Le Décret n° 2024-616 du 27 juin 2024 relatif à la partie nationale du système d’information Schengen procède à l’actualisation de plusieurs dispositions du code de la sécurité intérieure relatives au système d’information Schengen à la suite de l’adoption du règlement (UE) 2018/1860 du Parlement européen et du Conseil du 28 novembre 2018 relatif à l’utilisation du système d’information Schengen aux fins du retour des ressortissants de pays tiers en séjour irrégulier, du règlement (UE) 2018/1861 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine des vérifications aux frontières, ainsi que du règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale.

Le décret précise également les catégories de personnes et d’objets ainsi que les données qui peuvent être enregistrées dans le traitement, les personnes autorisées à accéder aux données et les durées de conservation des données. 

Décret n° 2024-616 du 27 juin 2024 sur le Système d’Information Schengen

I. Présentation et Evolution du Système d’Information Schengen (SIS)

Le Système d’Information Schengen (SIS) est un outil central pour la gestion des frontières et la sécurité au sein de l’espace Schengen. Initialement mis en place par l’article 92 de la convention d’application de l’accord de Schengen du 19 juin 1990, le SIS a évolué vers sa deuxième génération sous le règlement (CE) n° 1987/2006 et la décision 2007/533/JAI du Conseil. Cette évolution a permis l’intégration des empreintes digitales et des photographies aux signalements existants.

En mars 2023, une refonte significative a été effectuée sous les règlements (UE) 2018/1860, 2018/1861 et 2018/1862, qui ont introduit de nouveaux types de signalements et des catégories de données supplémentaires comme l’ADN. Ces modifications ont renforcé l’architecture du SIS, qui comprend un système central et un système national pour chaque État membre (N.SIS), ainsi que des infrastructures de communication.

II. Modifications Apportées par le Décret n° 2024-616

A. Conformité avec la Réglementation Européenne et la Protection des Données

Le ministère de l’intérieur a initié le décret pour aligner le N-SIS avec les derniers règlements européens et la législation sur la protection des données personnelles. Le décret modifie les articles R. 231-1 à R. 231-16 du code de la sécurité intérieure pour assurer cette conformité, tout en apportant une attention particulière aux données biométriques, considérées comme particulièrement sensibles.

B. Nouvelles Catégories de Signalements et Régime Juridique

Le projet de décret introduit de nouvelles catégories de signalements dans le N-SIS, permettant notamment l’enregistrement de données dactyloscopiques recueillies sur des scènes d’infractions graves. Ces données devront être traitées avec une haute probabilité qu’elles appartiennent à un auteur de l’infraction, pour éviter des erreurs d’identification.

III. Avis de la CNIL sur le Décret

La CNIL a exprimé des préoccupations spécifiques concernant les aspects de protection des données et de régime juridique des signalements dans le N-SIS. Elle a noté la nécessité d’une évaluation minutieuse de la conservation des signalements et des mesures garantissant la sécurité des données traitées. La CNIL a également recommandé des ajustements pour s’assurer que les droits des personnes concernées soient respectés, notamment en matière d’accès et de rectification des données.

IV. Implications et Application du Décret

L’application du décret n° 2024-616 du 27 juin 2024 a des implications directes pour le fonctionnement et la gestion du N-SIS en France. Elle nécessite une coordination étroite entre les autorités nationales, le système central Schengen, et les parties prenantes pour garantir l’efficacité et la conformité des procédures. Les modifications apportées visent à renforcer la sécurité tout en protégeant les droits fondamentaux des individus, en ligne avec les standards européens de protection des données et de gestion des frontières.

V. Historique du système d’information Schengen (SIS)

Pour rappel, le système d’information Schengen (SIS) constitue un système de partage d’informations utilisé pour la gestion des frontières et la sécurité. Il contient des signalements judiciaires et administratifs concernant des personnes et des objets (par exemple : signalements de personnes aux fins de non-admission sur le territoire ou en vue d’une arrestation, signalements concernant des objets aux fins de saisie ou à titre de preuve, etc.).

Le SIS a été initialement prévu par l’article 92 de la convention du 19 juin 1990 d’application de l’accord de Schengen du 14 juin 1985. La deuxième génération du SIS a, par la suite, été encadrée par le règlement (CE) n° 1987/2006 et la décision 2007/533/JAI du Conseil. Ces textes ont notamment ouvert la possibilité d’ajouter des empreintes digitales et des photographies aux signalements.

