InfoMIE.net
Informations sur les Mineurs Isolés Etrangers

Accueil > Documentation > Avis et recommandations > Nationaux > Commission nationale de l’informatique et des libertés (CNIL) > Délibération n° 2018-351 du 27 novembre 2018 portant avis sur un projet de (...)

Délibération n° 2018-351 du 27 novembre 2018 portant avis sur un projet de décret modifiant les articles R. 221-11 et R. 221-12 du code de l’action sociale et des familles relatifs à l’évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et autorisant la création d’un traitement de données à caractère personnel relatif à ces personnes (demande d’avis n° 18021240) NOR : CNIX1901796X

Publié le jeudi 31 janvier 2019 , mis à jour le jeudi 31 janvier 2019

Source : Legifrance

Date : JORF n°0026 du 31 janvier 2019 texte n° 107

La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet de décret modifiant les articles R. 221-11 et R. 221-12 du code de l’action sociale et des familles relatifs à l’évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et autorisant la création d’un traitement de données à caractère personnel relatif à ces personnes ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision cadre 2008/977/JAI du Conseil ;
Vu le code civil, notamment ses articles 375, 375-5 et 388 ;
Vu le code de l’action sociale et des familles, notamment ses articles R. 221-11 et R. 221- 12 ;
Vu le code de l’entrée et du séjour des étrangers et du droit d’asile ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 27 ;
Vu la loi n° 2018-778 du 10 septembre 2018 pour une immigration maîtrisée, un droit d’asile effectif et une intégration réussie, notamment son article 51 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2018-048 du 8 février 2018 portant avis sur un projet de loi pour une immigration maîtrisée et un droit d’asile effectif ;

Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Emet l’avis suivant :

La commission a été saisie par le ministre de l’intérieur d’une demande d’avis portant sur un projet de décret modifiant les articles R. 221-11 et R. 221-12 du code de l’action sociale et des familles (CASF) relatifs à l’évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et autorisant la création d’un traitement de données à caractère personnel relatif à ces personnes.

La commission prend acte que le projet qui lui est transmis vise à répondre à certaines difficultés rencontrées par les conseils départementaux dans l’évaluation des mineurs non accompagnés (MNA) dont le nombre a très fortement augmenté dans la période récente.

A ce titre, elle relève tout d’abord que ce projet de décret modifie la procédure d’évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille telle que prévue par les articles R. 221- 11 et R. 221-12 du CASF afin d’apporter le concours de l’Etat à l’identification des mineurs.

La commission relève que ce projet vise également à préciser les conditions de mise en œuvre du traitement automatisé de données à caractère personnel mentionné à l’article 51 de la loi n° 2018-778 du 10 septembre 2018 susvisée, qui prévoit qu’« afin de mieux garantir la protection de l’enfance et de lutter contre l’entrée et le séjour irréguliers des étrangers en France, les empreintes digitales ainsi qu’une photographie des ressortissants étrangers se déclarant mineurs privés temporairement ou définitivement de la protection de leur famille peuvent être relevées, mémorisées et faire l’objet d’un traitement automatisé dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (…) ». A cet égard, la commission rappelle que si elle a été saisie du projet de loi pour une immigration maîtrisée et un droit d’asile effectif, celui-ci ne comportait pas ledit article introduit postérieurement à son avis en date du 8 février 2018, par voie d’amendement.

Dans ce contexte, est créé un traitement automatisé de données à caractère personnel dénommé « appui à l’évaluation de la minorité (AEM) », qui a pour finalité d’identifier, à partir de leurs empreintes digitales, les personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille, d’accélérer et fiabiliser l’évaluation de ces personnes et de prévenir le détournement du dispositif de protection de l’enfance par des personnes majeures ou qui se présentent successivement dans des départements différents.

