Remplacement du FPA par le SETRADER - Des combinaisons à repenser ? Arr. 11 avr. 2013, autorisation d’un traitement automatisé de données à caractère personnel dénommé SETRADER.

Le traitement automatisé des données à caractère personnel "SETRADER" - pour système européen de traitement des données d’enregistrement et de réservation - relève de ces fichiers qui, une fois de plus, s’attachent à relier extranéité et terrorisme. La constance de ces rapprochements devient plus qu’irritante. Mais encore, alors que ce traitement a pour finalités : - la prévention, la répression de l’immigration clandestine et le contrôle aux frontières ; - la prévention et la répression des actes de terrorisme, selon les termes de l’article 1 de l’arrêté du 11 avril 2013 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé SETRADER [1], il est spécifié qu’ « une décision du ministère de l’intérieur précise les provenances et les destinations, situées dans des États n’appartenant pas à l’Union européenne, des passagers concernés par le traitement. » Même si « cette décision et ses modifications sont transmises à la Commission nationale de l’informatique et des libertés » ne concerne que les "passagers voyageant vers ou en provenance de pays présentant une sensibilité particulière en matière de risque terroriste ou d’immigration irrégulière" et plus particulièrement, dans les aéroports français ayant une connexion avec ces pays, les protections auxquelles peuvent prétendre les étrangers risquent d’être encore plus que décomposées [2].

.

Il existe déjà tant de fichiers ! Il est possible d’en repérer quelques-uns à travers les visas de l’avis de la Commission nationale de l’informatique et des libertés (CNIL) n° 2013-016 du 17 janvier 2013 sur un projet d’arrêté relatif à la mise en œuvre d’un traitement de données à caractère personnel dénommé Système européen de traitement des données d’enregistrement et de réservation (SETRADER). Ils sont, en règle générale, rattachés à la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers [3]. Sont ainsi visés : le décret n° 2010-569 du 28 mai 2010 relatif au fichier des personnes recherchées ; l’arrêté du 19 décembre 2006 (...) portant création, à titre expérimental, d’un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans les systèmes de contrôle des départs des transporteurs aériens ; l’arrêté du 28 janvier 2009 - modifié en 2011 - (...) portant création, à titre expérimental, d’un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans les systèmes de contrôle des départs des transporteurs aérien. La CNIL fait aussi état de ses propres avis rendus sur ces différents textes et, en l’espèce, il est indispensable de souligner la délibération n° 2011-048 du 17 février 2011 portant avis sur un projet d’arrêté modifiant l’arrêté du 28 janvier 2009 pris pour l’application de l’article 7 de la loi n° 2006-64 du 23 janvier 2006 et visant à proroger l’expérimentation du « fichier des passagers aériens » (FPA) jusqu’au 31 décembre 2011 [4] Mais il n’est pas fait mention de la délibération n° 2006-198 du 14 septembre 2006 portant avis sur le projet d’arrêté créant, à titre expérimental, un traitement automatisé de données à caractère personnel relatives aux passagers, enregistrées dans le système de contrôle des départs des transporteurs aériens qui prévoyait l’expérimentation sur deux années. En effet, le traitement FPA est remplacé par ce traitement SETRADER ainsi institué par l’arrêté du du 11 avril 2013 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé SETRADER. La confirmation de l’expérimentation réalisée - en deux temps - justifie que cet arrêté ne porte pas ’création’ de ce fichier

Dans son avis du 17 janvier 2013, la CNIL envisage autrement cette translation du FPA vers SETRADER. Elle observe d’abord que la mise en œuvre du FPA, autorisée à titre expérimental, a été réalisée « sur une période de cinq ans, sans que l’efficacité du dispositif ait été clairement démontrée ». Elle relève cependant que « les difficultés de mise en œuvre du traitement ont été principalement d’ordre technique et ne préjugent pas, selon le ministère de l’intérieur, de l’utilité du traitement des données dites API ("Advanced Passenger Information"), c’est-à-dire des données enregistrées dans les systèmes de contrôle des départs des transporteurs (aériens en l’espèce), aux fins de lutte contre l’immigration irrégulière ou le terrorisme ». Ensuite, parce qu’elle ne dispose pas d’autres pouvoirs que celui de donner un avis, elle prévient que « la création du traitement SETRADER en remplacement du FPA doit permettre de disposer d’un outil de traitement des données API plus fiable et opérationnel et capable de traiter un volume de données plus important. » Mais surtout, elle retient que « ce traitement a vocation à devenir, à terme, la plate-forme française de traitement des données de réservation des voyageurs détenues par les transporteurs (données PNR, pour "Passenger Name Record", plus nombreuses et complètes que les données API) dans le cadre de la mise en œuvre d’un système PNR européen basé sur la proposition de directive de la commission européenne du 2 février 2011 ».