En mars 2023, le SIS a fait l’objet d’une refonte. Les règlements (UE) 2018/1860, 2018/1861 et 2018/1862 encadrent désormais le traitement et autorisent, en particulier, l’introduction de nouveaux types de signalements (signalements de personnes faisant l’objet d’une décision de retour, par exemple) ainsi que l’enregistrement de nouvelles catégories de données (ADN, par exemple).

Ces textes organisent l’architecture et le fonctionnement du dispositif, qui repose sur un système central, un système national pour chaque Etat membre (le N.SIS) ainsi que des infrastructures de communication.
Le N.SIS est constitué des systèmes de données nationaux reliés au SIS central et peut contenir un fichier de données (une « copie nationale ») comprenant une copie complète ou partielle de la base de données du SIS. Les données du SIS sont introduites, mises à jour, supprimées et consultées par le biais des différents N.SIS.
En France, le traitement « N-SIS » est alimenté à partir du fichier des personnes recherchées (FPR), du fichier des objets et des véhicules signalés (FOVeS) et du traitement « titres électroniques sécurisés » (TES). Le FPR a été récemment modifié pour prendre en compte l’évolution des dispositions encadrant le SIS et, ainsi, permettre la création de nouvelles catégories de signalements à partir du FPR (v. CNIL, SP, 6 juillet 2023, avis sur projet de décret, FPR, n° 2023-069, publié).

VI. La saisine de la CNIL

Avant l’adoption du Décret, le ministère de l’intérieur a saisi la CNIL d’un premier projet de décret modifiant les articles R. 231-1 à R. 231-16 du code de la sécurité intérieure (CSI) encadrant la mise en œuvre du N-SIS.
Il entend mettre en conformité le N-SIS avec :

• les nouveaux règlements européens encadrant le SIS (précités), entrés en application le 7 mars 2023 ;
• la règlementation en matière de protection des données à caractère personnel (loi « informatique et libertés » modifiée).

Dans le cadre de la marge de manœuvre laissée aux autorités nationales dans l’application du règlement, une vigilance particulière s’impose quant au traitement de données biométriques. Ces données, particulièrement sensibles, permettront en effet de consulter le SIS dans différents cadres et pourront être issues de différents fichiers nationaux. Elles devront, en particulier, avoir été initialement collectées pour des finalités compatibles avec celles poursuivies par le N-SIS.

A. – Sur les signalements introduits dans le N-SIS et le régime juridique applicabl

a) Nouvelles catégories de signalements :

Le projet de décret ajoute de nouvelles catégories de signalements pouvant être enregistrés dans le N-SIS, en application des règlements précités.

En particulier, il prévoit l’inscription de personnes recherchées inconnues à des fins d’identification, signalées par l’autorité judiciaire dans le cadre d’une procédure pénale. Ces signalements ne contiennent que des données dactyloscopiques « découvertes sur les lieux d’infractions terroristes ou d’autres infractions graves faisant l’objet d’une enquête » (art. 40 du règlement 2018/1862). Ils seront créés à partir du FPR.
La CNIL rappelle ses observations relatives aux conditions d’introduction de tels signalements (CNIL, SP, 6 juillet 2023, avis sur projet de décret, FPR, précité). Il conviendra, en particulier, de prendre les mesures nécessaires pour garantir que seules les traces pour lesquelles existe un « degré très élevé de probabilité qu’elles appartiennent à un auteur de l’infraction » alimentent ces signalements.

b) Régime juridique applicable à chaque signalement :

Le ministère précise qu’au regard de ses finalités, le N-SIS est un traitement « mixte » dont les données relèvent de trois régimes juridiques distincts.

En premier lieu, les données relevant du titre II de la loi « informatique et libertés » sont celles qui concernent les personnes signalées aux fins de retour, de non-admission ou d’interdiction de séjour ainsi que les personnes vulnérables devant être empêchées de voyager dans l’intérêt de leur propre protection.
En deuxième lieu, les données relevant du titre III concernent, par exemple : les personnes signalées en vue d’une arrestation aux fins de remise sur la base d’un mandat d’arrêt européen ou aux fins d’extradition, ou encore les personnes signalées par l’autorité judiciaire dans le cadre d’une procédure pénale ou pour la notification d’une décision pénale. Elles peuvent également concerner certaines personnes signalées aux fins de retour, de non-admission ou d’interdiction de séjour.

