Le Décret no 2024-477 du 27 mai 2024 a pour objet d’adapter le traitement automatisé de données à caractère personnel dénommé « PARAFE » au système européen d’entrée/de sortie dont la mise en œuvre est autorisée par les règlements (UE) 2016/399 et 2017/2226 du Parlement européen et du Conseil. Le Décret permet l’utilisation de sas PARAFE par les ressortissants de pays tiers qui se sont préalablement pré-enregistrés dans le système européen d’entrée-sortie (« entry-exit system » ou « EES »). Il ajoute parmi les accédants au traitement PARAFE les agents du programme Frontex. Il vise également à élargir l’utilisation du dispositif PARAFE à certaines collectivités d’outre-mer. Le texte entre en vigueur le lendemain de sa publication et la condition posée à l’article 1er est opposable aux intéressés à compter de l’entrée en service du système européen d’entrée/de sortie créé par le règlement (UE) 2017/2226 du 30 novembre 2017. Traitement de Données Personnelles PARAFEIntroduction au Système PARAFELe système PARAFE (Passage Automatisé Rapide des Frontières Extérieures) est un dispositif mis en place pour faciliter le passage des frontières pour les voyageurs. Ce système utilise des données biométriques pour vérifier l’identité des individus et accélérer les contrôles aux frontières. Types de Données CollectéesDonnées BiométriquesLe système PARAFE collecte principalement des données biométriques telles que les empreintes digitales et la reconnaissance faciale. Ces données sont utilisées pour identifier de manière unique chaque voyageur. Données PersonnellesOutre les données biométriques, PARAFE collecte également des informations personnelles comme le nom, le prénom, la date de naissance, et les informations contenues dans le passeport. Finalités du Traitement des DonnéesSécurité et Contrôle aux FrontièresLe traitement des données par PARAFE a pour objectif principal d’assurer la sécurité aux frontières. En vérifiant l’identité des voyageurs de manière rapide et efficace, le système contribue à prévenir les entrées non autorisées et à lutter contre la fraude. Facilitation du Passage des VoyageursUn autre objectif du système PARAFE est de faciliter le passage des voyageurs en réduisant le temps d’attente aux contrôles de frontière. Les données biométriques permettent une vérification rapide et automatisée, améliorant ainsi l’expérience des voyageurs. Durée de Conservation des DonnéesLes données collectées par le système PARAFE sont conservées pendant une période limitée, conformément aux réglementations en vigueur. La durée de conservation peut varier en fonction de la nature des données et des exigences légales. Droits des Personnes ConcernéesAccès et RectificationLes individus ont le droit d’accéder à leurs données personnelles collectées par le système PARAFE. Ils peuvent également demander la rectification de données inexactes ou incomplètes. Opposition et SuppressionLes personnes concernées peuvent, sous certaines conditions, s’opposer au traitement de leurs données personnelles ou demander leur suppression. Ces demandes doivent être adressées aux autorités responsables du système PARAFE. Sécurité des DonnéesMesures de ProtectionLe système PARAFE met en œuvre diverses mesures de sécurité pour protéger les données personnelles et biométriques des voyageurs. Ces mesures incluent le chiffrement des données, des contrôles d’accès stricts et des audits réguliers pour garantir la conformité aux normes de sécurité. Responsabilité des AutoritésLes autorités responsables du système PARAFE sont tenues de garantir la protection des données personnelles et de respecter les réglementations en matière de protection des données. Elles doivent également informer les voyageurs de leurs droits et des modalités de traitement de leurs données. Textes associés au Traitement ParafeLe traité sur le fonctionnement de l’Union européenne, notamment son article 77 ; Les accords relatifs à la suppression graduelle des contrôles aux frontières communes signés par certains des Etats membres de l’Union européenne à Schengen le 14 juin 1985 et le 19 juin 1990, ainsi que les accords connexes et les règles adoptées sur la base desdits accords, intégrés dans le cadre de l’Union