La commission considère que le traitement « AEM » qui a pour finalités la protection de l’enfance, en permettant l’identification des personnes se déclarant mineures et la lutte contre l’entrée et le séjour irréguliers des étrangers en France, relève du champ d’application du règlement (UE) 2016/679 du 27 avril 2016 susvisé (ci-après « RGPD »). Le traitement de données à caractère personnel, qui doit être regardé, compte tenu de l’économie générale du dispositif décrite ci-après, comme mis en œuvre pour le compte de l’Etat agissant dans l’exercice de ses prérogatives de puissance publique, porte sur des données biométriques nécessaires à l’identification des personnes. Il doit dès lors faire l’objet d’un décret en Conseil d’Etat, pris après avis motivé et publié de la commission conformément aux dispositions de l’article 27 de la loi du 6 janvier 1978 modifiée.

La commission relève par ailleurs que le projet de décret qui lui est soumis vise à modifier les dispositions du CESEDA relatives aux traitements concernant l’application de gestion des dossiers des ressortissants étrangers en France (« AGDREF 2 ») et VISABIO sur lesquels elle s’est déjà prononcée. Elle observe que cette modification doit permettre, d’une part, l’interrogation de ces traitements dans le cadre de l’évaluation de la situation de la personne se présentant comme mineure et, d’autre part, de rendre destinataires les agents chargés de la protection de l’enfance dans les conseils départementaux des données issues de l’interrogation de ces traitements.

Sur les finalités du traitement « AEM » et les modifications apportées à « AGDREF 2 » et VISABIO :

La commission relève que le traitement projeté, qui s’inscrit dans une politique plus générale de prise en compte de la situation des « MNA », doit permettre une meilleure efficacité du dispositif d’aide sociale à l’enfance (ASE) tout en permettant de remédier en partie aux difficultés rencontrées par les départements dans la prise en charge de ces mineurs. A ce titre, elle a été informée que ce traitement sera tout d’abord mis en œuvre au sein d’un nombre de sites pilotes limités, et ce préalablement à sa généralisation courant mars 2019.

L’article 2 du projet de décret prévoit ainsi que le traitement « AEM » a pour finalités « de mieux garantir la protection de l’enfance et de lutter contre l’entrée et le séjour irréguliers des étrangers en France, et, à cet effet :

- 1° D’identifier, à partir de leurs empreintes digitales, les personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et ainsi lutter contre la fraude documentaire et la fraude à l’identité ;
- 2° De permettre une meilleure coordination des services de l’Etat et des services compétents en matière d’accueil et d’évaluation de la situation des personnes mentionnées au 1° ;
- 3° D’accélérer et de rendre plus fiable cette évaluation ;
- 4° De prévenir le détournement du dispositif de protection de l’enfance par des personnes majeures ou des personnes se présentant successivement dans plusieurs départements ».

La commission estime que les finalités du traitement sont déterminées, explicites et légitimes, conformément aux dispositions de l’article 5-1-c du RGPD.

La commission relève par ailleurs que le traitement projeté vise à permettre l’identification de la personne présentée comme mineure. A cette fin, l’article 3 du projet de décret modifie les finalités des traitements « AGDREF 2 » et VISABIO afin d’ajouter la détermination et la vérification de l’identité d’un étranger qui se déclare mineur et privé temporairement ou définitivement de la protection de sa famille au titre des finalités actuellement prévues par le CESEDA et ainsi permettre l’interrogation de ces deux traitements dans le cadre du dispositif « AEM ».

Elle rappelle que le traitement « AGDREF 2 » a pour finalité principale de « garantir le droit au séjour des ressortissants étrangers en situation régulière et de lutter contre l’entrée et le séjour irréguliers en France des ressortissants étrangers ». Ce traitement constitue ainsi le fichier principal de gestion administrative des étrangers en France et permet notamment la gestion, par les préfectures, des dossiers de ressortissants étrangers, la fabrication des titres de séjour et la gestion des mesures d’éloignement.

La commission rappelle que le traitement VISABIO a quant à lui notamment pour finalité de « mieux garantir le droit au séjour des personnes en situation régulière et de lutter contre l’entrée et le séjour irréguliers des étrangers en France, en prévenant les fraudes documentaires ».

Il résulte notamment des finalités poursuivies par ces deux traitements que ces derniers sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques et qu’ils doivent dès lors faire l’objet d’une analyse d’impact sur la protection des données à caractère personnel (AIPD). Les traitements présentant un risque élevé ayant fait l’objet d’une formalité préalable avant le 25 mai 2018 ne sont toutefois pas immédiatement soumis à la réalisation de cette analyse, à moins que les conditions de mise en œuvre de ces traitements aient fait postérieurement l’objet d’une ou plusieurs modifications substantielles.

