[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2024-032 du 11 avril 2024 portant avis sur un projet de décret relatif à la partie nationale du système d'information Schengen

Données personnelles
Cybersécurité
Union Européenne
Déposé le 27 juin 2024 à 22h00, publié le 27 juin 2024 à 22h00
Journal officiel

Texte











N° de demande d'avis : 23016110.

Thématiques : personnes recherchées, police judiciaire, police administrative, procédures intéressant les ressortissants étrangers, données biométriques, empreintes génétiques.

Organisme(s) à l'origine de la saisine : ministère de l'intérieur.

Fondement de la saisine : article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.






L'essentiel :
Le système informatique national du système d'information Schengen (N-SIS) constitue la partie nationale du système d'information Schengen (SIS).
Le projet de décret modifie plusieurs dispositions du code de la sécurité intérieure relatives au N-SIS pour, en particulier, prendre en compte l'évolution récente des règlements européens régissant le SIS (nouvelles catégories de signalements, par exemple).
La CNIL estime ces évolutions nécessaires et justifiées.
Elle recommande cependant :



- de déterminer, plus précisément, le régime juridique applicable à chaque catégorie de signalement enregistré dans le N-SIS, et d'adapter le cas échéant les dispositions du décret ;
- de prendre les mesures nécessaires pour garantir la mise à jour et l'exactitude des données ;
- de renforcer certaines mesures de sécurité.



La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
Après avoir entendu le rapport de Mme Sophie Lambremon, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :



I. - La saisine
A. - Le contexte



Le système d'information Schengen (SIS) constitue un système de partage d'informations utilisé pour la gestion des frontières et la sécurité. Il contient des signalements judiciaires et administratifs concernant des personnes et des objets (par exemple : signalements de personnes aux fins de non-admission sur le territoire ou en vue d'une arrestation, signalements concernant des objets aux fins de saisie ou à titre de preuve, etc.).
Le SIS a été initialement prévu par l'article 92 de la convention du 19 juin 1990 d'application de l'accord de Schengen du 14 juin 1985. La deuxième génération du SIS a, par la suite, été encadrée par le règlement (CE) n° 1987/2006 et la décision 2007/533/JAI du Conseil. Ces textes ont notamment ouvert la possibilité d'ajouter des empreintes digitales et des photographies aux signalements.
En mars 2023, le SIS a fait l'objet d'une refonte. Les règlements (UE) 2018/1860, 2018/1861 et 2018/1862 encadrent désormais le traitement et autorisent, en particulier, l'introduction de nouveaux types de signalements (signalements de personnes faisant l'objet d'une décision de retour, par exemple) ainsi que l'enregistrement de nouvelles catégories de données (ADN, par exemple).
Ces textes organisent l'architecture et le fonctionnement du dispositif, qui repose sur un système central, un système national pour chaque Etat membre (le N.SIS) ainsi que des infrastructures de communication.
Le N.SIS est constitué des systèmes de données nationaux reliés au SIS central et peut contenir un fichier de données (une « copie nationale ») comprenant une copie complète ou partielle de la base de données du SIS. Les données du SIS sont introduites, mises à jour, supprimées et consultées par le biais des différents N.SIS.
En France, le traitement « N-SIS » est alimenté à partir du fichier des personnes recherchées (FPR), du fichier des objets et des véhicules signalés (FOVeS) et du traitement « titres électroniques sécurisés » (TES). Le FPR a été récemment modifié pour prendre en compte l'évolution des dispositions encadrant le SIS et, ainsi, permettre la création de nouvelles catégories de signalements à partir du FPR (v. CNIL, SP, 6 juillet 2023, avis sur projet de décret, FPR, n° 2023-069, publié).



B. - L'objet de la saisine



Le ministère de l'intérieur a saisi la CNIL d'un projet de décret modifiant les articles R. 231-1 à R. 231-16 du code de la sécurité intérieure (CSI) encadrant la mise en œuvre du N-SIS.
Il entend mettre en conformité le N-SIS avec :



- les nouveaux règlements européens encadrant le SIS (précités), entrés en application le 7 mars 2023 ;
- la règlementation en matière de protection des données à caractère personnel (loi « informatique et libertés » modifiée).



