29.12.2006

FR

Journal officiel de l'Union européenne

C 321/38

---

Avis du Contrôleur européen de la protection des données concernant la proposition de règlement du Parlement européen et du Conseil modifiant les instructions consulaires communes adressées aux représentations diplomatiques et consulaires de carrière, en liaison avec l'introduction d'éléments d'identification biométriques et de dispositions relatives à l'organisation de la réception et du traitement des demandes de visa (COM (2006) 269 final) — 2006/0088 (COD)

(2006/C 321/14)

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité instituant la Communauté européenne, et notamment son article 286,

vu la Charte des droits fondamentaux de l'Union européenne, et notamment son article 8,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données,

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, et notamment son article 41,

vu la demande d'avis formulée par la Commission conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001, reçue le 19 juin 2006;

A ADOPTÉ L'AVIS SUIVANT:

1.   INTRODUCTION

Le règlement proposé a deux objectifs principaux, qui concernent tous deux la mise en œuvre du système d'information sur les visas (VIS), à savoir:

—	créer la base juridique nécessaire aux États membres pour relever les éléments d'identification biométriques obligatoires des demandeurs de visa;

—	établir un cadre juridique pour l'organisation des postes diplomatiques et consulats des États membres, notamment en mettant en place une éventuelle coopération entre les États membres pour le traitement des demandes de visa.

Ces deux objectifs soulèvent différentes questions du point de vue de la protection des données et ils seront abordés dans des paragraphes distincts, même s'ils font en fait partie de la même proposition.

La proposition qui fait l'objet du présent avis vise à modifier les instructions consulaires communes (ICC) qui ont été adoptées par le comité exécutif institué par la Convention d'application de l'Accord de Schengen du 14 juin 1985. Comme elles faisaient partie de l'acquis de Schengen, elles ont été intégrées au droit communautaire par un protocole annexé au traité d'Amsterdam, et ont depuis lors été modifiées à plusieurs reprises. Les ICC ont été publiées en 2000, un certain nombre de modifications restant cependant confidentielles. Sur le plan du contenu, il s'agit essentiellement d'un manuel de règles pratiques régissant la délivrance des visas de court séjour. Elles contiennent des dispositions concernant l'examen des demandes, la procédure décisionnelle, la manière de remplir les vignettes-visa, etc.

2.   COLLECTE DES ÉLÉMENTS D'IDENTIFICATION BIOMÉTRIQUES

2.1.   Remarque préliminaire: spécificité des données biométriques

Conformément à la proposition concernant le système VIS (1) présentée par la Commission le 28 décembre 2004, les États membres introduisent dans le VIS les empreintes digitales et les photographies comme éléments d'identification biométriques aux fins de vérification et (ou) d'identification. L'actuelle proposition de règlement du Parlement européen et du Conseil modifiant les ICC a pour but de fournir une base juridique pour la collecte des éléments d'identification biométriques.

Le 23 mars 2005, le CEPD a rendu un avis sur la proposition relative au VIS (2). Dans cet avis, il souligne qu'il importe d'entourer le traitement des données biométriques de toutes les garanties nécessaires, compte tenu de leurs caractéristiques (3):

Selon le CEPD, eu égard au caractère sensible des données biométriques, il y a lieu de n'introduire une obligation d'utiliser ces données qu'après en avoir soigneusement évalué les risques et en suivant une procédure permettant de respecter pleinement les principes de contrôle démocratique. Ces remarques sous-tendent l'examen de la proposition en objet réalisé par le CEPD.

2.2.   Contexte de la proposition

Le contexte dans lequel s'inscrit cette proposition la rend encore plus sensible. On ne peut pas dissocier le règlement proposé de l'élaboration d'autres systèmes d'information à grande échelle ni de la tendance générale à accroître l'interopérabilité des systèmes d'information. C'est ce que mentionne la Commission dans sa communication du 24 novembre 2005 sur le renforcement de l'efficacité et de l'interopérabilité des bases de données européennes dans le domaine de la justice et des affaires intérieures et sur la création de synergies entre ces bases (4).

