Qu'est-ce que le système d'information sur les visas ?
Le système d’information sur les visas (VIS) est un système d’échange de données entre les États membres concernant les demandes de visa Schengen pour un séjour de courte durée, ainsi que les décisions y afférentes.
Le VIS a pour objectifs de simplifier la procédure de demande de visa, de prévenir le « visa shopping » et la fraude, de faciliter les contrôles aux frontières extérieures ainsi que les vérifications d’identité à l’intérieur du territoire des États membres, et de contribuer à la prévention des menaces pour la sécurité intérieure des États membres. Les autorités chargées de délivrer les visas, comme les consulats des États membres qui examinent les demandes de visa, ou les postes de contrôle aux frontières de l’espace Schengen qui vérifient l’identité des titulaires de visa, ont accès aux données dans le VIS.
L’architecture du VIS est similaire à celle d’autres systèmes d’information à grande échelle: un système central («VIS central») gérée par l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice («eu-LISA») qui est relié aux systèmes nationaux des États membres (lien).
Quelles données sont enregistrées dans le VIS ?
Les articles 9 à 14 du Règlement (CE) n°767/2008 (Règlement VIS) précisent les données devant être introduites dans le VIS à chaque étape de la procédure de demande de visa.
Le VIS contient des données à caractère personnel issues de la demande de visa (telles que le nom, le sexe, la date et le lieu de naissance, la nationalité, l’adresse du domicile du demandeur, la profession, l’itinéraire de voyage prévu, les coordonnées de la personne qui adresse l’invitation, le type et le numéro du document de voyage, etc.), ainsi qu’une une photographie et les empreintes digitales du demandeur. D'autres données sont ajoutées dans le cadre de la procédure de demande de visa par exemple si le visa est délivré, prorogé, refusé, révoqué ou annulé). En outre, le lieu et la date de la décision ainsi que le type de visa et le numéro de la vignette, sont également ajoutés dans le VIS.
Qui a accès au VIS ?
Les autorités compétentes en matière de visas, c'est-à-dire les consulats et les autorités centrales chargées des visas, consultent le VIS pour examiner les demandes et statuer sur celles-ci.
Pour effectuer les contrôles aux frontières extérieures et sur le territoire national, les autorités compétentes ont accès au VIS afin de vérifier l’identité du titulaire du visa, l’authenticité du visa et/ou si la personne remplit les conditions d’entrée, de séjour ou de résidence sur le territoire national.
Les autorités compétentes en matière d’asile ont uniquement accès au VIS, notamment pour effectuer des consultations visant à déterminer l’État membre de l’UE responsable de l’examen d’une demande d’asile ou pour procéder à cet examen.
Dans certains cas, les autorités répressives nationales peuvent demander l’accès aux données introduites dans le VIS aux fins de la prévention, de la détection et de l’investigation des infractions terroristes et autres infractions pénales graves.
L’accès aux données du VIS est limité au personnel autorisé dans l’exécution de ses tâches. Ils doivent veiller à ce que l'utilisation de ces données soit limitée à ce qui est nécessaire et proportionné à l'accomplissement de leurs tâches.
Combien de temps les données sont-elles conservées dans le VIS?
Les données sont conservées dans le VIS pendant une durée de cinq ans. En règle générale, ce délai de conservation commence à courir à compter de la date d'expiration du visa délivré, à la date à laquelle une décision de refus est intervenue ou de la date à laquelle une décision modifiant un visa délivré a été prise.
Vos droits en matière de protection des données dans le cadre du VIS
Votre droit d'accès, de rectification et d'effacement des données personnelles et de limitation du traitement
L’article 38 du règlement VIS prévoit explicitement que les droit d’accès (lien), de rectification (lien), d’effacement (lien) et de limitation du traitement (lien) prévus par le RGPD sont applicables.
Par conséquent, toute personne concernée dispose donc du droit d’accéder à ses données, du droit de faire rectifier ou compléter les données inexactes ou incomplètes, ainsi que du droit de demander l’effacement de données enregistrée de manière illicite dans le VIS. Sous certaines conditions, elle peut également obtenir la limitation du traitement de ses données.