S’agissant de la détermination du périmètre des personnes concernées, la CNIL prend acte de ce qu’un tableau détaillant le régime juridique applicable à chaque signalement, en cours d’élaboration, lui sera transmis.
Par ailleurs, elle rappelle que la mise en œuvre de marqueurs spécifiques ou d’un dispositif équivalent pourra le cas échéant permettre de déterminer précisément les signalements et données relevant de chaque régime juridique, sur la base de critères précis (en ce sens, v. CNIL, SP, 25 juin 2020, avis sur projet de décret, PASP, n° 2020-064, publié).

En troisième lieu, le traitement des données qui concernent les personnes signalées aux fins de contrôles discrets, d’investigation ou spécifiques pour certains motifs serait encadré par les dispositions du titre IV de la loi « informatique et libertés ». En conséquence, le projet de décret prévoit que les droits d’accès, de rectification et d’effacement qui concernent ces données s’exercent auprès de la CNIL, dans les conditions prévues par l’article 118 de la loi « informatique et libertés » (droit d’accès indirect).
En parallèle, les règlements SIS :

• prévoient que les traitements effectués par les autorités et services nationaux compétents sont encadrés soit par les dispositions de la directive « police-justice », soit par celles du RGPD (art. 66 du règlement 2018/1862 et 51 du règlement 2018/1861) ;
• définissent un régime d’exercice des droits propre au SIS qui diffère de celui prévu par les dispositions pertinentes du titre IV (art. 67 du règlement 2018/1862 ; art. 52 et 53 du règlement 2018/1861) ;
• ne prévoient pas l’application d’autres règles de protection des données.

Au regard de ces éléments, la CNIL s’interroge sur l’applicabilité du titre IV de la loi « informatique et libertés » au N-SIS. Elle invite le ministère à engager une réflexion sur la possibilité de ne soumettre le traitement qu’aux titres II et III de cette loi.

En tout état de cause, les droits des personnes devraient être mis en œuvre conformément aux dispositions des règlements SIS, qui ne prévoient pas de droit d’accès indirect. La mise en place, dans tous les cas, d’une procédure d’exercice direct des droits (fût-ce avec des restrictions) et d’un point de contact unique contribuerait, en outre, à l’effectivité des droits des personnes concernées.
Il conviendrait, le cas échéant, d’adapter les dispositions du décret relatives à l’exercice des droits.

B. – Sur le traitement de données biométriques

a) La collecte et l’enregistrement de données biométriques :

S’agissant des conditions d’alimentation du SIS, les règlements européens précités prévoient que les données biométriques sont introduites dans un signalement « si elles sont disponibles » (art. 22 du règlement 2018/1862). Elles ne s’inscrivent pas parmi les catégories de données qui doivent, dans tous les cas, alimenter le SIS. Au-delà de ce critère de disponibilité :

• la décision d’alimenter un signalement en données biométriques devra être commandée par le principe de nécessité ;
• la transmission de telles données au N-SIS ainsi que leur traitement dans le fichier devront être conformes à la finalité ayant présidé leur collecte.

Conformément au principe de finalité, les données dactyloscopiques destinées aux signalements judiciaires seront issues du fichier automatisé des empreintes digitales (FAED).
L’alimentation des signalements à partir de ce fichier se fera via le numéro d’identifiant d’une personne physique lié à la procédure (IDPP), qui constitue une donnée à caractère personnel.

La CNIL rappelle avoir déjà eu à se prononcer sur un projet de traitement de l’IDPP, en tant qu’identifiant commun au fichier national automatisé des empreintes génétiques (FNAEG) et à d’autres fichiers de police. Dans ce cadre, elle a notamment considéré qu’une telle évolution devrait s’inscrire dans une réflexion approfondie pour identifier précisément l’objectif poursuivi et les conséquences d’une telle modification sur l’ensemble des traitements concernés (v. CNIL, SP, 7 janvier 2021, avis sur projet de décret, FNAEG, n° 2021-009, publié).
La CNIL devra, le cas échéant, être saisie pour avis de la modification des actes réglementaires encadrant les fichiers concernés. A défaut, l’IDPP ne pourra faire l’objet d’un traitement pour permettre l’alimentation du SIS en empreintes digitales.

Par ailleurs, les données dactyloscopiques des signalements émis à des fins de retour, de non-admission et d’interdiction de séjour seront issues de l’application de gestion des dossiers des ressortissants étrangers en France (AGDREF).