Dès lors, une décision prise dans un contexte et un objectif donnés est susceptible d'avoir une influence sur l'élaboration et l'utilisation d'autres systèmes mis sur pied pour d'autres finalités. En particulier, les données biométriques une fois disponibles — y compris probablement les données collectées aux fins de la mise en œuvre de la politique des visas — pourraient être utilisées dans des contextes différents. Cela pourrait concerner non seulement le cadre du SIS, mais très probablement Europol et FRONTEX également.

2.3.   Relevé obligatoire des empreintes digitales

L'exposé des motifs de la proposition en question indique que: «Étant donné que le relevé des identifiants biométriques fera désormais partie de la procédure de délivrance des visas, il y a lieu de modifier les instructions consulaires communes pour créer la base juridique nécessaire à cette fin».

Le CEPD conteste le choix fait par le législateur d'inclure dans les ICC, plutôt que dans le règlement même relatif au VIS, des dispositions sur l'opportunité de dispenser certaines personnes ou groupes de personnes de l'obligation de donner leurs empreintes digitales. En premier lieu, ces dispositions ont une incidence importante sur le respect de la vie privée d'un grand nombre de personnes et elles devraient être prévues dans le cadre de la législation de base plutôt que dans le cadre d'instructions à caractère essentiellement technique. En second lieu, pour la clarté du régime juridique, il serait préférable de traiter cette question dans le même texte que celui qui établit le système d'information lui-même.

a)

Tout d'abord, la création d'une base juridique pour le relevé obligatoire des empreintes digitales et des éléments d'identification biométriques est beaucoup plus qu'un simple détail technique; cela aura une incidence importante sur le respect de la vie privée des personnes concernées. En particulier, le choix de l'âge minimum et/ou maximum des personnes dont les empreintes digitales sont relevées est une décision d'ordre politique et non simplement technique. Le CEPD recommande donc que cette question, et tout particulièrement les aspects qui ne sont pas purement techniques, soit traitée dans le texte de base (proposition VIS) plutôt que dans un manuel d'instructions concernant principalement les aspects techniques et pratiques de la procédure de délivrance des visas (5). À cet égard, il est également utile de rappeler les exigences de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH) et sa jurisprudence. Aux termes de l'article 8, paragraphe 2, de la CEDH, il ne peut y avoir ingérence d'une autorité publique dans l'exercice du droit au respect de la vie privée que pour autant que cette ingérence soit «prévue par la loi» et soit «nécessaire dans une société démocratique» à la protection d'intérêts majeurs. Dans la jurisprudence de la Cour européenne des droits de l'homme, le respect de ces conditions implique des exigences supplémentaires relatives à la qualité de la base juridique de l'ingérence (elle doit être prévue dans des dispositions législatives accessibles et elle doit être prévisible), la proportionnalité des mesures et la nécessité de garanties adéquates contre les abus. Outre le fait que l'approche fragmentaire de la législation décrite ci-après ne permet pas de parvenir à une réglementation claire et accessible, on peut se demander si les ICC, en tant que telles, peuvent même prétendre à cette qualification. On pourrait s'interroger sur la procédure à appliquer lors des (éventuelles) modifications ultérieures de ce texte. Il faudrait en tout état de cause veiller à ce qu'une décision de cette importance ne puisse pas être modifiée sans recourir à une procédure garantissant la transparence et la consultation démocratique appropriées.

b)

La seconde question concerne la clarté du régime juridique. L'exposé des motifs de la proposition ne précise pas la raison pour laquelle il est nécessaire de se doter d'une base juridique différente pour la collecte et le traitement des éléments d'identification biométriques. Aux termes de l'exposé des motifs, «la présente proposition .... porte sur la collecte des données biométriques, tandis que la proposition relative au VIS concerne la transmission et l'échange de données» (6). Toutefois, du point de vue de la protection des données, la collecte des données fait partie du traitement des données à caractère personnel. Si, dans une chaîne d'activités, des opérations sont régies par des textes juridiques différents, cela risque de nuire à la clarté du régime. Cela pose un problème pour les personnes concernées (par la proposition) ainsi qu'en termes de contrôle démocratique du système. En effet, il devient de plus en plus difficile d'avoir une vue d'ensemble de ce domaine, dans lequel des textes législatifs différents réglementent ce qui constitue fondamentalement le même traitement de données.