Sont ainsi concernés les traitements « AGDREF 2 » et VISABIO, qui sont, par nature, susceptibles d’engendrer des risques élevés pour les personnes concernées. Si une AIPD a bien été transmise à la commission concernant la modification des dispositions relatives au traitement « AGDREF 2 », elle estime que les modifications examinées du traitement VISABIO sont substantielles et qu’en conséquence les évolutions qui lui sont soumises nécessitent également la réalisation d’une analyse d’impact. Elle demande à ce que cette AIPD soit réalisée et lui soit, le cas échéant, transmise avant la mise en œuvre effective du traitement « AEM ».

Sur la procédure d’identification de la personne se présentant comme mineure étrangère privée temporairement ou définitivement de la protection de sa famille :
A titre liminaire, la commission relève que le président du conseil départemental n’a pas l’obligation de solliciter le concours de l’Etat dans la réalisation de la procédure d’évaluation de la minorité. Ainsi, le mineur concerné ne serait pas systématiquement reçu en préfecture aux fins de vérification de son identité dans les conditions décrites ci-après.

Elle rappelle par ailleurs que dans l’hypothèse où une personne se présentant comme mineure refuserait de se soumettre à la collecte de ses empreintes digitales, l’information relative à ce refus sera transmise par la préfecture au président du conseil départemental. A cet égard, la commission souligne qu’un tel refus ne peut légalement et à lui seul, sans examen circonstancié de la situation, emporter des conséquences négatives pour la personne concernée.

En premier lieu, la commission prend acte de ce que la vérification de l’identité de la personne se présentant comme mineure se traduit dans un premier temps par la collecte de ses empreintes digitales, sans pour autant que celles-ci fassent l’objet d’un enregistrement, aux fins d’interrogation des bases « AGDREF 2 » et VISABIO.
Dans l’hypothèse d’une concordance, c’est-à-dire si la personne est déjà connue d’« AGDREF 2 » et/ou de VISABIO, et qu’elle y est enregistrée comme personne majeure étrangère, le préfet informe le conseil départemental de l’enregistrement de la personne concernée, ainsi que du motif d’enregistrement, dans ces traitements. A cet égard, la commission prend acte que les données ainsi transmises par le préfet au président du conseil départemental, issues des traitements « AGDREF 2 » et VISABIO, sont limitées à l’état civil de la personne (nom, prénom, date et lieu de naissance) et au motif d’enregistrement dans ce(s) traitement(s).

Elle rappelle qu’une attention particulière devra être portée aux conséquences d’une concordance avec le traitement VISABIO, compte tenu des enjeux spécifiques de fiabilité de certaines des données qui y sont enregistrées et notamment celles des empreintes digitales des mineurs ou des documents d’état civil.

Si la personne n’est pas connue d’« AGDREF 2 » en tant que personne s’étant déclarée mineure mais ayant déjà été évaluée majeure, l’agent de préfecture procède à la collecte des données d’état civil de la personne, à son enrôlement biométrique (collecte de ses empreintes digitales) et à l’enregistrement de l’image numérisée de son visage, aux fins de création d’une procédure « AEM ». A l’issue de la collecte de ces données, le traitement « AEM » permet de vérifier que la personne n’est pas déjà enregistrée en base, au moyen des données précédemment collectées. Si le système détecte une identité semblant correspondre à ces données, les données relatives à celle-ci sont affichées à l’agent de préfecture, ce dernier devant dès lors déterminer si la personne correspond effectivement à l’identité connue d’« AEM ». Il est possible à ce stade qu’une évaluation soit déjà en cours dans un autre département, ou que la personne ait déjà été déclarée mineure.

