La France se veut à la pointe des pays de l'espace Schengen en matière d'externalisation des demandes de visa (2,2 millions en 2011). Après leur collecte, de plus en plus souvent confiée à des sociétés privées moyennant un surcoût pour les utilisateurs (comme en Chine, en Algérie, en Thaïlande, en Russie, en Turquie...), elle s'apprête aussi à laisser ces mêmes sociétés opérer le recueil des identifiants biométriques des demandeurs, désormais associés aux visas. Empreintes digitales, photographie d'identité numérisée et données personnelles : des prestataires de services se chargeront de recueillir ces informations sensibles dans au moins 30 zones consulaires, à terme, soulevant des interrogations sur la sécurité de ces données.
Un projet de décret permettant de mettre en oeuvre l'externalisation de la biométrie est en cours de validation. Examiné en novembre par le comité technique ministériel du Quai d'Orsay, passage obligé, il a suscité un tir de barrage des syndicats. Unanimes pour rejeter le texte, ils estiment que si le ministère en est réduit à privatiser une partie de la procédure de demande de visa - la décision de l'attribuer ou de le refuser relevant toujours des autorités françaises -, c'est en raison de la fonte régulière des effectifs dans les consulats à l'étranger. Avec de moins en moins d'agents et des demandes de visa qui explosent dans certains pays, l'externalisation relève d'une logique... imparable. Les représentants syndicaux ont de nouveau manifesté leur opposition au texte, présenté une seconde fois le 5 décembre devant le comité ministériel. Un avis uniquement consultatif qui ne l'empêchera pas cependant de suivre son cours.
"Sérieuses réserves" de la Cnil
Tirant le signal d'alarme, la CFDT soulève "les risques induits par l'externalisation de la biométrie". Le syndicat s'inquiète de la protection des données et s'interroge sur la situation de monopole créée par cette externalisation. Peu de sociétés sont à même d'opérer ce recueil des données biométriques et, de fait, seules deux se partagent déjà la plupart des centres de dépôt des demandes de visa pour la France. Les centres que ces prestataires exploitent à Alger, Istanbul et Londres ont d'ailleurs expérimenté durant une année le recueil des identifiants biométriques des demandeurs de visa.
Une expérimentation conduite sous l'oeil attentif de la Cnil, la Commission nationale de l'informatique et des libertés, qui avait exprimé "de sérieuses réserves" en amont. Elle affirmait en 2009 : "L'intervention d'un prestataire extérieur dans le processus de collecte des données comporte un risque de compromission de l'intégrité du processus de délivrance des visas, et notamment du niveau de fiabilité et de sécurité de ce processus, ainsi que des garanties entourant la protection des données personnelles relatives aux demandeurs de visa."
Dans un avis rendu le 13 septembre dernier, la Cnil s'est prononcée sur la phase d'expérimentation. Elle relève que "la grande majorité des mesures se sécurisation de cette modalité de collecte des données biométriques ont effectivement été mises en oeuvre par les postes consulaires et les ministères compétents [ceux des Affaires étrangères et de l'Intérieur]". Elle ajoute : "La mise en oeuvre de mesures strictes de surveillance et de contrôle de l'ensemble des activités du prestataire a également été constatée."
Risques pour les données
Un satisfecit pour l'expérimentation et un feu vert à la généralisation du dispositif ? La Cnil tempère les élans ministériels. Elle estime : "Les risques, notamment sur l'utilisation des données collectées par les autorités locales, restent en tout point d'actualité. Il apparaît dès lors nécessaire de maintenir la plus grande vigilance sur cette modalité de collecte et de poursuivre les travaux visant à en améliorer la sécurité." Elle s'interroge aussi sur sa possible mise en oeuvre dans des pays - comme l'Inde, le Pakistan ou l'Iran - qui interdisent ou restreignent l'utilisation de clés de chiffrement longues, qui permettent pourtant de protéger les données qui circulent sur le réseau, incontournables pour "la sécurité du dispositif d'externalisation".
La Cnil insiste enfin pour que cette externalisation soit réservée aux "postes consulaires dont la situation le justifie, au regard notamment du nombre de demandes de visa instruites, de l'inadaptation des locaux ou de la superficie du territoire". Elle en profite pour rappeler que le code communautaire des visas ne prévoit de "coopérer avec un prestataire de services extérieur" qu'en... dernier ressort. Alors que la France a d'ores et déjà prévu de confier la prise des identifiants biométriques au privé dans 30 zones consulaires.
Source