Dans le cadre de la marge de manœuvre laissée aux autorités nationales dans l'application du règlement, une vigilance particulière s'impose quant au traitement de données biométriques. Ces données, particulièrement sensibles, permettront en effet de consulter le SIS dans différents cadres et pourront être issues de différents fichiers nationaux. Elles devront, en particulier, avoir été initialement collectées pour des finalités compatibles avec celles poursuivies par le N-SIS.



II. - L'avis de la CNIL
A. - Sur les signalements introduits dans le N-SIS et le régime juridique applicable



a) Nouvelles catégories de signalements :
Le projet de décret ajoute de nouvelles catégories de signalements pouvant être enregistrés dans le N-SIS, en application des règlements précités.
En particulier, il prévoit l'inscription de personnes recherchées inconnues à des fins d'identification, signalées par l'autorité judiciaire dans le cadre d'une procédure pénale. Ces signalements ne contiennent que des données dactyloscopiques « découvertes sur les lieux d'infractions terroristes ou d'autres infractions graves faisant l'objet d'une enquête » (art. 40 du règlement 2018/1862). Ils seront créés à partir du FPR.
La CNIL rappelle ses observations relatives aux conditions d'introduction de tels signalements (CNIL, SP, 6 juillet 2023, avis sur projet de décret, FPR, précité). Il conviendra, en particulier, de prendre les mesures nécessaires pour garantir que seules les traces pour lesquelles existe un « degré très élevé de probabilité qu'elles appartiennent à un auteur de l'infraction » alimentent ces signalements.
b) Régime juridique applicable à chaque signalement :
Le ministère précise qu'au regard de ses finalités, le N-SIS est un traitement « mixte » dont les données relèvent de trois régimes juridiques distincts.
En premier lieu, les données relevant du titre II de la loi « informatique et libertés » sont celles qui concernent les personnes signalées aux fins de retour, de non-admission ou d'interdiction de séjour ainsi que les personnes vulnérables devant être empêchées de voyager dans l'intérêt de leur propre protection.
En deuxième lieu, les données relevant du titre III concernent, par exemple : les personnes signalées en vue d'une arrestation aux fins de remise sur la base d'un mandat d'arrêt européen ou aux fins d'extradition, ou encore les personnes signalées par l'autorité judiciaire dans le cadre d'une procédure pénale ou pour la notification d'une décision pénale. Elles peuvent également concerner certaines personnes signalées aux fins de retour, de non-admission ou d'interdiction de séjour.
S'agissant de la détermination du périmètre des personnes concernées, la CNIL prend acte de ce qu'un tableau détaillant le régime juridique applicable à chaque signalement, en cours d'élaboration, lui sera transmis.
Par ailleurs, elle rappelle que la mise en œuvre de marqueurs spécifiques ou d'un dispositif équivalent pourra le cas échéant permettre de déterminer précisément les signalements et données relevant de chaque régime juridique, sur la base de critères précis (en ce sens, v. CNIL, SP, 25 juin 2020, avis sur projet de décret, PASP, n° 2020-064, publié).
En troisième lieu, le traitement des données qui concernent les personnes signalées aux fins de contrôles discrets, d'investigation ou spécifiques pour certains motifs serait encadré par les dispositions du titre IV de la loi « informatique et libertés ». En conséquence, le projet de décret prévoit que les droits d'accès, de rectification et d'effacement qui concernent ces données s'exercent auprès de la CNIL, dans les conditions prévues par l'article 118 de la loi « informatique et libertés » (droit d'accès indirect).
En parallèle, les règlements SIS :



- prévoient que les traitements effectués par les autorités et services nationaux compétents sont encadrés soit par les dispositions de la directive « police-justice », soit par celles du RGPD (art. 66 du règlement 2018/1862 et 51 du règlement 2018/1861) ;
- définissent un régime d'exercice des droits propre au SIS qui diffère de celui prévu par les dispositions pertinentes du titre IV (art. 67 du règlement 2018/1862 ; art. 52 et 53 du règlement 2018/1861) ;
- ne prévoient pas l'application d'autres règles de protection des données.