2.4.   Dispenses du relevé obligatoire des empreintes digitales

Ce problème est très bien illustré par la question des catégories de personnes dispensées de l'obligation de donner leurs empreintes digitales, en particulier le cas des jeunes enfants.

Il convient d'examiner, du point de vue de la finalité même du VIS, si le relevé des empreintes digitales des jeunes enfants peut être autorisé. En d'autres termes, imposer à certaines catégories de personnes le relevé d'éléments d'identification biométriques ou les dispenser de cette obligation doit être une mesure proportionnée dans le cadre de la politique des visas et des objectifs connexes, conformément à la proposition relative au VIS. Cette proportionnalité devrait être évaluée dans le cadre d'une procédure démocratique.

Cette mesure devrait également être examinée sous l'angle de l'utilisation qu'il est prévu de faire de ces empreintes digitales, conformément à la proposition relative au VIS. La biométrie sera utilisée à des fins de vérification ou d'identification: un élément d'identification biométrique pourrait être considéré comme fiable du point de vue technique dans un cas mais pas dans l'autre. Le traitement des empreintes digitales des enfants âgés de moins de 14 ans est généralement considéré comme fiable uniquement à des fins de vérification. Cela devrait influencer l'examen de la proposition en objet, mais, à nouveau, les éléments nécessaires à cet effet figurent dans la proposition relative au VIS (et aucune décision n'a encore été prise à ce titre).

En conclusion, le CEPD recommande vivement que les dispenses de relevé des éléments d'identification biométriques dans le cadre du règlement relatif au VIS soient strictement réglementées, dans un souci de clarté et de cohérence. La réglementation de la collecte des éléments d'identification biométriques et, notamment des empreintes digitales dans le cas présent, devrait être considérée comme accessoire par rapport à l'instrument juridique principal et par conséquent être prévue dans le texte principal même.

2.5.   Âge des demandeurs de visa

Selon la proposition, seuls les enfants de moins de 6 ans sont dispensés de l'obligation de donner leurs empreintes digitales. Ce point soulève de nombreuses questions (quelle que soit la proposition — VIS ou ICC — qui sera concernée).

Tout d'abord, le CEPD est d'avis que la généralisation du relevé des empreintes digitales des enfants ne peut pas être considérée comme un simple détail technique mais qu'elle devrait donner lieu à un débat démocratique approfondi au sein des institutions compétentes. Une telle décision ne devrait pas se fonder uniquement sur la faisabilité technique mais aussi, à tout le moins, sur les avantages qu'elle présenterait pour la mise en oeuvre du VIS. Cependant, à l'exception d'un très petit nombre d'États membres, il ne semble pas que la question fasse actuellement l'objet d'un débat public, ce qui est extrêmement regrettable.

Il convient également de rappeler que le VIS en principe a été créé dans le but de faciliter les procédures d'obtention des visas pour les voyageurs de bonne foi (la majorité des voyageurs). Il y a donc lieu de tenir compte des aspects d'ordre pratique et ergonomique (7). Que ce soit dans le cadre de la procédure de demande de visa ou des contrôles aux frontières, l'utilisation des éléments d'identification biométriques ne devrait pas compliquer excessivement le respect des procédures de visa en ce qui concerne les enfants.

Enfin, il faut rappeler que tous les systèmes d'identification biométrique comportent des défauts techniques. La littérature scientifique n'apporte pas de preuves concluantes que le relevé des empreintes digitales des enfants âgés de moins de 14 ans permette une identification fiable. Les seules expériences menées à ce jour sur une population étendue sont les systèmes Eurodac et US-Visit. Il est d'ailleurs assez intéressant de noter que ces deux systèmes utilisent les empreintes digitales des enfants à partir de l'âge de 14 ans. Le relevé des empreintes digitales des enfants d'un âge inférieur devrait être justifié par des études apportant la preuve de leur précision et de leur utilité dans le cadre d'une base de données à aussi grande échelle que le VIS.

