DELIBERATION n°2013-031 du 24 janvier 2013

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2013-031 du 24 janvier 2013
Délibération n° 2013-031 du 24 janvier 2013 autorisant l’INAVEM à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité le suivi des activités des associations d'aide aux victimes adhérentes et l’établissement de statistiques
Etat: VIGUEUR

(Demande d’autorisation n° 1523243)
La Commission nationale de l’informatique et des libertés,
Saisie par la Fédération Nationale d’Aide aux Victimes et de Médiation (INAVEM) d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité le suivi et la gestion des activités des associations d'aide aux victimes adhérentes à l'INAVEM ainsi que la production de statistiques ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8, 9 et 25 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Claire DAVAL, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission a été saisie par la Fédération nationale d’aide aux victime et de médiation (ci-après « INAVEM ») d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité le suivi et la gestion des activités des associations d'aide aux victimes adhérentes à l'INAVEM ainsi que la production de statistiques.
L’INAVEM a pour mission d’animer, de coordonner et de promouvoir le réseau d'aide aux victimes, ainsi que d'engager des partenariats et des conventions pour faciliter l'accès des personnes victimes vers les associations locales. La fédération, qui compte plus de 140 associations d’aide aux victimes réparties sur tout le territoire national, a notamment pour mission d’accueillir et d’accompagner les victimes d’infractions.
Ce traitement est notamment rendu nécessaire dans le cadre des conventions de partenariat avec le ministère de la justice, afin de permettre aux associations de rendre compte à l’administration de leurs activités.
Au vu du traitement de certaines données, le traitement envisagé doit être autorisé par la Commission nationale de l’informatique et des libertés (article 25 de la loi du 6 janvier 1978 modifiée).
Sur les finalités du traitement
Les finalités assignées au traitement projeté sont de permettre aux associations conventionnées et membres de l’INAVEM un suivi et une gestion quotidiens de leurs dossiers d’une part, et pour l’INAVEM et ces associations de disposer de statistiques anonymisées d’autre part, notamment aux fins de transmission au ministère de la justice.
Seules les associations conventionnées par le ministère de la justice, et membres de l’INAVEM, mettront en œuvre ce traitement. Les conditions de passation de ces conventions sont précisées dans la circulaire du Premier ministre du 18 janvier 2010 relative aux relations entre les Pouvoirs Publics et les associations.
Les missions qu’elles mettent en œuvre et pour lesquelles un traitement informatisé est nécessaire s’inscrivent dans le cadre du code de procédure pénale : elles sont constituées de l’accès au droit, de l’aide aux victimes et des mandats judiciaires (médiation pénale, administration ad hoc et enquêtes de personnalité victimes). Les articles 41 et 53-1 du code de procédure pénale prévoient en effet que l’autorité judiciaire peut recourir à une association d’aide aux victimes conventionnée afin qu’il soit porté aide à la victime de l’infraction. Les articles 41-1 et R15-33-30 prévoient pour leur part qu’une mission de médiation pénale peut être effectuée par une association, tout comme le prévoient les articles 81-1 et R15-35 pour l’enquête de personnalité et les articles 706-50 et R.53 et suivants pour l’administration ad hoc.
Ce traitement permettra également à ces associations de rendre compte à l’administration (ministère de la justice) et aux autres bailleurs de fonds (collectivités territoriales), conformément à leurs obligations dans le cadre du programme budgétaire 101, lequel prévoit des objectifs et des indicateurs auxquels les associations doivent répondre chaque année en remplissant un questionnaire. Seules des données anonymisées seront transmises.
L’INAVEM disposera pour sa part de statistiques anonymisées à des fins de communication, d'évaluation des services proposés par les associations et de recueil d’éléments de réflexion nécessaires à l’évaluation des politiques publiques d'aide aux victimes.
La Commission considère les finalités poursuivies comme déterminées, explicites et légitimes.