européenne, notamment les articles 5, 6 et 92 ; Le règlement (CE) 2016/399 du Parlement européen et du Conseil du 9 mars 2016 modifié établissant un code communautaire relatif au régime de franchissement des frontières par les personnes (code frontières Schengen), notamment ses articles 6, 8 et 11 ; Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE ; Le règlement (UE) 2017/2225 du Parlement européen et du Conseil du 30 novembre 2017 modifiant le règlement (UE) 2016/399 en ce qui concerne l’utilisation du système d’entrée/de sortie ; Le règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des Etats membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) 767/2008 et (UE) 1077/2011 ; Le règlement (UE) 2019/1896 du Parlement européen et du conseil du 13 novembre 2019 relatif au corps européen de garde-frontières et de garde-côtes et abrogeant les règlements (UE) 1052/2013 et (UE) 2016/1624 ; Le code de l’entrée et du séjour des étrangers et du droit d’asile, notamment ses articles L. 233-1, L. 233-2, L. 233-5, L. 311-1 et R. 221-1 à R. 221-2 ; Le code de la sécurité intérieure, notamment ses articles R. 232-6 à R. 232-11-2 ; La loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 32 ; Le régime juridique du traitement ParafeLe traitement PARAFE est encadré par les articles R. 232-6 à R. 232-11-2 du code de la sécurité intérieure (CSI). Il repose sur le déploiement de sas destinés à améliorer et faciliter les contrôles de police aux frontières extérieures. En pratique, les voyageurs aériens, maritimes et ferroviaires éligibles au dispositif peuvent volontairement emprunter un sas PARAFE s’ils disposent d’un passeport comportant des données biométriques. Le contrôle aux frontières est alors réalisé au moyen d’une authentification biométrique du voyageur, via le traitement de l’image numérisée du visage. Le traitement a été récemment modifié pour, en particulier, étendre le périmètre des voyageurs éligibles (v. CNIL, SP, 11 mai 2023, avis sur projet de décret, PARAFE, n° 2023-045, publié). Un dispositif complémentaire de facilitation des contrôles aux frontières sera prochainement déployé. Il s’agit des systèmes en libre-service (kiosques ou dispositifs mobiles) pour le pré-enregistrement de ses données dans le système européen d’entrée / de sortie (« entry-exit system » ou « EES »). A cet égard :
L’utilisation de ces systèmes implique la mise en œuvre d’un traitement de données à caractère personnel, sur lequel la CNIL s’est prononcée (CNIL, SP, 9 juin 2022, avis sur projet de décret, dispositif de pré-enregistrement, n° 2022-066, publié). Pour assurer la transparence des traitements et l’effectivité des droits, les personnes devront être informées :
En particulier :
Lors de l’instruction de la saisine, le projet de décret a été modifié pour étendre le périmètre des personnes qui, pour pouvoir utiliser PARAFE, devront préalablement passer par un dispositif de pré-enregistrement. Il s’agira :
Selon les précisions apportées, il est prévu que le dispositif de pré-enregistrement, qui concerne actuellement les seuls ressortissants de pays tiers éligibles à l’EES (en vue de leur enregistrement dans ce dernier système), soit étendu aux ressortissants de pays tiers disposant d’un titre de séjour ou d’un visa long séjour délivré par la France. Saisie pour avis, la CNIL souligne qu’il conviendra :
Sur l’articulation des traitements PARAFE, « dispositif de pré-enregistrement » et EES a) L’architecture de PARAFE et du dispositif de pré-enregistrement Selon les précisions apportées, les traitements « dispositif de pré-enregistrement » et PARAFE reposeront sur le déploiement d’un central commun aux frontières (CCAF), qui permettra :
