Le contexte

Le système européen d’information sur les visas (VIS) centralise les données relatives aux demandeurs et aux demandes de visas pour l’espace Schengen. Il est utilisé par les autorités françaises pour l’examen des demandes de visas de court séjour et des décisions de refus, de prolongation, d’annulation ou de retrait de visa, ainsi que pour la vérification des visas et des demandeurs ou détenteurs de visa.

Le système européen d’information Schengen (fichier Schengen) est un fichier européen dans lequel sont notamment signalées les personnes recherchées en vue d’une arrestation ou d’une extradition ou dans le cadre d’une procédure pénale, les personnes disparues et certaines personnes interdites de séjour.

En France, le portail national permettant d’accéder aux données du VIS est composé d’un système central et de 157 copies locales au sein des différents postes consulaires français. Il permet également, lors du dépôt d’une demande de visa, l’interrogation du fichier Schengen.

En application de la règlementation européenne spécifique aux systèmes d’information Schengen, les autorités nationales doivent auditer leur système national tous les quatre ans. C’est dans ce contexte que la CNIL a pris l’initiative de procéder à des contrôles.

Sur la base des constatations effectuées lors des différents contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que les ministères avaient enfreint la règlementation européenne et la loi Informatique et Libertés. Elle a prononcé à un rappel à l’ordre à leur égard, qu’elle a décidé de rendre public.

La loi ne permet pas à la CNIL de prononcer d’amende contre l’État. Cependant, la CNIL peut prononcer de nombreuses autres mesures correctrices à l’encontre des acteurs étatiques : une mise en demeure, un rappel à l’ordre, ou encore une injonction de mise en conformité ou de répondre à la demande d’exercice des droits d’une personne. En outre, elle peut rendre sa décision publique afin d’alerter sur la gravité d’une situation.
Des copies illicites et des données inexactes

La formation restreinte a relevé que le portail français fonctionnait à partir d’une extraction de la copie nationale du fichier Schengen, qui était dupliquée à la fois dans le système central et dans les copies locales des postes consulaires.

Or, le règlement européen interdit aux États membres de constituer des copies de leur base nationale alors que les autorités françaises sont directement connectées au système européen. En outre, l’utilisation de ces copies engendre, dans la pratique, un problème d’inexactitude des données. En effet, plusieurs difficultés de synchronisation ont été constatées entre les systèmes européens et les fichiers français, ainsi que des écarts de données entre le système central français et les bases locales des postes consulaires.

La formation restreinte en a conclu que les ministères avaient manqué aux obligations prévues à l’article 4 de la loi Informatique et Libertés en procédant à des copies nationales des données et en traitant des données inexactes.
Un système désormais conforme

La formation restreinte a relevé que les ministères avaient mis fin aux manquements constatés en démantelant le portail national et en le remplaçant en mai 2023 par un système conforme, l’application France-Visas.

Texte reference

SIS II : Système d’information Schengen II
SIS (Système d’information Schengen ou Fichier Schengen) : c’est quoi ?

Textes de référence

Règlement (CE) nº 1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II)
Règlement (CE) n° 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d’information sur les visas (VIS) et
Arrêté du 22 août 2001 portant création d’un traitement informatisé d’informations nominatives relatif à la délivrance des visas dans les postes diplomatiques et consulaires
Délibération SAN-2023-017 du 11 décembre 2023