Sur les modalités de collecte et la nature des données traitées
Les associations n’ont en aucun cas accès au dossier de la procédure, sauf si celui-ci leur est transmis par le juge mandant. A défaut, la collecte des données interviendra directement auprès de la personne concernée, de manière déclarative. Par ailleurs, le code de procédure pénale prévoit en son article R15-33-66-9 que sont destinataires dans les conditions fixées par cet article, de tout ou partie des informations et données à caractère personnel enregistrées dans le traitement Cassiopée, les membres des associations d'aide aux victimes mentionnées à l'article 41.
Au regard de la diversité des missions mises en œuvre par les associations d’aide aux victimes, les données enregistrées dans le traitement sont nombreuses et variées.
Elles concerneront aussi bien la victime que les personnels, salariés ou bénévoles des associations (enquêteurs de personnalité), que le prescripteur de la mesure ou les différentes personnes parties prenantes à la procédure (employeur entendu dans le cadre d’une enquête de personnalité par exemple, auteur présumé de l’infraction).
Les données sont, en fonction de la procédure et du type de mission exercée par l’association, relatives à l’identité des personnes, leur vie personnelle et professionnelle, et à des informations d’ordre économique et financier.
Conformément aux articles 41 et R. 53-1 du code de procédure pénale, l’autorité judiciaire peut recourir à une association d’aide aux victimes conventionnée afin qu’il soit porté aide à la victime de l’infraction, justifiant ainsi la collecte et le traitement de données d’infractions, condamnations et mesures de sûreté. La Commission considère que cette mission d’aide aux victimes et d’accompagnement tout au long de la procédure judiciaire participe de l’exercice effectif de leurs droits par les victimes. De telles données peuvent également être collectées dans le cadre d’une médiation pénale. Il y a donc lieu de faire application des articles 9-1° et 25-I-3° de la loi du 6 janvier 1978 modifiée, qui disposent que les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales, peuvent être autorisées par la Commission à traiter de telles données.
La Commission relève que le NIR pourra également être collecté, notamment dans le cadre d’une mesure d’administration ad hoc ou dans le cadre de l’aide aux victimes, conformément à l’article 25-I-6° de la loi du 6 janvier 1978 modifiée. Cette donnée ne devra cependant être collectée et traitée qu’aux seules fins d’échanges avec la sécurité sociale.
En outre, des données relevant de l’article 8 de cette même loi pourront être collectées, ainsi que plus généralement des critères de vulnérabilité (handicap, maladie, grossesse, âge, etc.). La Commission considère que le traitement de ces données, lorsqu’elles sont nécessaires à la mission confiée à l’association, permettent d’assurer un exercice effectif de leurs droits par les victimes ou l’exécution d’un mandat judiciaire, justifiant ainsi l’application des articles 8-IV et 25-I-1° de la loi du 6 janvier 1978 modifiée. Ces données devront néanmoins être traitées de manière objective et exclusive de toute appréciation subjective du personnel des associations.
Enfin, et notamment dans le cadre des enquêtes de personnalité des victimes, des données comportant des appréciations sur les difficultés sociales des personnes pourront être traitées, et la Commission estime qu’il y a donc lieu de faire application de l’article 25-I-7°de la loi du 6 janvier 1978 modifiée.
S’agissant des enquêtes de personnalité, la Commission prend acte que les documents rédigés dans ce cadre ne seront pas numérisés et intégrés dans l’application. Le traitement enregistre uniquement des informations relatives à l’identité de l’enquêteur et aux personnes entendues. De même, les données relatives aux enquêtes de personnalité concernant les auteurs d’infractions ne seront pas traitées.
La Commission autorise le traitement de ces données dans la mesure où elles sont pertinentes au regard du type de missions confié à ces associations. Néanmoins, elle estime que ces données ne devront pas être systématiquement recueillies, mais seulement dans le cas où le traitement du dossier le nécessite.
La Commission relève que le traitement comportera de nombreux champs libres. A cet égard, elle rappelle que les données doivent être pertinentes, adéquates et non excessives au regard des finalités poursuivies, et ce aussi bien dans la nature des données collectées que dans la manière de les formuler. Par ailleurs, elles devront être communiquées à l’intéressé, à sa demande, conformément à l’article 39 de la loi du6 janvier 1978 modifiée.