Au regard de ces éléments, la CNIL s'interroge sur l'applicabilité du titre IV de la loi « informatique et libertés » au N-SIS. Elle invite le ministère à engager une réflexion sur la possibilité de ne soumettre le traitement qu'aux titres II et III de cette loi.
En tout état de cause, les droits des personnes devraient être mis en œuvre conformément aux dispositions des règlements SIS, qui ne prévoient pas de droit d'accès indirect. La mise en place, dans tous les cas, d'une procédure d'exercice direct des droits (fût-ce avec des restrictions) et d'un point de contact unique contribuerait, en outre, à l'effectivité des droits des personnes concernées.
Il conviendrait, le cas échéant, d'adapter les dispositions du décret relatives à l'exercice des droits.



B. - Sur le traitement de données biométriques



a) La collecte et l'enregistrement de données biométriques :
S'agissant des conditions d'alimentation du SIS, les règlements européens précités prévoient que les données biométriques sont introduites dans un signalement « si elles sont disponibles » (art. 22 du règlement 2018/1862). Elles ne s'inscrivent pas parmi les catégories de données qui doivent, dans tous les cas, alimenter le SIS.
Au-delà de ce critère de disponibilité :



- la décision d'alimenter un signalement en données biométriques devra être commandée par le principe de nécessité ;
- la transmission de telles données au N-SIS ainsi que leur traitement dans le fichier devront être conformes à la finalité ayant présidé leur collecte.



Conformément au principe de finalité, les données dactyloscopiques destinées aux signalements judiciaires seront issues du fichier automatisé des empreintes digitales (FAED).
L'alimentation des signalements à partir de ce fichier se fera via le numéro d'identifiant d'une personne physique lié à la procédure (IDPP), qui constitue une donnée à caractère personnel.
La CNIL rappelle avoir déjà eu à se prononcer sur un projet de traitement de l'IDPP, en tant qu'identifiant commun au fichier national automatisé des empreintes génétiques (FNAEG) et à d'autres fichiers de police. Dans ce cadre, elle a notamment considéré qu'une telle évolution devrait s'inscrire dans une réflexion approfondie pour identifier précisément l'objectif poursuivi et les conséquences d'une telle modification sur l'ensemble des traitements concernés (v. CNIL, SP, 7 janvier 2021, avis sur projet de décret, FNAEG, n° 2021-009, publié).
La CNIL devra, le cas échéant, être saisie pour avis de la modification des actes réglementaires encadrant les fichiers concernés. A défaut, l'IDPP ne pourra faire l'objet d'un traitement pour permettre l'alimentation du SIS en empreintes digitales.
Par ailleurs, les données dactyloscopiques des signalements émis à des fins de retour, de non-admission et d'interdiction de séjour seront issues de l'application de gestion des dossiers des ressortissants étrangers en France (AGDREF).
L'alimentation de ces signalements se fera via le numéro AGDREF, qui permettra au N-SIS de récupérer les empreintes digitales correspondantes sans que ces dernières ne passent par le FPR. Des travaux sont en cours pour déterminer les évolutions juridiques nécessaires à l'alimentation du N-SIS en empreintes issues d'AGDREF.
b) La consultation du N-SIS à partir de données biométriques :
Les règlements européens susmentionnés autorisent les recherches dans le SIS à partir de données biométriques et génétiques.
S'agissant en particulier des données dactyloscopiques, elles peuvent être utilisées notamment pour :



- confirmer l'identité d'une personne qui a été localisée à la suite d'une recherche alphanumérique effectuée dans le SIS ;
- et identifier une personne, lorsque l'identité de cette dernière ne peut être établie par d'autres moyens (articles 33 du règlement 2018/1861 et 43 du règlement 2018/1862).