Le remplacement du FPA par le traitement SETRADER ne va donc pas de soi. Si, comme le remarque la CNIL, « la création du traitement SETRADER a précisément pour objet de pérenniser la mise en œuvre du traitement des données API de certains passagers aériens » [5], ce n’est pas la question de l’immigration clandestine qui se trouve dans le viseur mais celle de la lutte antiterroriste.

Néanmoins, le traitement SETRADER est inévitablement pensé en relation avec le système d’information Schengen. Si l’article 4 de l’arrêté du 11 avril 2013 s’applique à faire une distinction entre la question de l’immigration clandestine et celle des actes de terrorisme en dissociant les durées d’enregistrement et de la consultation des données, la liaison entre ces deux modules devrait être une fois pour toute repensée. Il ne suffit pas, pour assurer de la pertinence de cette dissociation, de préciser que les données à caractère personnel et informations « sont conservées cinq ans à compter de leur inscription, à l’exclusion de la mention "connu" ou "inconnu" au fichier des personnes recherchées ainsi que dans le système d’information Schengen, laquelle n’est conservée que vingt-quatre heures » [6] et que « dans le cadre de la prévention et de la répression de l’immigration clandestine et du contrôle aux frontières, ces données ne peuvent être consultées que dans les vingt-quatre heures qui suivent leur transmission ».

Or, l’avis de la CNIL accentue implicitement la densité de l’association faite ainsi entre lutte contre immigration irrégulière et lutte contre le terrorisme. En effet, en s’attachant à la première finalité, elle remarque que « le traitement SETRADER permet aux autorités chargées d’effectuer les contrôles aux frontières de recevoir, à l’issue de l’enregistrement et avant le départ du vol, les données API détenues par les transporteurs aériens afin de faciliter l’exécution de ce contrôle, notamment en vérifiant que les voyageurs ne sont pas inscrits dans le fichier des personnes recherchées. Ces données sont en outre rendues disponibles aux services chargés de la lutte antiterroriste, afin de leur permettre de détecter des comportements suspects ou de surveiller les déplacements internationaux des personnes soupçonnées ou susceptibles de préparer ou de se livrer à des activités terroristes. » [7]. Pourtant, l’efficacité des dispositifs reposant sur cette combinaison quasi-systématique serait à étudier [8]...

.

La tournure classique du "besoin d’en connaitre" - en rapport avec les données enregistrées [9] trouve à s’appliquer. L’article 3 de l’arrêté du 11 avril 2013 prévoit donc que : « Dans la limite du besoin d’en connaître, seuls ont accès aux données et informations enregistrées dans le traitement les agents des services mentionnés en annexe, individuellement désignés et spécialement habilités par leur chef de service ». Or, en présentant la liste des "services" dont les agents accèdent aux données enregistrées dans SETRADER, cette annexe assure de la distinction entre les formes de contrôle aux frontières, donc les lieux et temps impartis à la prévention et à la répression de l’immigration clandestine [10] et les schèmes de la lutte antiterroriste [11]. La division de la liste - consistante - qui forme cette annexe invite nécessairement à se poser la question du rassemblement des informations dans un même traitement automatisé de données à caractère personnel...

...

Notes :

[1] JO 20 avr. 2013.

[2] Notant par ailleurs que la formule "immigration clandestine" est retenue dans cet arrêté, alors que dans l’annexe, au vu des services impliqués, c’est la formule ’"immigration irrégulière" qui est utilisée.