L’alimentation de ces signalements se fera via le numéro AGDREF, qui permettra au N-SIS de récupérer les empreintes digitales correspondantes sans que ces dernières ne passent par le FPR. Des travaux sont en cours pour déterminer les évolutions juridiques nécessaires à l’alimentation du N-SIS en empreintes issues d’AGDREF.

b) La consultation du N-SIS à partir de données biométriques :

Les règlements européens susmentionnés autorisent les recherches dans le SIS à partir de données biométriques et génétiques.
S’agissant en particulier des données dactyloscopiques, elles peuvent être utilisées notamment pour :

• confirmer l’identité d’une personne qui a été localisée à la suite d’une recherche alphanumérique effectuée dans le SIS ;
• et identifier une personne, lorsque l’identité de cette dernière ne peut être établie par d’autres moyens (articles 33 du règlement 2018/1861 et 43 du règlement 2018/1862).

Selon les précisions apportées, le N-SIS pourra faire l’objet d’une consultation par l’empreinte dans le cadre, notamment, d’une vérification d’identité, d’une vérification du droit au séjour ou d’une procédure judiciaire.
De manière générale, les comparaisons de données dactyloscopiques peuvent être sujettes à des taux de faux rejets élevés. En outre, dans le cas où ces comparaisons sont opérées dans le but d’identifier une personne « dont l’identité n’a pu être établie par d’autres moyens », la possibilité de fausse correspondance (en principe très faible) ne peut a priori être complètement négligée du fait de l’échelle européenne de la base de comparaison. La CNIL note que ce risque susceptible d’avoir un impact sur les personnes concernées n’est pas pris en compte dans l’analyse d’impact relative à la protection des données (AIPD). Elle invite le ministère à s’assurer qu’il est pris en compte par les services habilités à effectuer des recherches à partir de données dactyloscopiques via le SIS.

S’agissant des modalités de consultation, il s’agira d’interroger le N-SIS à partir des données collectées sur une interface qui serait commune au N-SIS et au FAED. La consultation biométrique du N-SIS sera néanmoins indépendante des flux de données qui concerneraient le FAED, de sorte qu’elle n’impliquera pas d’intégration préalable des empreintes dans le FAED.

Dans la mesure où l’interface précitée constituerait une composante du N-SIS, elle devrait être prise en compte dans l’AIPD afférente.

La CNIL prend acte des dernières précisions apportées selon lesquelles l’AIPD sera modifiée en ce sens.
Enfin, elle prend acte :

• de ce que la consultation par l’empreinte ne passera pas par le FPR, dans la mesure où les dispositions encadrant ce fichier n’autorisent pas le traitement de données biométriques ;
• de ce que la consultation du SIS à partir de photographies n’est, pour l’instant, pas envisagée.

C. – Sur le traitement de données génétiques

Le projet de décret autorise l’enregistrement d’« empreintes génétiques dans les cas prévus au paragraphe 3 de l’article 42 du règlement (UE) 2018/1862 » (pour les seuls signalements concernant les personnes disparues qui doivent être placées sous protection, et uniquement lorsque les photographies, images faciales et données dactyloscopiques ne sont pas disponibles ou ne permettent pas une identification).

Selon les précisions apportées par le ministère, cette modification vise à permettre l’enregistrement, dans le N-SIS, des empreintes génétiques qui seraient introduites par d’autres Etats membres. Il n’est, pour l’instant, pas prévu que les signalements émis par les autorités françaises soient alimentés en données génétiques ni que le N-SIS puisse être consulté à partir de telles données. Si cela devait être envisagé, des évolutions juridiques et techniques seraient nécessaires.

Dans une telle hypothèse, la CNIL devrait être saisie pour avis de la modification des textes réglementaires pertinents.

D. – Sur les durées de conservation et la mise à jour des données

Le projet de décret prévoit :

• des durées de conservation différenciées selon le signalement en cause, qui se calquent sur celles prévues par les règlements SIS ;
• que les signalements sont supprimés dans les conditions prévues par les ces mêmes règlements (conservation nécessaire aux finalités, délais de réexamen, différents motifs de suppression pour chaque catégorie de signalement).

Ces derniers prévoient, en particulier, que l’Etat membre signalant est tenu d’examiner la nécessité de conserver un signalement, avant l’expiration de sa durée de conservation, « au terme d’une évaluation individuelle globale ».