Selon les précisions apportées, le N-SIS pourra faire l'objet d'une consultation par l'empreinte dans le cadre, notamment, d'une vérification d'identité, d'une vérification du droit au séjour ou d'une procédure judiciaire.
De manière générale, les comparaisons de données dactyloscopiques peuvent être sujettes à des taux de faux rejets élevés. En outre, dans le cas où ces comparaisons sont opérées dans le but d'identifier une personne « dont l'identité n'a pu être établie par d'autres moyens », la possibilité de fausse correspondance (en principe très faible) ne peut a priori être complètement négligée du fait de l'échelle européenne de la base de comparaison. La CNIL note que ce risque susceptible d'avoir un impact sur les personnes concernées n'est pas pris en compte dans l'analyse d'impact relative à la protection des données (AIPD). Elle invite le ministère à s'assurer qu'il est pris en compte par les services habilités à effectuer des recherches à partir de données dactyloscopiques via le SIS.
S'agissant des modalités de consultation, il s'agira d'interroger le N-SIS à partir des données collectées sur une interface qui serait commune au N-SIS et au FAED. La consultation biométrique du N-SIS sera néanmoins indépendante des flux de données qui concerneraient le FAED, de sorte qu'elle n'impliquera pas d'intégration préalable des empreintes dans le FAED.
Dans la mesure où l'interface précitée constituerait une composante du N-SIS, elle devrait être prise en compte dans l'AIPD afférente.
La CNIL prend acte des dernières précisions apportées selon lesquelles l'AIPD sera modifiée en ce sens.
Enfin, elle prend acte :



- de ce que la consultation par l'empreinte ne passera pas par le FPR, dans la mesure où les dispositions encadrant ce fichier n'autorisent pas le traitement de données biométriques ;
- de ce que la consultation du SIS à partir de photographies n'est, pour l'instant, pas envisagée.



C. - Sur le traitement de données génétiques



Le projet de décret autorise l'enregistrement d'« empreintes génétiques dans les cas prévus au paragraphe 3 de l'article 42 du règlement (UE) 2018/1862 » (pour les seuls signalements concernant les personnes disparues qui doivent être placées sous protection, et uniquement lorsque les photographies, images faciales et données dactyloscopiques ne sont pas disponibles ou ne permettent pas une identification).
Selon les précisions apportées par le ministère, cette modification vise à permettre l'enregistrement, dans le N-SIS, des empreintes génétiques qui seraient introduites par d'autres Etats membres. Il n'est, pour l'instant, pas prévu que les signalements émis par les autorités françaises soient alimentés en données génétiques ni que le N-SIS puisse être consulté à partir de telles données. Si cela devait être envisagé, des évolutions juridiques et techniques seraient nécessaires.
Dans une telle hypothèse, la CNIL devrait être saisie pour avis de la modification des textes réglementaires pertinents.



D. - Sur les durées de conservation et la mise à jour des données



Le projet de décret prévoit :



- des durées de conservation différenciées selon le signalement en cause, qui se calquent sur celles prévues par les règlements SIS ;
- que les signalements sont supprimés dans les conditions prévues par les ces mêmes règlements (conservation nécessaire aux finalités, délais de réexamen, différents motifs de suppression pour chaque catégorie de signalement).



Ces derniers prévoient, en particulier, que l'Etat membre signalant est tenu d'examiner la nécessité de conserver un signalement, avant l'expiration de sa durée de conservation, « au terme d'une évaluation individuelle globale ».
Selon les précisions apportées par le ministère, il revient aux services demandant la création d'un signalement dans le N-SIS de s'assurer de la nécessité et de la proportionnalité de l'inscription et du maintien de ce dernier.
La CNIL souligne qu'il appartiendra à la direction générale de la police nationale (DGPN), en tant que responsable de traitement, de garantir l'exactitude des données ainsi que la nécessité et la proportionnalité de leur traitement.
Elle invite le ministère à prendre toutes les mesures nécessaires à cette fin, en prévoyant par exemple des procédures de communication avec les différents services émetteurs de signalements ainsi qu'une formation des agents concernés.
En l'absence de telles mesures, un défaut de mise à jour des données pourrait avoir des conséquences importantes pour les personnes concernées. Différentes décisions, tels qu'un refus de visa ou d'entrée sur le territoire, par exemple, pourraient être prises au vu d'informations erronées.
Le projet de décret prévoit également que :