Sur la durée de conservation des données
Les données seront conservées pendant une durée de deux ans à compter du dernier contact. Elles seront ensuite versées dans une base d’archive inactive puis effacées définitivement à l’issue d’un délai de trois ans.
Cette conservation permettra si besoin aux associations d’avoir accès à des anciens dossiers. La Commission relève que l’accès à la base inactive sera restreint, dans la mesure où une demande d’autorisation auprès de l’administrateur ou du service assistance du prestataire informatique devra être effectuée pour qu’un dossier de la base inactive soit reversé en base active et consulté.
Sur les personnes accédant aux données
Les personnes accédant directement au traitement seront les personnels des associations (salariés et bénévoles), en fonction du besoin d’en connaître et selon des profils d’accès très déterminés. En outre, chaque association n’aura accès qu’aux dossiers qu’elle prend en charge.
Sur les droits des personnes
Concernant le droit d’information des victimes, la Commission relève qu’il sera assuré de plusieurs manières. Une mention sera apposée dans les courriers adressés par l’association ; en outre, l’information sera également délivrée via son site internet, et enfin via la présence d’un tableau d’affichage lorsque la victime est reçue dans les locaux de l’association. En cas de contact téléphonique, et dans la mesure où la levée d’anonymat a lieu au moment de cet entretien téléphonique, la personne concernée devra être informée du traitement de ses données. Dans le cas où la personne souhaite garder l’anonymat, aucune donnée à caractère personnel ne sera enregistrée dans le traitement. Si, suite à cet entretien, une rencontre a lieu et des données à caractère personnel sont traitées, l’information sera délivrée lors de cette collecte.
La Commission estime que ces modalités d’information des victimes sont satisfaisantes.
S’agissant des autres personnes qui verront leurs données à caractère personnel enregistrées (auteurs présumés d’infraction, magistrats, etc.), la collecte de leurs données sera réalisée de manière indirecte, justifiant l’application de l’article 32-III alinéa 2 de la loi du 6 janvier 1978 modifiée qui prévoit une exception au droit d’information quand l’information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche.
Les droits d’accès et de rectification s’exerceront de manière directe, auprès de l’INAVEM, qui sera alors donneur d’ordre auprès de l’association concernée.
Sur la sécurité des données et la traçabilité des actions
L’ergonomie de l’outil INAVEM Pro-Gest a été conçue en fonction des cinq différentes missions exercées par les associations (aide aux victimes, médiation pénale, administration ad hoc, enquêtes de personnalité, accès au droit), et sera accessible via un accès web sécurisé.
C’est un progiciel qui a été développé selon un cahier des charges émis par l’INAVEM. Il s’agit d’une application web s’exécutant sur un serveur dédié hébergé chez un prestataire externe. L’application est accessible par connexion sécurisée https sur la base d’un certificat permettant d’authentifier le serveur hôte. Les données sont enregistrées dans une base de données SQL.
Le progiciel satisfait aux principales recommandations de sécurité exigées par l’article 34 de la loi du 6 janvier 1978 modifiée.
Seize types d’habilitation ont été définis, restreignant l’accès à certaines données en fonction des métiers des personnes, ce qui permet de s’assurer que seules les personnes ayant besoin d’en connaître auront accès aux données à caractère personnel.
La Commission rappelle que l’authentification des utilisateurs du traitement doit respecter ses préconisations. Les mots de passe doivent notamment être d’un niveau de complexité suffisant (huit caractères avec des lettres minuscules, majuscules, des chiffres et des caractères spéciaux).
Une traçabilité des actions est effectuée, et ces traces seront conservées un mois. Il convient d’ajouter qu’elles seront exploitées de manière hebdomadaire par l’administrateur.
La Commission prend acte que le traitement ne fera l’objet d’aucune interconnexion, notamment avec le traitement Cassiopée du ministère de la justice. Les données éventuellement issues de Cassiopée (numéro de parquet notamment) seront reportées manuellement dans l’application mise en œuvre par l’INAVEM.
Dans ces conditions, la Commission autorise l’INAVEM à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité le suivi et la gestion des activités des associations d’aide aux victimes membres de l’INAVEM et l’établissement de données statistiques.
La Présidente
Isabelle FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 16 mars 2013