Dans ces deux hypothèses, l’information est transmise par la préfecture au président du conseil départemental à qui il reviendra de prendre l’attache du président du conseil départemental en charge de l’évaluation initiale. Si la personne a été évaluée majeure, cette information pourra être prise en compte par le président du conseil départemental pour décider d’interrompre le cas échéant l’évaluation. Si l’agent considère que la personne ne correspond pas à cette identité, la procédure d’enregistrement se poursuit normalement et l’agent de préfecture poursuit la création de la procédure « AEM ». Les données ainsi recueillies, à l’exception de l’image numérisée des empreintes digitales, sont éditées sous format PDF et transmises par voie dématérialisée et chiffrée au conseil départemental concerné, pour permettre la réalisation de la procédure d’évaluation de la minorité, telle que prévue par les articles R. 221-11 et R. 221-12 du CASF.

La commission rappelle que, conformément aux dispositions de l’article 51 de la loi n° 2018-778 du 10 septembre 2018 susvisée, aucun dispositif de reconnaissance faciale ne pourra être mis en œuvre à partir de la photographie collectée.

Elle relève que le projet de décret prévoit explicitement que le traitement « AEM » ne comporte aucun dispositif de recherche permettant l’identification à partir de l’image numérisée du visage. A cet égard, le ministère a précisé que l’identification de la personne concernée aux fins notamment de comparaison avec les bases précitées sera exclusivement subordonnée à une intervention humaine de l’agent de préfecture ou du conseil départemental chargé de s’assurer de la correspondance entre l’image numérisée du visage et l’image de la personne présente. Elle prend également acte de ce que les images numérisées des visages ne seront pas utilisées pour des comparaisons biométriques, les seules vérifications réalisées à partir de ces images étant des vérifications visuelles réalisées par les agents.

Sur les données collectées :

Sur les données enregistrées dans le traitement « AEM »

L’article 2 du projet de décret prévoit, d’une part, que peuvent faire l’objet d’un enregistrement dans le traitement projeté : les images numérisées du visage et des empreintes digitales de deux doigts des personnes qui se déclarent mineures et privées temporairement ou définitivement de la protection de leur famille.
Cet article prévoit, d’autre part, que « peuvent également être enregistrées dans le traitement, des données et informations relatives aux personnes qui se déclarent mineures », dans la mesure où de telles données sont disponibles.

Il s’agit des données relatives à l’état civil, la nationalité, la commune de rattachement, aux coordonnées téléphoniques et électroniques, aux langues parlées, aux données relatives à la filiation, aux références des documents d’identité et de voyage détenus et du visa d’entrée délivré, à la date et aux conditions d’entrée en France ainsi qu’au conseil départemental chargé de l’évaluation. A l’issue de l’évaluation de la minorité de la personne concernée, des données peuvent être transmises par le conseil départemental à la préfecture. Elles portent uniquement sur le numéro de procédure du service de l’aide sociale à l’enfance, la date à laquelle l’évaluation de la situation de la personne a pris fin et, le cas échéant, la date de la mesure d’assistance éducative prise par le juge des enfants.

La commission relève que des indications sur les résultats de l’évaluation au regard de la minorité et de l’isolement de la personne concernée peuvent également être transmises en retour par le conseil départemental aux préfectures, à l’issue de l’évaluation. A cet égard, elle prend acte de ce que ces données sont uniquement relatives au fait que la personne est majeure ou mineure, et isolée ou non, si elle a été reconnue mineure, sur le territoire français. Ces données sont par ailleurs enregistrées dans le traitement sous forme de valeurs à sélectionner dans une liste de « type fermé ». Dans ces conditions, l’enregistrement de données relatives au résultat de l’évaluation de la minorité de la personne concernée n’appelle pas d’observation de la part de la commission.

Enfin, des données peuvent être enregistrées par l’agent de préfecture responsable du traitement, notamment : le numéro de procédure attribué par « AEM », ainsi que la date de notification au préfet de département et, à Paris, au préfet de police de la date à laquelle l’évaluation de la personne a pris fin. Cette dernière catégorie de données n’appelle pas d’observations de la part de la commission.

La commission considère que les catégories de données ainsi collectées dans le traitement « AEM » sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l’article 5-1-c du RGPD.

Sur les données enregistrées dans « AGDREF 2 »

La commission rappelle qu’en vertu du dernier alinéa de l’article R. 221-11 du CASF tel que modifié par le projet de décret, le président du conseil départemental notifie, en principe au terme de l’évaluation, la date et le sens de celle-ci.

