Question de Mme RENAUD-GARABEDIAN Évelyne (Français établis hors de France - Les Républicains-R) publiée le 07/10/2021
Mme Évelyne Renaud-Garabedian interroge M. le ministre de l'Europe et des affaires étrangères sur la protection des données personnelles des demandeurs de visa auprès des prestataires de services extérieurs. Dans le cadre de l'externalisation de la collecte des demandes de visa, l'administration fait appel aujourd'hui à trois prestataires de service : TLS CONTACT, VFS GLOBAL et CAPAGO. Dans ces centres externalisés, la solution BioNET permet le recueil des données biométriques (empreintes digitales et photographie d'identité) à l'aide d'un appareil, propriété de l'État. Celui ci permet également l'échange des données entre le prestataire et l'administration. Depuis mai 2018, une nouvelle annexe « règlement général sur la protection des données » (RGPD) a été ajoutée au contrat de prestation de service précisant les conditions exactes d'activité des prestataires au regard des exigences de protections des données personnelles. Ainsi, la suppression des données doit être faite dans le système d'information des prestataires 30 jours après la remise du document de voyage au demandeur. Le ministère indique que des vérifications régulières sont effectuées via des fiches de contrôle transmises semestriellement aux deux sous-directions compétentes du ministère de l'intérieur et du ministère de l'Europe et des affaires étrangères. Elle voudrait avoir le détail des clauses des contrats concernant la protection des données personnelles. Elle souhaiterait savoir concrètement comment s'opèrent ces contrôles et qui les réalise. Elle lui demande si des défaillances ou bien un non-respect du RGPD ont déjà été constatés. Enfin, elle l'interroge sur les conséquences en cas de manquements aux obligations concernant les données personnelles.
- page 5703
Réponse du Ministère de l'Europe et des affaires étrangères publiée le 23/12/2021
Les prestataires de services extérieurs (PSE) ont traité 93% des demandes de visa en 2019 et 88% en 2020, dans un contexte de crise sanitaire et de fermeture des frontières. Les consulats qui ont recours à l'externalisation pour le traitement du recueil des demandes de visas doivent formaliser cette demande de prestation par la signature d'un contrat entre le chef de poste et le PSE sélectionné. Ce contrat comporte notamment une annexe RGPD (règlement général sur la protection des données) standard, qui détaille les obligations du PSE en tant que sous-traitant. Le personnel employé par des prestataires externes est formé à la protection des données et à la sécurité informatique. Les équipes sont informées que toutes les opérations au sein des applications sont traçables et que le travail effectué par les prestataires de services et leurs employés est soumis à un contrôle régulier. Les consulats contrôlent le travail des PSE sur une base mensuelle et transmettent par la suite un rapport de conclusions aux directions compétentes du ministère de l'Europe et des affaires étrangères (MEAE) et du ministère de l'intérieur. Les PSE peuvent également faire l'objet d'audits ponctuels, aléatoires ou ciblés de la sous-direction des visas du ministère de l'intérieur et de la sous-direction de la politique des visas du MEAE. Par ailleurs, des audits spécifiques ont été réalisés par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et de la Commission nationale de l'informatique et des libertés (CNIL). Les PSE n'ont pas accès aux applications nationales françaises, à l'exception de deux applications dédiées à la collecte de données (BIONET pour la biométrie et VISANET pour la saisie du formulaire de demande de visa). Ils n'ont donc pas accès aux données N.VIS et ne peuvent pas visualiser, modifier ou supprimer ces données. Les applications utilisées par les prestataires (BIONET et VISANET) utilisent des VPN cryptés, pour garantir la sécurité des informations transmises, telles que les données biométriques (empreintes digitales et photo) et les données d'identité alphanumériques. Les demandes présentées par un prestataire externe aux postes consulaires sont contrôlées pour évaluer la qualité des données saisies par les employés du prestataire avant le traitement de la demande. Les clauses concernant la protection des données personnelles sont stipulées à l'article 13 du cahier des charges (Le prestataire de services extérieur prend toutes les mesures de sécurité techniques et organisationnelles requises pour protéger les données à caractère personnel collectées contre les risques de destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, ainsi que contre toute autre forme de traitement illicite de données à caractère personnel. Dans le respect du règlement 2016/679, règlement général sur la protection des données, il applique les normes de protection des données, et s'engage à obtenir/maintenir une certification ISO 27001). Une annexe RGPD spécifique est ajoutée aux contrats (également transmise pour information). À ce jour, aucun manquement ou non-respect du RGPD n'a été constaté. En cas de défaillance du titulaire du contrat dans l'accomplissement des prestations définies contractuellement, les services du MEAE peuvent mettre fin au contrat, moyennant, sauf en cas d'urgence, un préavis de trois mois. Concernant l'information aux demandeurs en matière d'utilisation des données conformément au RGPD, une notice d'information a été conçue et diffusée à l'ensemble de nos postes à l'étranger, pour affichage chez nos prestataires de service extérieurs, ainsi qu'au sein des services des visas ayant vocation à accueillir les demandeurs, et mise en ligne sur l'intranet.
- page 7037
Page mise à jour le