Un décret du 30 juin 2023, modifiant les articles R. 232-6 à R. 232-10 du code de la sécurité intérieure, et abrogeant son article R. 232-11-1, élargit le public éligible au dispositif PARAFE en sortie du territoire à l’ensemble des ressortissants des pays tiers. Il ajoute également cinq pays à la liste de ceux dont les ressortissants peuvent recourir à ce système à l’entrée sur le territoire. Enfin, il met fin à la collecte des empreintes digitales et donne accès au traitement aux militaires de la gendarmerie nationale.

Selon l’exposé des motifs du décret, cette évolution doit permettre une meilleure fluidité des mouvements aux frontières qui, dans la perspective des jeux Olympiques de 2024, apparaît absolument nécessaire.

Élargissement du public éligible

Le décret du 30 juin 2023 distingue désormais l’utilisation du système pour l’entrée sur le territoire de celle pour la sortie. 

Ainsi, sont aujourd’hui éligibles à l'utilisation du sas PARAFE à l’entrée sur le territoire :

• les citoyens de l'Union européenne ou ressortissants d'un autre État partie à l'accord sur l'Espace économique européen ou de la Confédération suisse (catégories fixées par décret) ;
  
  

• les ressortissants des pays qui figurent désormais dans un arrêté du 30 juin 2023 (NOR : IOMV2312015A), comme précédemment, les ressortissants américains, andorrans, australiens, britanniques, canadiens, sud-coréens, japonais, monégasques, néo-zélandais, saint-marinais et singapouriens, ains que, depuis le 1er juillet 2023, les ressortissants argentins, chiliens, israéliens, mexicains et péruviens.
  
  

Remarque : la Commission nationale informatique et libertés (Cnil) n’a formulé aucune observation concernant la possibilité pour le gouvernement de fixer la liste des pays dont les ressortissants peuvent en bénéficier par voie d’arrêté ministériel, ce qui permettra « des évolutions ultérieures en cas de changement de contexte sécuritaire et géopolitique, sans modification des modalités de traitement des données à caractère personnel ».

En ce qui concerne la sortie du territoire, l'ensemble des ressortissants de pays tiers, sans condition de nationalité, est désormais éligible à l'utilisation du sas.

Pour la Cnil, « ces évolutions apparaissent légitimes au regard du besoin opérationnel invoqué ». Toutefois, compte tenu de l’augmentation du volume de données traitées et de personnes concernées par le traitement, la Commission demande qu’une attention particulière soit portée « aux modalités concrètes de mise en œuvre du traitement, s'agissant notamment de l'information des personnes ».

Droit à l’information 

Comme le précise désormais l’article R. 232-10 du CSI, les droits d’information, d’accès à la rectification à la limitation et à l’opposition, prévus aux articles 13, 15, 16, 18 et 21 du règlement (UE) 2016/679 (Régl. (UE) 2016/679, 27 avr. 2016 : JOUE n° L 119, 4 mai, dit « RGDP » ), s’exercent auprès du ministre de l’intérieur, et plus précisément de la direction générale des étrangers en France (DGEF).

Remarque : sur ce point le décret du 30 juin 2023, qui transfère la responsabilité du contrôle de la police aux frontières la DGEF, a supprimé le droit d’effacement des données.

Comme l’a rappelé la Cnil, les personnes concernées par le traitement de leurs données seront informées à la frontière, par les gestionnaires d'infrastructures (aéroports, ports maritimes, gares ferroviaires) qui ont conclu une convention avec le ministère de l'intérieur et via le site web du ministère et une fiche spécifique sur le site « service-public.fr ».

Remarque : le ministère a mis en place des mesures pour assurer le respect, par les gestionnaires, de leurs obligations relatives à la communication d'informations aux voyageurs.

La Cnil a néanmoins souligné que l'obligation d'informer les personnes pèse sur le responsable de traitement et qu’à cet égard, des mesures supplémentaires devraient être déployées pour garantir que les gestionnaires fournissent, au moment de la collecte, l'ensemble des informations énumérées à l'article 13 du RGPD. Aussi, pour assurer l'effectivité des droits des personnes, celles-ci doivent être informées du caractère facultatif du recours au sas PARAFE pour le franchissement des frontières et de l'articulation du système avec d'autres dispositifs de facilitation des contrôles.

Remarque : la Cnil a souligné le fait que l'information doit être « traduite dans une ou plusieurs langues lorsque le responsable du traitement cible des personnes parlant ces langues ». D’autant plus que, désormais, le décret étend la possibilité de recourir au dispositif, à la sortie du territoire, à l’ensemble des ressortissants de pays tiers. Dès lors, pour la CNIL, « l'information fournie à la frontière et disponible sur les sites web précités devrait être traduite en plusieurs langues […] a minima en anglais et accompagnée de pictogrammes ».

Contenu et exploitation des données

Le décret du 30 juin 2023 évince les empreintes digitales du traitement. Désormais seule l’image numérisée du porteur du document de voyage sera donc enregistrée.

Il supprime également la liste des traitements pouvant être mis en relation avec données collectées en se rapportant, de manière plus générale, à « la collecte des données nécessaires aux contrôles aux frontières ».

Remarque : sur ce point, la Cnil avait pourtant recommandé de maintenir, au niveau du décret, la mention des mises en relation. A défaut il est clairement suggéré au ministère de l’intérieur de décrire sur son site web l'ensemble des mises en relation réalisées avec d'autres traitements.

Enfin, l’accès aux données est désormais ouvert aux militaires de la gendarmerie nationale.

Remarque : le projet de décret prévoyait également que les membres du personnel opérationnel de Frontex pouvaient avoir accès aux données, la Cnil n’y voyant aucun inconvénient. Toutefois, cette mention ne figure pas dans le texte définitif.