Pour exercer vos droits en tant que personne concernée, vous devez tout d’abord adresser votre demande à l’autorité centrale compétente en matière de visa. Vous pouvez envoyer un courrier ou un courriel aux adresses suivantes:
Ministère des Affaires étrangères et européennes, de la Défense, de la Coopération et du Commerce extérieur
Bureau des passeports, visas et légalisations
6, rue de l'Ancien Athénée
L-1144 Luxembourg
Courriel: service.visas@mae.etat.lu
Vous trouverez ci-dessous des modèles de lettres mis à disposition par la CNPD pour vous aider à soumettre votre demande.
La réponse à votre demande doit vous parvenir dans un délai d’un mois à compter de sa réception.
Si vous ne recevez pas une réponse endéans les délais ou si vous n’êtes pas satisfait de la réponse reçue, vous avez le droit d’introduire une réclamation auprès de la CNPD en utilisant le formulaire en ligne prévu à cet effet (lien).
Vous trouverez de plus amples informations sur le site du Service des passeports, visas et légalisations du Ministère des Affaires étrangères et européennes, de la Défense, de la Coopération et du Commerce extérieur (lien).
Vos droits lorsque le responsable du traitement limite vos droits en matière de protection des données
Dans certaines circonstances, le responsable du traitement peut limiter vos droits.
Si le responsable du traitement décide de limiter vos droits, il doit vous en informer. Toutefois, il peut décider de ne pas vous en informer si cette communication risquerait de compromettre l'objectif même de la restriction.
En outre, le responsable du traitement doit vous informer des voies de recours disponibles, ainsi que de la possibilité de déposer une réclamation auprès de la CNPD et/ou d'exercer vos droits de manière indirecte par l’intermédiaire de la CNPD.
Si vous souhaitez exercer vos droits de manière indirecte par l’intermédiaire de la CNPD, veuillez utiliser le formulaire de réclamation disponible sur son site (lien). Vous devez indiquer explicitement que vous souhaitez exercer vos droits en tant que personne concernée de manière indirecte, en raison d'une limitation imposée par le responsable du traitement.
Comme indiqué ci-avant, vous devez d’abord adresser vos demandes visant à exercer vos droits en tant que personne concernée au Service des passeports, visas et légalisations du Ministère des affaires étrangères et européennes, de la Défense, de la Coopération et du Commerce extérieur. Vous ne pouvez exercer vos droits de manière indirecte auprès de la CNPD que si le responsable du traitement a appliqué les limitations décrites ci‑dessus.
Votre droit de déposer une réclamation auprès de la CNPD
Comme mentionné précédemment, la CNPD est compétente pour traiter les réclamations relatives à une violation de vos droits en tant que personne concernée. Veuillez utiliser le formulaire de réclamation disponible sur le site internet de la CNPD (lien).
Rôle de la CNPD
De manière générale, la CNPD est compétente pour contrôler la licéité du traitement des données à caractère personnel effectué par les autorités luxembourgeoises conformément au règlement VIS. Toutefois, elle n'est pas compétente pour contrôler la licéité des traitements de données à caractère personnel lorsqu’ils sont effectués par les juridictions de l'ordre judiciaire, y compris le ministère public, ou par les juridictions de l'ordre administratif dans le cadre de l’exercice de leur fonction juridictionnelle.
Dans ce contexte, la CNPD informe les personnes concernées de leurs droits relatifs au traitement des données à caractère personnel dans le VIS. Toute personne concernée peut adresser une demande d'information à la CNPD à l’aide d'un formulaire en ligne dédié à cet effet. Aucun document (p. exemple, copie d’une pièce d’identité) ne doit être fourni à la CNPD lors de l’introduction de la demande (lien).
Comme indiqué précédemment, la CNPD est compétente pour traiter les réclamations des personnes concernées qui estiment que leurs droits en matière de protection des données ne sont pas respectés, ainsi que pour gérer l’exercice indirect de vos droits en tant que personne concernée.
Outre l'obligation générale de contrôler la licéité du traitement des données à caractère personnel par les autorités luxembourgeoises conformément au règlement VIS, la CNPD est tenue de contrôler, au moins tous les quatre ans, les opérations de traitement des données effectuées par les autorités nationales responsables.
Les autorités nationales chargées de la protection des données, y compris la CNPD, ainsi que le Contrôleur européen de la protection des données (CEPD), qui est chargé de contrôler le traitement des dans le système central par l’eu-LISA, coopèrent au sein du Comité de surveillance coordonnée (CSC) afin d’assurer une supervision coordonnée et cohérente en permanence (lien).