- « les données de chaque signalement ne peuvent être conservées une fois expirée la période de conservation prévue par le traitement national d'où elles sont issues » ;
- « la mise à jour ou la suppression des données dans le traitement national d'origine emporte la mise à jour ou la suppression des données correspondantes dans le traitement N-SIS ».



La CNIL prend acte de la mise en production prochaine d'un projet de synchronisation automatique des bases de données nationales alimentant le N-SIS.



E. - Sur les mesures de sécurité



Le ministère précise que l'homologation de sécurité du système est en cours. Cette homologation est rendue obligatoire par le décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics, avant toute mise en exploitation d'un nouveau système ou dans les deux ans de l'entrée en vigueur de ce décret. Compte tenu du rôle pivot du système N-SIS et de ses nombreuses interconnexions, cette homologation apparaît à la CNIL comme un élément essentiel vis-à-vis de la sécurité du système d'information.
De façon très générale, la CNIL observe que la maîtrise du risque sur la confidentialité des données des personnes concernées par les signalements nationaux dépend en grande partie d'éléments qui échappent a priori à la responsabilité du ministère, dans la mesure où ils relèvent du système d'information central Schengen et de ses déclinaisons nationales dans les autres Etats membres.
a) Concernant la sécurité des accès au N-SIS :
Le N-SIS lui-même repose désormais sur une brique technique qui constitue à la fois la base de données des signalements, une suite applicative servant d'interface d'administration, de « connecteurs » assurant les échanges avec les fichiers auxquels N-SIS est interconnecté, ainsi que l'interface avec le système central Schengen. Cette brique technique concentre donc toutes les données et fonctions critiques du système. En particulier, son interface applicative permet de consulter, modifier ou supprimer toutes les données de signalements nationaux, et de consulter l'ensemble des signalements européens.
Bien que son accès soit réservé à un nombre limité d'utilisateurs (agents de maîtrise d'ouvrage et maîtrise d'œuvre NSIS, maîtrise d'ouvrage du bureau SIRENE et certains membres du bureau SIRENE), la sensibilité de l'interface applicative est telle que la CNIL invite le ministère à mettre en place, pour l'ensemble des accédants directs, une authentification multifacteur, en complément des mesures de filtrage d'adresses IP déjà en place.
Le ministère confirme par ailleurs que les opérations de la brique technique N-SIS font l'objet d'une journalisation propre, qui trace également les opérations mensuelles de synchronisation entre les systèmes d'information Schengen national et central. La durée de conservation de ces journaux est fixée à trois ans, ce qui apparaît justifié au regard des finalités du traitement.
b) Concernant le chiffrement des données :
Un chiffrement des flux de données est mis en œuvre entre le N-SIS et les systèmes d'information nationaux dès lors que ceux-ci sortent du périmètre du système d'information du ministère. Concernant les échanges avec le système d'information central Schengen, le ministère précise que les échanges passent par un réseau sécurisé européen, dont la politique de sécurité est déterminée par l'agence eu-LISA. La CNIL considère que ces mesures sont importantes pour assurer la sécurité des flux.
Concernant les données au repos, le ministère n'envisage pas de chiffrement de la base de données propre du N-SIS, considérant que le bénéfice de sécurité ne justifierait pas les inconvénients de cette mesure en termes de coût, de complexité et d'harmonisation européenne des formats de données. Toutefois, compte tenu de la concentration de données biométriques au sein de la base de données, la CNIL considère que le chiffrement des données au repos et leur sauvegarde, conformément à ses recommandations et à celles de l'ANSSI en la matière, constitue une mesure appropriée.

La présidente,


M.-L. Denis