L’article R. 221-15-5 du CESEDA issu de l’article 2 du projet de décret prévoit alors que lorsqu’une personne se déclarant mineure de nationalité étrangère est évaluée majeure, le traitement « AEM » transmet systématiquement les données collectées au traitement « AGDREF 2 ». Par voie de conséquence, l’article 4 du projet de décret modifie la section 1 de l’annexe 6-4 du CESEDA afin de prévoir que des données relatives aux ressortissants étrangers se déclarant mineurs et privés temporairement ou définitivement de la protection de leur famille, et évalués majeurs par le président du conseil départemental, peuvent faire l’objet d’un enregistrement dans le traitement « AGDREF 2 ».

A ce titre, sont collectées les données relatives à la commune de rattachement de l’intéressé, au conseil départemental chargé de l’évaluation, la date et les conditions d’entrée en France, le numéro de procédure attribué par le traitement « AEM » et le numéro de procédure du service de l’aide sociale à l’enfance, la date de fin de l’évaluation par le président du conseil départemental, le résultat de cette décision, la date de la mesure d’assistance éducative ainsi que la date de la notification au préfet de département et, à Paris, au préfet de police de la fin de l’évaluation par le président du conseil départemental ou de la saisine par le président de l’autorité judiciaire.

Le ministère a précisé qu’au titre du résultat de la décision d’évaluation de la minorité par le président du conseil départemental, est uniquement enregistrée la mention de majorité de la personne.

Au regard de ces précisions, et compte tenu de la finalité de lutte contre l’entrée et le séjour irréguliers des étrangers en France expressément assignée par la loi au traitement « AEM », la commission estime que les données enregistrées dans le traitement « AGDREF 2 » peuvent être regardées comme adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l’article 5-1-c du RGPD.

Enfin, la commission prend acte de ce qu’aucune donnée relative à la personne concernée n’est enregistrée dans le traitement VISABIO.

Sur les destinataires :

En premier lieu, le projet de décret prévoit que peuvent accéder, à raison de leurs attributions et dans la limite du besoin d’en connaître, à tout ou partie des données à caractère personnel et informations mentionnées à l’article R. 221-15-2 les agents des préfectures et des sous-préfectures chargés de la mise en œuvre de la réglementation concernant les ressortissants étrangers, individuellement désignés et spécialement habilités par le préfet et, à Paris, par le préfet de police, ce qui n’appelle pas d’observation particulière.

Il est également prévu que puissent accéder, dans les mêmes conditions, à tout ou partie des données à caractère personnel et informations mentionnées à l’article R. 221-15-2, les agents relevant des services centraux du ministère de l’intérieur chargés de l’immigration et du séjour, des systèmes d’information des étrangers en France et de l’administration du traitement, individuellement désignés et spécialement habilités par le ministre de l’intérieur.

La commission prend acte des précisions apportées par le ministère selon lesquelles, d’une part, les agents ainsi visés sont ceux de la direction générale des étrangers en France (DGEF) et de la direction des systèmes d’information et de communication (DSIC) et que, d’autre part, ces agents ont uniquement accès aux données enregistrées aux fins d’administration du traitement. Si l’accès de ces personnes aux données du traitement, pour le seul objet précité, n’appelle pas d’observation particulière de la commission, elle prend acte de l’engagement du ministère de modifier le projet de décret pour préciser les attributions des agents concernés, à savoir qu’ils sont en charge de l’administration du traitement, des applications relatives aux étrangers en France et des systèmes d’information.
Dans ces conditions, la commission estime que l’accès aux données du traitement des personnes visées par le projet de décret est légitime.

En deuxième lieu, le projet de décret prévoit qu’à des fins exclusives d’établissement de statistiques, les agents chargés des études statistiques affectés à la direction générale des étrangers en France peuvent accéder aux informations anonymisées obtenues à partir du traitement « AEM ». Dans la mesure où le ministère met en œuvre des mesures suffisantes afin de permettre de garantir l’anonymisation des données enregistrées dans le traitement à des fins uniquement statistiques, la commission considère que l’accès, dans ces conditions, par ces personnes aux données du traitement projeté n’appelle pas d’observation particulière.