Selon les précisions apportées par le ministère, il revient aux services demandant la création d’un signalement dans le N-SIS de s’assurer de la nécessité et de la proportionnalité de l’inscription et du maintien de ce dernier.
La CNIL souligne qu’il appartiendra à la direction générale de la police nationale (DGPN), en tant que responsable de traitement, de garantir l’exactitude des données ainsi que la nécessité et la proportionnalité de leur traitement.

Elle invite le ministère à prendre toutes les mesures nécessaires à cette fin, en prévoyant par exemple des procédures de communication avec les différents services émetteurs de signalements ainsi qu’une formation des agents concernés.

En l’absence de telles mesures, un défaut de mise à jour des données pourrait avoir des conséquences importantes pour les personnes concernées. Différentes décisions, tels qu’un refus de visa ou d’entrée sur le territoire, par exemple, pourraient être prises au vu d’informations erronées.
Le projet de décret prévoit également que :

• « les données de chaque signalement ne peuvent être conservées une fois expirée la période de conservation prévue par le traitement national d’où elles sont issues » ;
• « la mise à jour ou la suppression des données dans le traitement national d’origine emporte la mise à jour ou la suppression des données correspondantes dans le traitement N-SIS ».

La CNIL prend acte de la mise en production prochaine d’un projet de synchronisation automatique des bases de données nationales alimentant le N-SIS.

E. – Sur les mesures de sécurité

Le ministère précise que l’homologation de sécurité du système est en cours. Cette homologation est rendue obligatoire par le décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics, avant toute mise en exploitation d’un nouveau système ou dans les deux ans de l’entrée en vigueur de ce décret. Compte tenu du rôle pivot du système N-SIS et de ses nombreuses interconnexions, cette homologation apparaît à la CNIL comme un élément essentiel vis-à-vis de la sécurité du système d’information.

De façon très générale, la CNIL observe que la maîtrise du risque sur la confidentialité des données des personnes concernées par les signalements nationaux dépend en grande partie d’éléments qui échappent a priori à la responsabilité du ministère, dans la mesure où ils relèvent du système d’information central Schengen et de ses déclinaisons nationales dans les autres Etats membres.

a) Concernant la sécurité des accès au N-SIS :

Le N-SIS lui-même repose désormais sur une brique technique qui constitue à la fois la base de données des signalements, une suite applicative servant d’interface d’administration, de « connecteurs » assurant les échanges avec les fichiers auxquels N-SIS est interconnecté, ainsi que l’interface avec le système central Schengen. Cette brique technique concentre donc toutes les données et fonctions critiques du système. En particulier, son interface applicative permet de consulter, modifier ou supprimer toutes les données de signalements nationaux, et de consulter l’ensemble des signalements européens.

Bien que son accès soit réservé à un nombre limité d’utilisateurs (agents de maîtrise d’ouvrage et maîtrise d’œuvre NSIS, maîtrise d’ouvrage du bureau SIRENE et certains membres du bureau SIRENE), la sensibilité de l’interface applicative est telle que la CNIL invite le ministère à mettre en place, pour l’ensemble des accédants directs, une authentification multifacteur, en complément des mesures de filtrage d’adresses IP déjà en place.
Le ministère confirme par ailleurs que les opérations de la brique technique N-SIS font l’objet d’une journalisation propre, qui trace également les opérations mensuelles de synchronisation entre les systèmes d’information Schengen national et central. La durée de conservation de ces journaux est fixée à trois ans, ce qui apparaît justifié au regard des finalités du traitement.

b) Concernant le chiffrement des données :

Un chiffrement des flux de données est mis en œuvre entre le N-SIS et les systèmes d’information nationaux dès lors que ceux-ci sortent du périmètre du système d’information du ministère. Concernant les échanges avec le système d’information central Schengen, le ministère précise que les échanges passent par un réseau sécurisé européen, dont la politique de sécurité est déterminée par l’agence eu-LISA. La CNIL considère que ces mesures sont importantes pour assurer la sécurité des flux.

Concernant les données au repos, le ministère n’envisage pas de chiffrement de la base de données propre du N-SIS, considérant que le bénéfice de sécurité ne justifierait pas les inconvénients de cette mesure en termes de coût, de complexité et d’harmonisation européenne des formats de données. Toutefois, compte tenu de la concentration de données biométriques au sein de la base de données, la CNIL considère que le chiffrement des données au repos et leur sauvegarde, conformément à ses recommandations et à celles de l’ANSSI en la matière, constitue une mesure appropriée.