Jusqu’en 2023, le système français d’accès aux données de demandes de visas Schengen était dans l’illégalité

Faute de pouvoir prononcer une amende contre l'État, la CNIL a rappelé à l'ordre les ministères de l'Intérieur et des Affaires étrangères à propos du fonctionnement illicite et avec des données inexactes du portail français « Réseau mondial Visas 2 » (RMV2) permettant d'accéder aux données de demandes de visas pour l'espace Schengen en fonctionnement jusqu'en 2023. Celui-ci a récemment été remplacé par le système conforme France-Visas.

C'est lors d'un audit des systèmes d'information Schengen en 2020 que la CNIL s'est rendu compte du problème. Le portail « Réseau mondial Visas 2 » (RMV2), créé en 2001 pour l'instruction des demandes de visas par les consulats et permettant l'échange d'informations avec le ministère de l'Intérieur et les autorités des autres États de Schengen, ne fonctionnait pas convenablement.

RMV2 centralisait les demandes, délivrances et refus de visas, mais aussi le fichier des « répondants signalés » (personnes physiques ou organismes qui accueillent les demandeurs de visa lors de leur séjour en France), les titres de voyage, les interventions (appuis d'une demande ou sollicitations d'un réexamen), les demandes de cartes de commerçant.

Connecté aux fichiers européens

En cause, le fonctionnement de la récupération des informations venant des autres États de Schengen. Depuis 2008, RMV2 est raccordé au Système d'information sur les VISAS (VIS) ainsi qu'au système d'information Schengen (SIS) créés par l'Union européenne.

Le VIS a été créé spécifiquement pour améliorer la mise en œuvre de la politique commune en matière de visas, la coopération consulaire et les consultations des autorités centrales chargées des visas.

Quant au SIS, il est utilisé par la police et les gardes frontières des États membres de l'espace Schengen pour échanger et centraliser des signalements concernant les biens et les personnes. Il a été créé pour compenser la suppression des contrôles aux frontières. Selon l'association GISTI, il y figure notamment « les personnes recherchées aux fins d’extradition, les étrangers « indésirables » dans l’un des États parties, des personnes disparues, des témoins et personnes citées à comparaître, des personnes fichées aux fins de surveillance discrète. En pratique, la plupart des signalements concernent des ressortissants de pays tiers et la quasi-totalité des personnes interpellées sur la base d’un signalement Schengen sont des étrangers ».

Le SIS est composé d'un système central installé à Strasbourg (C-SIS) et de systèmes nationaux (N-SIS) implantés dans chaque pays membre de Schengen.

Des copies illégales des données en local

RMV2 permettait, lors du dépôt d'une demande de visa, l'interrogation systématique de ces deux systèmes ainsi que du fichier d'authentification des actes d'état civil. Mais pour ce faire, le système copiait les données du N-SIS français dans RMV2, « Il existe ainsi une copie centrale du RMV2 et 157 copies " locales ", dans les postes consulaires », constatait la CNIL. Or, le règlement européen de 2008 sur l'utilisation des systèmes SIS et VIS exclut le recours à des copies techniques.

La rapporteure de la CNIL a relevé aussi que « ces copies [étaient] conservées pour une durée supérieure à 48 heures. Il [s'agissait] en effet de bases pérennes qui [faisaient] uniquement l’objet de mises à jour quotidiennes ou qui, soit mensuellement, soit ponctuellement, [étaient] dupliquées une nouvelle fois, lorsque les disparités constatées sont trop importantes ».

Des erreurs de copies

Ce problème n'est pas seulement règlementaire. Car cette façon d'accéder aux données des systèmes européens ne permettaient pas de garantir une exactitude des données.

La CNIL explique que le ministère des Affaires étrangères recevait une fois par jour de la part des services du ministère de l'Intérieur « l’ensemble des mouvements du fichier N-SIS (création ou suppression – les modifications étant passées comme des suppressions suivies de créations) ». Ainsi les deux ministères s'échangeaient chaque jour environ 2500 mouvements intégrés ensuite à RMV2 central. Mais « ce mécanisme de synchronisation [engendrait] plusieurs milliers d’erreurs par mois : à titre d’exemple, 4,7 % des messages en erreur en janvier 2021 et 2,4 % en novembre 2020 ».

Car cet échange journalier n'était pas fini, les mouvements étaient ensuite répercutés à chacun des 157 postes consulaires. Mais lors de ces échanges, de nombreux problèmes pouvaient avoir lieu : « toutefois, si un poste consulaire [rencontrait] des problèmes de réseau, la base RMV2 locale [n'était] pas synchronisée en temps réel à la suite de l’envoi par le RMV2 central des mouvements. Hebdomadairement, un dénombrement des signalements N-SIS intégrés aux copies locales du RMV2 [était] effectué afin de le comparer au nombre de signalements N-SIS présents dans le RMV2 central. Toutefois, ni le contenu ni les identifiants des signalements [n'étaient] comparés. De très nombreux écarts [étaient] constatés » explique la CNIL.

L'autorité donne à titre d'exemple la semaine du 4 septembre 2020 pour laquelle 81,4 % des copies locales comportaient des écarts avec la base N-SIS.

Pour ces raisons et à défaut de pouvoir donner une amende à l'État, la CNIL a décidé de prononcer un rappel à l'ordre à l'encontre des deux ministères responsables de la gestion de RMV2 et de le rendre public. On peut constater que la publication de cette délibération de la CNIL arrive une fois que les ministères se sont mis en règle.

Remplacé par France-Visas

En effet, depuis l'audit de l'autorité en 2020, les ministères ont heureusement réagi. Pendant toute l'année 2023, ils ont mis en place le démantèlement du système RMV2. Celui-ci a été achevé à la mi-octobre.

Il a été remplacé par l'application France-Visas qui, selon les deux ministères, est conforme au règlement européen en intégrant « dès sa conception la correction des manquements dans RMV2 ». France-Visas « a été déployé dans la totalité du réseau consulaire depuis la fin mai 2023 ».

Pour rappel, cette plateforme, qui existe déjà depuis quelques années et sert à la demande de visas, a été l'objet d'une attaque informatique en 2021. Des données personnelles enregistrées lors de la saisie d'une demande de visa avaient pu être dérobées.