En tout état de cause, il serait souhaitable d'utiliser les empreintes digitales des jeunes enfants pour des comparaisons de deux empreintes (one-to-one) plutôt que pour des comparaisons avec un grand nombre d'empreintes (one-to-many). Cela devrait être explicitement prévu.

Enfin, la majeure partie des observations formulées ci-avant ne concerne pas seulement les enfants mais aussi les personnes âgées. La précision et la possibilité d'exploiter des empreintes digitales diminuent avec l'âge (8) et les aspects d'ordre pratique et ergonomique sont aussi particulièrement importants.

2.6.   Photographies

Les mêmes observations pourraient s'appliquer aux photographies, pour lesquelles il n'est pas prévu d'âge limite tant dans la proposition en objet que dans la proposition relative au VIS. On pourrait toutefois se demander si les photographies prises avant que les enfants aient leurs traits d'adultes sont d'une véritable utilité que ce soit à des fins d'identification ou même de vérification.

La reconnaissance faciale des enfants (qu'elle soit automatisée dans l'avenir ou «humaine») fondée sur des photos de référence datant de plusieurs années risque de poser un problème. Même si la technologie de reconnaissance faciale a fait des progrès importants, il est très peu probable qu'un logiciel soit capable, dans un proche avenir, de compenser les effets de la croissance sur le visage d'un enfant. C'est pourquoi il faudrait préciser, dans le règlement relatif au VIS, que les photographies ne peuvent être utilisées que comme éléments à l'appui de la vérification ou de l'identification de personnes tant que la technologie de reconnaissance faciale ne sera pas suffisamment fiable, étant donné que c'est ce qui sera probablement le cas pour les enfants jusque dans un avenir plus lointain.

De façon générale, pour ces deux éléments d'identification biométriques, le CEPD recommande de se pencher attentivement sur la question de savoir si les avantages (lutte contre l'immigration clandestine et la traite des enfants) l'emportent sur les inconvénients évoqués ci-dessus.

2.7.   Autres exceptions

Selon la proposition, les personnes «pour lesquelles il est physiquement impossible de prendre les empreintes» sont dispensées de l'obligation de donner leurs empreintes digitales.

Le CEPD a déjà souligné, dans son avis sur la proposition concernant le système VIS, que cette situation concerne un nombre important de personnes: jusqu'à 5 % des personnes ne pourraient pas être enregistrées. Pour une base de données de 20 000 000 d'entrées par an, cela signifie qu'il pourrait y avoir jusqu'à 1 000 000 de cas par an susceptibles de poser des difficultés d'enregistrement. C'est un point qu'il faut certainement garder présent à l'esprit lorsqu'on examine la proposition en objet. Le CEPD a en outre insisté sur la nécessité de prévoir des procédures de secours efficaces:

Le règlement proposé prévoit dans ce cas l'introduction de la mention «sans objet» dans le VIS. C'est certainement une bonne idée. On peut toutefois craindre que l'impossibilité d'enregistrer les données puisse aboutir plus probablement à un refus de visa. Il n'est pas acceptable qu'un pourcentage très élevé de ces cas aboutisse à un refus de visa.

Il convient donc d'ajouter dans le règlement relatif au VIS une disposition visant à ce que l'impossibilité d'enregistrement n'entraîne pas automatiquement un avis négatif sur la délivrance du visa. Par ailleurs, il conviendrait d'accorder une attention particulière à cette question dans le cadre des rapports dont l'établissement est prévu dans le règlement relatif au VIS: il faudra vérifier si un grand nombre de refus de visa est lié à l'impossibilité physique d'enregistrement.

3.   EXTERNALISATION DES DEMANDES DE VISA

Afin d'alléger la charge qui pèse sur chaque État membre (en raison notamment des coûts d'acquisition et d'entretien du matériel), la proposition prévoit la possibilité de plusieurs mécanismes de coopération:

—

regroupement des missions diplomatiques et consulaires: le personnel d'un ou plusieurs États membres traite les demandes (y compris les éléments d'identification biométriques) qui lui sont adressées dans les locaux de la représentation diplomatique et consulaire d'un autre État membre dont il partage l'équipement;

—	centre commun de demande: le personnel des missions diplomatiques d'un ou plusieurs États membres est regroupé dans un seul bâtiment afin de recevoir les demandes de visa (y compris les éléments d'identification biométriques) qui lui sont adressées;

—

enfin, la proposition envisage la possibilité de confier à un prestataire de services extérieur la réception des demandes et le relevé des éléments d'identification biométriques (il semble que ce soit la solution de dernier recours pour les États membres qui ne peuvent pas faire usage de l'une des deux autres possibilités, bien que ce ne soit pas tout à fait clair).

