dates d'entrée et de sortie du titulaire du visa :
La collecte et l'enregistrement des dates d'entrée et de sortie du territoire du titulaire du visa, qui ne sont pas prévus par le projet de règlement communautaire relatif au VIS, seraient destinés à répondre à une finalité strictement nationale tendant à faciliter l'obtention des visas par les personnes ayant respecté les dates de validité de leurs visas précédents. Ces opérations alimenteraient une « liste d'attention » constituée des personnes qui, a priori, n'auraient pas respecté ces dates de validité, c'est-à-dire dont la date de sortie n'aurait pas été enregistrée dans le traitement.
La commission relève qu'en l'absence de l'implantation systématique dans les autres Etats membres de l'Union européenne d'un tel dispositif son utilité réelle apparaît structurellement limitée, puisque, muni d'un « visa uniforme » Schengen, le détenteur peut se déplacer librement sur tout le territoire européen et choisir n'importe quel point de sortie. Elle considère qu'il y a donc un risque réel de rupture d'égalité devant la loi pour des étrangers étant de bonne foi mais ressortis par un point de sortie n'enregistrant pas ces informations. Elle estime que le recueil et le traitement de ces données n'est pas, en l'état, pertinent.
Le traitement de la photographie :
La commission prend acte de l'indication faite dans le projet de décret selon laquelle il n'est pas recouru à la technique automatisée de la reconnaissance faciale et que la photographie ne peut être utilisée directement à des fins de recherche.
Sur l'externalisation de la collecte des données :
La commission prend acte que la possibilité d'externaliser la collecte des données, par le recours à des prestataires privés chargés de collecter l'ensemble des données personnelles mentionnées à l'article L. 611-9, y compris les données biométriques, est reportée et retirée du projet de décret.
Sur les sécurités du traitement :
La commission considère que les éléments qui lui ont été progressivement communiqués, à sa demande, sur la sécurité globale du dispositif, dans sa nouvelle configuration, sont techniquement satisfaisants.
Elle prend acte qu'à sa demande le projet de décret prévoit une évaluation du dispositif tous les trois ans qui donnera lieu à un rapport transmis à la CNIL, sans préjudice de son contrôle spécifique du point de vue de la protection des données. La commission estime que les modalités de cette évaluation, qui ne devrait pas porter seulement sur les aspects techniques, pourraient être précisées dans un arrêté complémentaire pris après avis de la CNIL.
La commission estime que, compte tenu de l'importance de cette base centrale, le décret devrait prévoir qu'en cas d'événement particulièrement grave une procédure de destruction en urgence des fichiers puisse être engagée, afin d'éviter qu'il puisse être utilisé comme un fichier des étrangers pour des fins non voulues par les autorités nationales.
Sur l'information et le droit d'accès des personnes :
La commission relève qu'il est prévu d'informer les intéressés de leurs droits par des mentions sur les formulaires de collecte et par un affichage et que le projet de décret (article R. 611-3) précise que les droits d'accès et de rectification s'exercent auprès du service où la demande de visa a été déposée.
En cas de rectification, le décret devrait prévoir que l'Etat membre confirme par écrit à la personne concernée qu'il a procédé à la rectification ou à l'effacement des données enregistrées de façon illicite, conformément aux dispositions de l'article 31 de la proposition de règlement VIS.