En troisième lieu, le projet de décret prévoit que le procureur de la République, les personnes individuellement désignées et spécialement habilitées par lui, ainsi que les agents en charge de la protection de l’enfance du conseil départemental compétent, peuvent être destinataires des données enregistrées dans le traitement, à l’exception de l’image numérisée des empreintes digitales.

La commission prend acte des précisions apportées par le ministère selon lesquelles rendre le procureur de la République destinataire des données enregistrées dans le traitement a notamment vocation à permettre la transmission de ces données dans l’hypothèse où il solliciterait des informations complémentaires dans le cadre de sa saisine, conformément aux dispositions du code civil et du CASF, sans que l’image numérisée des empreintes digitales puisse lui être transmise.

En quatrième lieu, l’article 3 du projet de décret prévoit que peuvent être destinataires des données enregistrées dans les traitements « AGDREF 2 » et VISABIO, pour les besoins exclusifs de l’évaluation de la minorité de la personne se présentant comme mineur non accompagné, les agents chargés de la mise en œuvre de la protection de l’enfance individuellement désignés et spécialement habilités par le président du conseil départemental.

La commission prend acte de ce que cette disposition vise uniquement à permettre aux agents ainsi visés d’avoir connaissance des informations communiquées par la préfecture dans l’hypothèse d’une concordance entre les empreintes digitales de la personne et celles enregistrées dans les traitements « AGDREF 2 » et VISABIO, soit les données d’état civil (nom, prénom, date et lieu de naissance) ainsi que le motif d’enregistrement.

Au regard de ces précisions, elle estime que la transmission de données issues de ces traitements aux agents chargés de la mise en œuvre de la protection de l’enfance pour les besoins de l’évaluation de la minorité est légitime compte tenu des finalités poursuivies par le traitement projeté.

Enfin, l’article R. 611-4-2° du CESEDA prévoit l’accès au traitement « AGDREF 2 » des « agents chargés de l’application de la réglementation des étrangers, ainsi que de celle relative à l’accès à la nationalité française, dans les préfectures et les sous-préfectures, individuellement désignés et spécialement habilités par le préfet et, à Paris, par le préfet de police ». Ces mêmes agents peuvent par ailleurs être destinataires des données du traitement VISABIO, pour « l’application de la réglementation relative à la délivrance des titres de séjour, au traitement des demandes d’asile et à la préparation et à la mise en œuvre des mesures d’éloignement », conformément à l’article R. 611-12-2° du CESEDA.

Sans remettre en cause les besoins opérationnels pouvant conduire à autoriser l’accès de ces agents au traitement « AGDREF 2 » et la communication d’informations enregistrées dans VISABIO pour les finalités précitées, la commission estime que l’interrogation de ces deux bases par les agents de préfecture dans le cadre du dispositif « AEM » est de nature à étendre les cas dans lesquels ces agents peuvent accéder ou avoir connaissance des données enregistrées dans les traitements, au-delà de ce qui est actuellement prévu par les articles R. 611-4-2° et R. 611-12-2° du CESEDA. Dès lors, elle considère que les textes précités devraient être modifiés afin de prévoir ces extensions. A cet égard, elle prend acte de l’engagement du ministère de modifier le projet de décret en ce sens.

Sur la durée de conservation des données :

L’article 2 du projet de décret prévoit que les données sont effacées du traitement mentionné à l’article R. 221-15-1 au terme d’un délai d’un an à compter de la notification au préfet de département et, à Paris, au préfet de police de la date à laquelle l’évaluation de la personne a pris fin.

La commission prend acte des précisions apportées par le ministère selon lesquelles une telle durée doit permettre de s’assurer du caractère définitif de la situation des personnes évaluées. Plus précisément, cette durée a vocation à couvrir le placement définitif à l’aide sociale à l’enfance lorsqu’une mesure éducative est prononcée par le juge des enfants ainsi que la stabilisation de la situation administrative du mineur. La commission prend acte de ce que la durée de conservation retenue est identique, que la personne soit reconnue mineure ou majeure à l’issue de la procédure d’évaluation.

