Intervention de François Giquel

a indiqué que la Commission nationale de l'informatique et des libertés (CNIL) avait pour mission d'accompagner le développement des traitements automatisés de données à caractère personnel afin que celui-ci reste compatible avec les libertés individuelles.

Il a indiqué que la CNIL exerçait son contrôle en appliquant, avec pragmatisme, les principes fixés par la loi du 6 janvier 1978 relative à l'informatique et aux libertés, modifiée en 2004 afin d'assurer la transposition de la directive du 24 octobre 1995. Il a souligné que la démarche de la Commission consistait à s'interroger sur la finalité du traitement informatisé, sur la proportionnalité de la collecte, de la mise à jour et de la conservation des données à caractère personnel au regard de cette finalité, ainsi que sur les conditions de transparence dans lesquelles intervenait ce traitement.

a souligné que la CNIL avait été amenée à s'interroger, à plusieurs reprises, sur les modalités de traitement de données relevant de l'ordre public et de l'immigration clandestine. Il a exposé qu'elle n'avait pas rencontré de problèmes sérieux ou de difficultés qui n'aient pu être surmontées avec les fichiers informatisés relatifs aux étrangers, généralement créés en vertu d'un texte réglementaire après avis de la CNIL, tels que le fichier ADGREF, le réseau mondial visas (RMV2), le fichier de l'Office français de protection des réfugiés et apatrides (OFPRA), ainsi que le fichier des demandes de naturalisation du ministère des affaires sociales.

Il a observé, en revanche, que la mise en place de fichiers contenant des données biométriques posait des problèmes nouveaux, même si un fichier automatisé des empreintes digitales existait depuis 1987. Il a précisé que la CNIL n'était pas opposée dans son principe au développement de techniques d'identification modernes et performantes mais cherchait à promouvoir en ce domaine des usages respectueux des droits et libertés individuels et correspondant aux besoins des entreprises, des services publics et de l'Etat.

Il a indiqué que les principales questions qui se posaient étaient de savoir si les éléments de biométrie étaient « à trace » ou « sans trace », si les données figuraient dans une base centrale ou sur une carte à puce individuelle, si le consentement de l'intéressé était ou non pris en considération et si la mise en oeuvre de traitements de données biométriques répondait à des exigences impérieuses en matière de sécurité ou d'ordre public.

Il a indiqué que la loi du 24 avril 1997 portant diverses dispositions relatives à l'immigration avait autorisé le traitement automatisé des empreintes digitales des demandeurs de titres de séjour et des étrangers en situation irrégulière, tandis que la loi du 26 novembre 2003 relative à la maîtrise de l'immigration, au séjour des étrangers en France et à la nationalité avait autorisé le traitement des empreintes digitales et de la photographie des demandeurs de visas, la finalité de ces traitements, à savoir la nécessité de garantir le droit au séjour des personnes en situation régulière et de lutter contre l'entrée et le séjour irréguliers, ayant été expressément indiquée.

Il a précisé que seul le traitement automatisé prévu par la loi du 26 novembre 2003 avait été effectivement créé en 2004 dans le cadre d'une expérimentation dans des consulats et postes frontières pilotes, un projet de décret visant à étendre ce dispositif à environ 40 % des demandeurs de visa venant d'être examiné par la CNIL. Il a souligné que la mise en oeuvre de ce traitement avait conduit à la création d'une base centrale de données biométriques et, dans deux consulats, à la délivrance de cartes à puce individuelles comportant ces données. Il a indiqué que la CNIL considérait que, si l'existence d'une base centrale se justifiait pour les postes consulaires, son utilisation aux postes frontières devait faire l'objet d'une meilleure évaluation par comparaison au recours à une carte à puce.

a observé que certains traitements automatisés n'ayant pas pour seule finalité la police des étrangers pouvaient néanmoins contenir des informations concernant les étrangers, évoquant notamment le cas des fichiers sociaux. Il a indiqué que la question était de savoir dans quelle mesure les étrangers pouvaient être identifiés comme tels sans que cette identification constitue un risque de discrimination. Il a souligné que la réponse à cette interrogation dépendait de la finalité du fichier concerné.