[3] Et, en tout état de cause, à la directive 2004/82/CE du Conseil du 29 avril 2004 concernant l’obligation pour les transporteurs de communiquer les données relatives aux passagers.

[4] La CNIL av ait alors noté que « le projet d’arrêté modificatif ... vise à proroger la mise en œuvre à titre expérimental du fichier des passagers aériens jusqu’au 31 décembre 2011, afin, notamment, de réaliser des améliorations techniques qui permettront d’aboutir à un outil opérationnel évolutif capable de traiter un volume de données plus important. »

[5] La CNIL se permet ainsi de rappeler « qu’en tout état de cause ces données issues du FPA doivent être effacées cinq ans après leur collecte, conformément aux dispositions de l’arrêté du 28 janvier 2009 modifié. »

[6] Dans son avis n° n° 2006-198 du 14 septembre 2006 (précité), la CNIL avait d’une part, constaté « que l’interconnexion, prévue à l’article 7-III de la loi du 23 janvier 2006, conduit à une vérification systématique des données parvenues au ministère de l’intérieur (direction centrale de la police de l’air et des frontières) au titre du FPA par rapport au fichier des personnes recherchées (FPR) et au système d’information Schengen (SIS). La mention "connu" ou "inconnu" est alors ajoutée au fichier FPA pour chaque voyageur », et, d’autre part, observé que « la mention "connu" ou "inconnu" figurant dans le FPA ne sera pas mise à jour. Or cette notion peut être évolutive dans le temps. La CNIL demande, par conséquent, que l’effacement de cette mention "connu" ou "inconnu" intervienne dans un délai de vingt-quatre heures, par un dispositif technique similaire à celui mis en oeuvre pour bloquer l’accès des agents chargés de l’immigration, afin d’éviter le maintien d’informations périmées au sein du FPA ».

[7] Pourtant, les données recueilles doivent être à l’origine "objectives" puisqu’elles sont transmises par les transporteurs aériens et concernent tous les voyageurs « et non les seules personnes devant faire l’objet d’une surveillance particulière »...

[8] Il est d’ailleurs à noter que le traitement SETRADER est appelé à évoluer ... une nouvelle directive européenne devant être adoptée - ce qui suscitera "une nouvelle demande d’avis" auprès de la CNIL.

[9] Lesquelles sont présentées à l’article 2 de l’arrêté du 11 avril 2013 et concernent, comme le résume la CNIL, l’identité des passagers aériens (nationalité, nom, prénom, date de naissance, sexe), leur document de voyage utilisé (type, numéro, État ou organisation émetteur, date d’expiration), le vol emprunté (point de passage frontalier, code de transport, date du vol, heures et point de départ et d’arrivée, point d’embarquement et de débarquement, nombre total de personnes transportées) et des informations concernant le passager (statut de la personne embarquée, numéro de siège, code repère du dossier passager, nombre, poids et identification des bagages).

[10] Les services concernés sont : services centraux de la direction centrale de la police aux frontières, directions de la police aux frontières des aéroports de Roissy, du Bourget et d’Orly, directions zonales et services territoriaux de la police aux frontières, sous-direction chargée de la lutte contre l’immigration irrégulière et le travail illégal des étrangers de la direction du renseignement de la préfecture de police, service technique de recherches judiciaires et de documentation, services territoriaux du ministère du budget chargés de la lutte contre l’immigration irrégulière.

[11] Ce qui engage : unité de coordination de la lutte antiterroriste ; services centraux spécialement chargés de la prévention et de la répression des actes de terrorisme de la direction centrale du renseignement intérieur, sous-direction antiterroriste de la direction centrale de la police judiciaire, office central de lutte contre le crime organisé ; office central pour la répression de la grande délinquance financière, office central pour la répression de l’immigration irrégulière et de l’emploi d’étrangers sans titre, office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, sous-direction chargée de la lutte contre le terrorisme et les extrémismes à potentialités violentes de la direction du renseignement de la préfecture de police, office central de lutte contre les atteintes à l’environnement et à la santé publique, services territoriaux en charge directement de la sûreté des transports internationaux, etc.