La protection des données personnelles des demandeurs, une priorité pour l’Administration

Partager

Stockage des données

Priorité de l’Administration, le respect de la protection des données personnelles confiées par les usagers implique des mesures de sécurité spécifiques, notamment lorsque celles-ci sont recueillies par des prestataires de service et en particulier lorsqu’il s’agit d’identifiants biométriques.

La solution retenue par l’Administration pour satisfaire à cette obligation a été conçue par la société THALES (désormais Imprimerie Nationale). L’Administration est parvenue à la répartition des charges financières et opérationnelles suivante :

  • Le ministère de l’Intérieur conserve la charge d’acquisition du matériel. L’Etat est ainsi propriétaire de l’intégralité de la chaîne BioNET (des terminaux jusqu’au système central), cela sans aucun stockage intermédiaire ou accès aux données par les prestataires.
  • Les prestataires prennent en charge le transport et l’installation des matériels ; ils assument également la charge de la maintenance annuelle dans l’ensemble des centres externalisés.
  • L’Imprimerie Nationale, en sa qualité de titulaire du marché BioNET, et en raison des mesures de sécurité associées à ce marché, conserve l’exclusivité des prestations impliquant une action directe sur les matériels et les logiciels. Les prestataires les sous-traitent par conséquent obligatoirement à l’Imprimerie Nationale.

Les matériels sont acheminés par la valise diplomatique, qu’il s’agisse de leur première installation ou des échanges ultérieurs consécutifs à des pannes. L’Administration assure la supervision des opérations de déploiement et de la maintenance ultérieure. Elle peut ainsi intervenir auprès des prestataires, de l’Imprimerie Nationale et de la DSIC du ministère de l’intérieur qui héberge les serveurs centraux, afin de faciliter la résolution des incidents signalés par les postes.

Les conditions exactes d’activité des prestataires ont été fixées sous l’angle strictement juridique (au titre de la protection des données personnelles) au regard des exigences du nouveau règlement européen dit RGPD (en vigueur depuis le 25 mai 2018) et de la loi « informatique et libertés » modifiée en 2018 mettant en œuvre ce règlement européen. Les PSE ont obligation d’afficher une notice (voir modèles en annexe des trois prestataires). La suppression des données doit être faite dans le SI des prestataires 30 jours après la remise du document de voyage au demandeur.

Contrôle des prestataires par l’Etat

L’activité des prestataires fait l’objet de vérifications régulières, renforcées depuis le transfert du recueil des identifiants biométriques (fiches de contrôle transmises semestriellement aux deux sous-directions compétentes du ministère de l’intérieur et du ministère de l’Europe et des Affaires étrangères), comme détaillé ci-après :

  • contrôle par les postes selon des protocoles normalisés : des fiches de contrôle doivent être transmises au ministère de l’intérieur et au ministère de l’Europe et des Affaires étrangères sur une base semestrielle,
  • assistance de l’administration centrale,
  • missions d’assistance menées par le ministère de l’intérieur et le ministère de l’Europe et des Affaires étrangères,
  • missions d’audit réalisées par l’ANSSI.
    Les agents titulaires des consulats se rendent régulièrement dans les locaux des prestataires afin de vérifier leur travail. Ces visites donnent systématiquement lieu à l’établissement d’un compte rendu.

Cadre juridique des exceptions pour la sécurité nationale, défense nationale et sécurité publique

La directive 95/46/CE a été remplacée par le règlement no 2016/679, dit règlement général sur la protection des données (RGPD) adopté par le Parlement européen le 14 avril 2016 et dont les dispositions sont directement applicables dans l’ensemble de l’Union européenne depuis le 25 mai 2018.
L’article 23 du RGPD prévoit que certaines limitations à l’application du règlement peuvent être prises lorsqu’elles constituent une mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité nationale, la défense nationale, la sécurité publique.
Le traitement des données collectées à l’occasion des demandes de visa ne relève pas de ces limitations et est soumis au RGPD.
Le MEAE et le ministère de l’intérieur sont particulièrement vigilants quant au respect de la protection des données personnelles par l’ensemble des prestataires comme en témoigne la présence depuis mai 2018 d’une annexe spécifique RGPD et la diffusion par les prestataires des notices en PJ.

(Mise à jour : 12.2019)