Il conviendra de garantir la possibilité de distinguer les données et opérations relevant de PARAFE d’une part, et du dispositif de pré-enregistrement d’autre part. Cela permettra, en particulier, de garantir l’effectivité des droits des personnes concernées et d’assurer le contrôle et la sécurité de chacun des traitements indépendamment l’un de l’autre. b) Les vérifications effectuées au moyen de ces traitements Lorsqu’une personne utilise le dispositif de pré-enregistrement puis PARAFE, la consultation des bases de données pour les vérifications aux frontières est effectuée à deux reprises, au niveau de chaque dispositif. c) La création de fiches dans l’EES à partir de PARAFE Les sas PARAFE permettront la création dans l’EES de fiches d’entrée et de sortie, en communiquant à ce dernier système des informations relatives à l’entrée et à la sortie (à ce propos, v. not. les art. 14, 16 et 17 du règlement (UE) 2017/2226). Dans cette perspective, le décret autorise le traitement, dans PARAFE, des informations relatives à la date et l’heure de l’entrée et de la sortie, au point de passage frontalier d’entrée et de sortie, et à l’autorité qui a autorisé l’entrée. Selon les précisions apportées, ces données seront collectées pour les seuls voyageurs de nationalité éligible à l’EES (identifiée à partir de la bande MRZ du document de voyage). Il conviendra, également, de prendre en compte le pré-enregistrement préalable de la personne dans l’EES. La prise en compte de ce critère permettrait de prévenir la collecte, non nécessaire, de données relatives aux personnes de nationalité couverte par l’EES mais non éligibles à ce dernier dispositif (ressortissants de pays tiers bénéficiant d’un titre de séjour, par exemple). Sur les mises en relation avec d’autres traitements a) Le périmètre des mises en relation projetées PARAFE est actuellement mis en relation avec le fichier des personnes recherchées (FPR), le système informatique national du système d’information Schengen (N-SIS) et le fichier des documents de voyage volés et perdus d’Interpol (SLTD). Ces mises en relation s’inscrivent dans le cadre des vérifications aux frontières (v. supra, §§17-26). Le ministère prévoit que PARAFE sera, dans cette même perspective, interconnecté avec le traitement TDAWN d’Interpol. Au regard de l’architecture du traitement et des flux de données projetés (v. supra, §§17-31), la CNIL estime que PARAFE sera également mis en relation avec les traitements EES et « dispositif de pré-enregistrement ». Les AIPD de ces traitements devront être complétées en ce sens, ce à quoi le ministère s’engage. b) Les transferts de données qu’impliquent certaines mises en relation Les mises en relation avec les traitements SLTD et TDAWN d’Interpol impliquent un transfert de données vers une organisation internationale au sens du chapitre V du RGPD. En effet :
De tels transferts ne pourront être opérés que sous réserve du respect des conditions énoncées aux articles 45 et suivants du RGPD. Sur les mesures de sécurité L’extension du dispositif aux titres d’identité comportant des données biométriques n’appelle pas de mesures de sécurité spécifiques mais appelle à accroître la vigilance à porter sur les performances biométriques des systèmes déployés, en raison de l’augmentation prévisible du nombre de personnes concernées par le traitement. La CNIL incite le ministère à suivre la performance des dispositifs biométriques dans le temps et pour chaque déploiement au regard des critères détaillés dans l’une de ses délibérations précédentes (CNIL, SP, 28 janvier 2016, avis sur projet de décret, PARAFE, n° 2016-012, publié). Les nouveaux accédants prévus par le décret seront soumis à la même politique d’authentification et d’habilitation spécifique que les accédants actuels, permettant un niveau de sécurité approprié en ce qui concerne le contrôle d’accès logique. L’audit de sécurité, initialement prévu pour arriver à son terme avant fin 2023 dans le cadre de l’homologation SSI, a débuté mais n’est pas terminé. La CNIL encourage le ministère à déployer les efforts nécessaires à l’aboutissement rapide de cet audit de sécurité, en particulier en raison de la mutualisation de certains dispositifs, tels que le CCAF, avec d’autres traitements de données, qui peut être source d’accroissement des risques. Sur l’analyse de risques La CNIL considère que les risques issus de la nouvelle architecture basée sur CCAF devraient faire partie de l’analyse. Aussi, elle considère que les risques liés à l’indisponibilité des données devraient être évalués et positionnés dans la cartographie, en cohérence avec les échelles de gravité et de vraisemblance, en raison de leur impact sur la vie privée des personnes. |
S’abonner
Connexion
0 Commentaires
Le plus ancien