Le projet de décret prévoit par ailleurs que les données n’ayant fait l’objet d’aucune mise à jour dans un délai de dix-huit mois à compter de leur enregistrement sont effacées au terme de ce délai. La commission prend acte qu’est ici visée l’hypothèse dans laquelle le conseil départemental ne transmettrait pas les résultats de l’évaluation de la personne à la préfecture. A ce titre, elle estime qu’une demande de rectification formulée par la personne concernée ne peut constituer une mise à jour qui aurait pour conséquence de rallonger la durée de conservation des données enregistrées dans le traitement. La commission prend acte de l’engagement du ministère de modifier le projet de décret afin de limiter la conservation des données durant dix-huit mois en cas d’absence de mise à jour au seul cas d’une absence de transmission des données par le président du conseil départemental.

Enfin, en ce qui concerne les informations enregistrées dans le traitement « AGDREF 2 », l’article 3 du projet de décret précise que « les données relatives aux personnes faisant l’objet d’une mesure d’assistance éducative, prononcée par le juge des enfants saisi par l’intéressé sont effacées dès la notification au préfet de département et, à Paris, au préfet de police de cette mesure d’assistance éducative ».

La commission souligne l’importance de cette obligation d’effacement en cas de reconnaissance ultérieure de minorité d’une personne initialement évaluée majeure.

Elle relève toutefois, d’une part, que conformément à l’article 1191 du code de procédure civile, les décisions du juge des enfants sont susceptibles de faire l’objet d’un appel, et qu’ainsi la situation sera susceptible d’être réévaluée ultérieurement.
Elle souligne, d’autre part, que l’article précité n’a pas pour effet d’inclure l’ensemble des hypothèses, qui devront être prises en compte le cas échéant, dans lesquelles une personne pourrait ultérieurement être reconnue mineure, que ce soit en appel sur un refus du juge des enfants ou à la suite de l’intervention de la juridiction administrative.

Au regard de ces éléments, la commission considère que les données enregistrées dans le traitement « AEM » sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l’article 5-1-e du RGPD.

Sur les droits des personnes concernées :

En premier lieu, le projet de décret prévoit que, préalablement à la collecte de ses données, la personne concernée est informée du traitement mis en œuvre notamment au moyen d’un formulaire dédié rédigé dans une langue qu’elle comprend ou dont il est raisonnable de supposer qu’elle la comprend.
De manière générale, la commission rappelle que dans la mesure où le traitement projeté s’adresse à des personnes mineures susceptibles de se trouver en situation de grande difficulté, des garanties devront être mises en œuvre afin de s’assurer du caractère effectif de l’information des personnes concernées ainsi que de la bonne compréhension, par ces dernières, des informations transmises. Elle rappelle à cet égard que l’article 12-1 du RGPD précise que la fourniture de cette information doit être fournie « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant ».
A ce titre, elle estime que le formulaire précité devrait être complété afin de faire état des éléments suivants :

- l’interrogation des traitements « AGDREF 2 », VISABIO et « AEM » et les données utilisées pour procéder à cette interrogation ;
- la suppression des données enregistrées dans « AGDREF 2 » dans l’hypothèse où une personne serait finalement reconnue mineure par le juge, après avoir exercé son droit au recours ;
- la limitation du droit d’opposition de la personne au traitement.

La commission considère également que ledit formulaire devrait être explicité concernant les droits dont disposent effectivement les personnes concernées. Dans ce contexte, elle prend acte de l’engagement du ministère de modifier la notice explicative et de tenir compte des recommandations ainsi formulées.
Enfin, elle relève que le ministère a indiqué que le projet de décret sera modifié s’agissant en particulier des dispositions applicables au droit d’opposition et des raisons conduisant, en l’espèce, à l’écarter dans la mesure où il y a lieu de faire application des dispositions du règlement (UE) 2016/679 susvisé.

En deuxième lieu, le projet de décret prévoit que « les droits d’accès, de rectification et à la limitation s’exercent auprès du préfet et département et, à Paris, du préfet de police dans les conditions prévues respectivement aux articles 15, 16 et 18 du règlement (UE) 2016/679 du 27 avril 2016 ».