Il a rappelé que le recueil de la nationalité dans le cadre d'un fichier automatisé n'était pas considéré par la CNIL comme prohibé par principe mais que, dans le souci d'éviter toute discrimination, la Commission examinait au cas par cas sa pertinence au regard de la finalité poursuivie. Soulignant que l'enregistrement de la nationalité pouvait intervenir pour des besoins de gestion administrative ou pour la production d'indicateurs statistiques anonymes, il a précisé que la CNIL avait admis les recueils d'informations relatives à la nationalité dans des fichiers du personnel ou dans les fichiers de l'Agence nationale pour l'emploi, des ASSEDIC, des organismes de logement social ainsi que de l'Education nationale. Il a indiqué que la CNIL acceptait le recueil de la nationalité dans les enquêtes conduites par l'INSEE ou l'INED, estimant qu'il permettait de disposer de données statistiques mesurant l'intégration des personnes.

Il a rappelé que, dès 1980, la CNIL avait demandé que dans le cadre des fichiers relatifs à la protection sociale et à l'aide sociale et afin de limiter les risques de discrimination, que l'information relative à la nationalité des bénéficiaires soit répertoriée en trois rubriques : la nationalité française, la nationalité d'un Etat membre de l'Union européenne ou la nationalité d'un Etat tiers à l'Union européenne.

a souligné qu'en tout état de cause, l'enregistrement de la nationalité dans les fichiers ne permettait pas en tant que tel de détecter la fraude au séjour, les services instruisant la demande de prestation soumise à une condition de résidence en France devant vérifier que cette condition était effectivement remplie. Il a précisé que les caisses d'allocations familiales avaient ainsi été autorisées à enregistrer dans leurs fichiers la date de séjour des allocataires étrangers, ainsi que le numéro de leur titre de séjour.

a rappelé que la CNIL autorisait les échanges d'informations par le biais de consultations croisées ou d'interconnexions de fichiers, lorsqu'elles étaient destinées à lutter contre la fraude. Il a souligné qu'il n'existait pas d'interdiction de principe à l'égard des interconnexions de fichiers, mais que celles-ci, lorsqu'elles intervenaient à l'égard de fichiers de finalité différente, étaient soumises, sous certaines conditions, à l'avis ou l'autorisation de la CNIL. Il a indiqué que lorsque les personnes concernées étaient informées des échanges de fichiers et que des mesures de sécurité appropriées étaient prévues, la CNIL acceptait ces interconnexions lorsque l'intérêt public le justifiait et, si les informations étaient couvertes par le secret, lorsque celui-ci était levé.

Il a constaté que les échanges de fichiers dans le domaine social et fiscal résultaient tous de dispositions législatives expresses précisant les finalités des rapprochements possibles. Il a précisé que de tels échanges d'informations étaient notamment autorisés dans le cadre de la gestion du revenu minimum d'insertion.

Il a également observé que la loi du 24 août 1993 relative à la maîtrise de l'immigration en France avait autorisé la transmission à la Caisse nationale des allocations familiales (CNAF) de données figurant dans le fichier ADGREF, les organismes de sécurité sociale et l'ANPE devant vérifier la validité des titres de séjour présentés par les demandeurs. Il a précisé que les transmissions informatiques devaient être autorisées par la CNIL qui avait été saisie, en 2002, d'un projet de modification du fichier ADGREF destinée à permettre à la CNAF d'accéder à ce fichier mais qu'aucun décret n'était intervenu sur ce point. Il a indiqué que le ministère de l'intérieur avait informé la CNIL que l'adoption de ce décret avait été différée le temps de l'examen d'autres projets induits par l'évolution de la réglementation et souhaitait privilégier des modes centralisés d'interrogation du fichier.

a indiqué que les interconnexions avaient pour but de vérifier la réalité de la situation administrative ou socio-économique des usagers et n'étaient pas propres aux étrangers.

Il a précisé que la CNIL ne contestait pas la légitimité de l'objectif de contrôle, mais avait systématiquement recommandé que la mise en place des interconnexions puisse se faire dans le cadre d'une parfaite information des personnes concernées et puisse conduire à de réelles simplifications des démarches administratives. Il a rappelé que la Commission avait approuvé, en 1995, les échanges d'informations entre la Caisse nationale d'assurance vieillesse et la Direction générale des impôts qui permettaient d'éviter aux retraités d'adresser plusieurs fois le même document à ces deux administrations.

Il a souligné que la CNIL était très vigilante quant aux mesures de sécurité devant entourer les échanges d'informations, tels que le contrôle de l'accès à ces données et leur chiffrement, le responsable du traitement informatisé étant légalement tenu de prendre toutes les précautions utiles pour préserver la sécurité des informations et empêcher leur divulgation.