La proposition s'entoure de grandes précautions pour faire en sorte que seuls des prestataires de service extérieurs dignes de confiance puissent être choisis et que ceux-ci soient capables de prendre toutes les mesures nécessaires pour protéger les données contre les risques «de destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés (…)» (article 1er, point 3) 1.B.2 de la proposition).

Cette disposition a été rédigée avec beaucoup de soin et d'attention quant à la protection des données, ce dont le CEPD se félicite. Toutefois, le recours à un prestataire de services extérieur pour traiter les demandes de visa dans un pays tiers entraîne un certain nombre de conséquences en matière de protection des données (parfois très sensibles) collectées aux fins de la délivrance des visas.

Le CEPD souligne en particulier les points suivants:

—	il risque de s'avérer très difficile, voire impossible, de vérifier les antécédents des employés en raison de la législation ou des pratiques en vigueur dans le pays tiers;

—	de même, il ne sera pas forcément possible d'appliquer des sanctions à l'employé d'un prestataire extérieur pour violation de la législation relative au respect de la vie privée (même si des sanctions contractuelles peuvent être appliquées au contractant principal);

—	l'entreprise privée risque d'être affectée par l'instabilité ou des changements politiques et ne pas se trouver en mesure de remplir ses obligations en matière de sécurité du traitement des données;

—	il risque d'être difficile de mettre en place un contrôle efficace alors que celui-ci s'imposerait d'autant plus qu'il s'agit de partenaires extérieurs.

Tout contrat conclu avec un prestataire de services extérieur devrait donc présenter les garanties nécessaires au respect des règles en matière de protection des données, y compris des audits externes, des contrôles réguliers sur place, l'obligation de rendre compte, des mécanismes engageant la responsabilité du contractant en cas de violation de la réglementation en matière de respect de la vie privée, y compris l'obligation d'indemniser les personnes victimes d'un dommage résultant d'un acte du prestataire de service.

Outre ces préoccupations, il ne faut pas oublier, et c'est peut-être encore plus important, que les États membres ne seront pas en mesure de garantir la protection du traitement externalisé des données (ou du traitement des données effectué dans un centre commun de demande s'il est réalisé dans un bâtiment qui ne fait pas partie des locaux diplomatiques) contre une éventuelle intervention (perquisition ou saisie par ex.) de la part des autorités publiques du pays du demandeur (9).

En effet, en dépit de toute autre disposition contractuelle, les prestataires extérieurs de services relèveront du droit interne du pays tiers dans lequel ils sont établis. Des événements récents concernant l'accès des autorités d'un pays tiers aux données financières traitées par une société de l'UE montrent que ce risque est loin d'être théorique. Cela pourrait faire courir en outre un risque important aux personnes concernées dans certains pays tiers qui seraient désireux (aux fins de contrôle politique des opposants et des dissidents) de connaître l'identité des citoyens qui ont déposé une demande de visa. Le personnel d'une entreprise privée, dans la plupart des cas probablement du personnel local, ne serait pas en mesure de résister aux pressions que les services gouvernementaux ou les services répressifs du pays du demandeur pourraient exercer sur lui pour obtenir la communication des données.

Il s'agit d'une faiblesse majeure de ce système par rapport à la situation dans laquelle les données sont traitées dans les locaux d'un consulat ou d'un poste diplomatique. Dans ce cas, les données seraient protégées en vertu de la Convention de Vienne sur les relations diplomatiques du 18 avril 1961 dont l'article 22 prévoit:

Par ailleurs, aux termes de l'article 4, paragraphe 1, point b), de la directive 95/46/CE, les dispositions nationales d'exécution de la directive s'appliqueraient aussi expressément à ce traitement des données à caractère personnel, ce qui renforcerait la protection en la matière.