A cet égard, le ministère a précisé que les demandes relatives à l’exercice de ces droits par les personnes concernées pourront être adressées par voie postale au préfet, à la suite de quoi l’intéressé sera reçu en préfecture où le préfet pourra vérifier son identité grâce à la production d’un document d’identité ou de voyage et/ou par vérification de ses empreintes digitales « en cas de doute ».

La commission rappelle que l’article 12-6 du RGPD prévoit que lorsque le responsable du traitement a des « doutes raisonnables » quant à l’identité de la personne physique qui demande à faire valoir l’exercice de ses droits, il peut demander que lui soient fournies « des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée ». En l’espèce, elle estime que la vérification des empreintes digitales de la personne concernée, pour l’exercice de ces droits, apparaît proportionnée dans la seule hypothèse où le préfet ne peut établir la validité du ou des titres présentés.

Sous cette réserve, la commission considère que les droits d’accès, de rectification et à la limitation des personnes concernées sont effectifs, conformément aux dispositions des articles 15, 16 et 18 du RGPD. Elle rappelle, en tout état de cause, que les éventuelles réclamations des personnes concernées relatives à l’exercice de leurs droits pourront être adressées au délégué ministériel à la protection des données, dont les coordonnées figurent dans la notice explicative précitée.

En dernier lieu, la commission prend acte de l’exclusion des droits à l’effacement et à la portabilité, ce qui n’appelle pas d’observation particulière au regard des dispositions des articles 17-3-b et 20-3 du RGPD.

Sur les mesures de sécurité :

Concernant le chiffrement des données biométriques stockées dans les bases de données, la commission relève que cette mesure fait partie de celles identifiées au cours de la réalisation de l’analyse d’impact relative à la protection des données comme devant être mises en place avant la mise en œuvre du traitement. Sans remettre en cause les éléments apportés par le ministère relatifs aux difficultés techniques de mettre en œuvre de telles mesures, la commission considère que les données biométriques devraient être systématiquement chiffrées lorsqu’elles sont conservées dans une base de données centralisée.

Par ailleurs, interrogé sur les modalités de chiffrement de la base de correspondance entre les données biométriques et les données d’identification des personnes, le ministère a indiqué que ces données seront chiffrées au moyen de l’algorithme 3DES, considéré comme obsolète depuis plusieurs années et dont l’usage est déconseillé par l’Agence nationale de sécurité des systèmes d’information. La commission invite dès lors le ministère à revoir les modalités de chiffrement de ces données afin de s’assurer que celles-ci soient à l’état de l’art.

Concernant les échanges de données au format PDF entre les préfectures et les conseils départementaux, la commission prend acte de ce que ces échanges de données seront chiffrés. Elle appelle néanmoins l’attention du ministère sur le fait que des procédures de génération et de gestion des clés de chiffrement devront être mises en place, afin de garantir l’effectivité de la mesure de chiffrement. La commission rappelle également que les échanges de données entre les préfectures et le procureur de la République devront faire l’objet des mêmes mesures de chiffrement.

Concernant les transmissions de données entre l’application « AEM » et les postes de travail des agents de préfecture, la commission relève que ces échanges auront lieu sur le réseau interne du ministère, qui fait l’objet de mesures de sécurité à l’état de l’art permettant de garantir la confidentialité des données y transitant.
La commission prend acte de ce que des mesures de traçabilité permettront de conserver une trace des actions réalisées par les utilisateurs dans l’outil. Le projet de décret prévoit que ces données seront conservées pendant 6 ans. Le ministère a par ailleurs indiqué qu’une fois que les données relatives aux personnes se présentant comme mineures seront supprimées de l’application, seules les données relatives aux agents seront conservées.

Les autres mesures de sécurité n’appellent pas de remarque particulière de la commission.

Sous réserve des précédentes observations, la commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 32 du RGPD. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. A cet égard, elle rappelle qu’il conviendra d’apporter une attention spécifique à la réévaluation des mesures de sécurité dans le cadre de la mise à jour impérative de l’analyse d’impact.

La présidente,

I. Falque-Pierrotin

Voir en ligne : https://www.legifrance.gouv.fr/affi...


Pour aller plus loin