Il semble donc évident que le seul moyen efficace de protéger les données des demandeurs de visa et de leurs hôtes (citoyens ou entreprises de l'UE) est de leur accorder la protection qui leur est garantie en vertu de la Convention de Vienne. Cela signifie que les données devraient être traitées dans les locaux bénéficiant de la protection diplomatique, ce qui n'empêcherait pas les États membres d'externaliser le traitement des demandes de visa, dans la mesure où le prestataire de services extérieur peut exercer son activité dans les locaux du poste diplomatique. Il en irait de même des centres communs de demande.

Le CEPD déconseille donc vivement de confier le traitement à des prestataires de service extérieurs, comme le nouveau point 1.B.1.b) à la page 15 de la proposition en prévoit la possibilité. À cet égard, les solutions acceptables sont les suivantes:

—	l'externalisation du traitement des demandes de visa à une entreprise privée dans la mesure où il est réalisé dans des locaux protégés par le statut diplomatique;

—	l'externalisation uniquement de la fourniture d'informations à un centre d'appels comme prévu au point 1.B.1.a) qui est proposé.

4.   CONCLUSION

Le CEPD se félicite du fait qu'il est prévu d'adopter la proposition visant à modifier les instructions consulaires communes dans le cadre de la procédure de codécision, ce qui renforce le contrôle démocratique dans un domaine où le besoin s'en fait très fortement sentir.

Sur le fond, le CEPD formule les recommandations suivantes:

—	les dispenses de relever des empreintes digitales devraient être prévues dans le règlement relatif au VIS plutôt que dans les ICC, afin de garantir la clarté et la cohérence de ce régime;

—	les limites d'âge concernant le relevé des empreintes digitales et les photographies devraient faire l'objet d'une attention particulière, en tenant compte de la faisabilité mais aussi de considérations d'ordre éthique et pratique et de l'aspect tenant à la précision;

—	les photographies ne devraient pas être considérées comme une méthode d'identification autonome mais seulement comme un élément à l'appui de la vérification ou de l'identification;

—

confier le traitement des demandes de visa à une société privée extérieure ne serait acceptable que si ce traitement est effectué dans des locaux bénéficiant de la protection diplomatique, et s'il s'appuie sur des clauses contractuelles prévoyant un contrôle efficace ainsi qu'une responsabilité du contractant.

---

(1)  Proposition de règlement du Parlement européen et du Conseil concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour (COM(2004)835 final) présentée par la Commission le 28 décembre 2004.

(2)  Avis du 23 mars 2005 sur la proposition de règlement du Parlement européen et du Conseil concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour, JO C 181 du 23.7.2005, p. 13.

(3)  «[Les données biométriques] se caractérisent par la possibilité d'une identification quasi-certaine (elles sont uniques pour chaque individu), par leur permanence (elles restent pratiquement inchangées au cours de la vie d'une personne) et par leur universalité (les mêmes» éléments «physiologiques se retrouvent chez tout le monde).», ibid.

(4)  COM (2005) 597 final.

(5)  Le fait que la base juridique soit différente — article 62, point 2 b) ii), pour les ICC, article 66 pour la proposition VIS — n'empêche pas le législateur de traiter cette question dans le même texte.

(6)  Exposé des motifs, page 5.

(7)  Comme le souligne une étude réalisée à la demande du gouvernement néerlandais, J.E. DEN HARTOGH e. a., «How do you measure a child? A study into the use of biometrics in children», (comment mesurer un enfant? Étude de l'utilisation de la biométrie pour les enfants) 2005, TNO.

(8)  Voir par ex. A. HICKLIN et R. KHANNA, «The Role of Data Quality in Biometric Systems», (Le rôle de la qualité des données dans les systèmes biométriques) MTS, 9 février 2006.

(9)  Ce problème existe déjà avec le traitement des demandes par les agences de voyage; mais il se pose ici avec encore plus d'acuité car il s'agit de données biométriques, et parce que, en principe, le recours à une agence de voyage n'est pas obligatoire.

---