DELIBERATION n°2015-241 du 9 juillet 2015

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2015-241 du 9 juillet 2015
Délibération n° 2015-241 du 9 juillet 2015 autorisant la Direction générale de l’alimentation du Ministère de l’agriculture, de l’agroalimentaire et de la forêt à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé RESYTAL destiné à gérer les missions relatives à la sécurité des aliments, à la santé, à la protection des animaux et des végétaux, et à la politique de l’alimentation exercées par l’Etat
Etat: VIGUEUR

(Demande d’autorisation n° 1798336)
La Commission nationale de l'informatique et des libertés,
Saisie par la Direction générale de l’alimentation du Ministère de l’agriculture, de l’agroalimentaire et de la forêt, d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel destiné à gérer les missions relatives à la sécurité des aliments, à la santé, à la protection des animaux et des végétaux, et à la politique de l’alimentation exercées par l’Etat ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (CE) n° 882/2004 du Parlement européen et du Conseil du 29 avril 2004 modifié relatif aux contrôles officiels effectués pour s’assurer de la conformité avec la législation sur les aliments pour animaux et les denrées alimentaires et avec les dispositions relatives à la santé animale et au bien-être des animaux ;
Vu la directive 2000/29/CE du Conseil du 8 mai 2000 modifiée concernant les mesures de protection contre l’introduction dans la Communauté d’organismes nuisibles aux végétaux ou aux produits végétaux et contre leur propagation à l’intérieur de la Communauté ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code rural et de la pêche maritime ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 9 et 25 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Sur la proposition de Mme Laurence DUMONT, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement.
Formule les observations suivantes :
La Direction générale de l’alimentation (DGAL) a saisi la Commission, le 30 septembre 2014, d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel destiné à gérer les missions relatives à la sécurité des aliments, à la santé, à la protection des animaux et des végétaux, et à la politique de l’alimentation exercées par l’Etat.
Le traitement comportant l’enregistrement et le suivi des infractions pénales en matière d’alimentation, la Commission estime qu’ il y a lieu de faire application de l’article 25-I-3° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation de la Commission les traitements automatisés ou non, portant sur les données relatives aux infractions, condamnations ou mesures de sûreté.
Sur la finalité du traitement
Resytal est une application visant à terme à refondre en totalité le système d’information de la Direction générale de l’alimentation et à couvrir l’ensemble de ses processus métiers à l’issue de deux phases successives.
Le traitement, objet de la présente délibération, porte uniquement sur la première phase du traitement qui traite des contrôles sanitaires officiels des établissements soumis à la réglementation sanitaire, des suites administratives et pénales de ces inspections et de la gestion des autorisations et agréments d'activités.
Par ailleurs, la DGAL est responsable du budget opérationnel de programme « Sécurité et qualité sanitaires de l'alimentation » devant le parlement et exerce à ce titre, la gestion des ressources humaines concernant ce programme.
Il s’agit plus spécifiquement de la gestion des affectations et de la mobilité d’environ 4500 agents, laquelle interviendra au cours de la deuxième phase du traitement pour l’année 2016.
Ce traitement a pour finalités :

  • de programmer et d’enregistrer les contrôles officiels relevant des services vétérinaires et de la protection des végétaux de l’Etat (contrôles sanitaires d’établissements, analyses en laboratoires de produits animaux, végétaux ou d’origine animale et végétale, observations visuelles de produits) ;
  • d’enregistrer le constat des infractions pénales en matière d’alimentation, de santé publique vétérinaire et de protection des végétaux ;
  • de gérer les suites administratives ou pénales apportées à ces contrôles ou à ces enquêtes ;
  • de délivrer les autorisations, qualifications et documents officiels relatifs aux établissements et aux animaux qui leur sont rattachés ;
  • de mettre en œuvre les mesures techniques, administratives et financières nécessaires pour prévenir l’apparition ou pour assurer l’élimination des risques d’origine animale ou végétale concernant la santé publique ou la santé des animaux et des végétaux.

La Commission considère les finalités poursuivies comme déterminées, explicites et légitimes.
Sur la nature des données traitées
Les données collectées dans le cadre du traitement RESYTAL concernent :

  • Les responsables d’activités soumises à contrôle :
  • civilité, nom, prénom ;
  • fonction ;
  • adresse postale ;
  • adresse de messagerie professionnelle ;
  • numéro de téléphone professionnel ;
  • identifiants métiers qui correspondent à leur activité.
  • Les vétérinaires :
  • numéro d’inscription à l’ordre des vétérinaires ;
  • titre, qualité, nom, prénom ;
  • école et diplôme (Union européenne, pays tiers)
  • adresse téléphone, fax et mél ;
  • le type d’activité (rurale, canine, mixte, …), spécialités et mode d’exercice ;
  • département et région d’activité ;
  • associés (si exercice en société).
  • Les agents de l’administration centrale et des services déconcentrés exerçant des missions relatives à la sécurité des aliments, à la santé des animaux, à la protection des animaux, des végétaux, et à la politique de l’alimentation :
  • civilité, nom, prénom et numéro de gestion ;
  • grade ;
  • affectation opérationnelle ;
  • situation administrative ;
  • adresse de messagerie professionnelle ;
  • numéro de téléphone professionnel ;
  • % ETP (équivalent temps plein).
  • Les agents des organismes délégataires auxquels la DGAL et ses services déconcentrés ont confié des missions relatives à la sécurité des aliments, à la santé des animaux, à la protection des animaux, des végétaux et à la politique de l’alimentation :
  • civilité, nom et prénom de l’agent ;
  • fonction et numéro de gestion interne ;
  • adresse de messagerie professionnelle ;
  • numéro de téléphone professionnel.
  • La situation professionnelle des agents ;
  • Les données de localisation des élevages ;
  • Les données d’infractions et de condamnations en cas de non-respect de la règlementation sanitaire.

La DGAL assure la traçabilité des contrôles exercés tant par les inspecteurs de l’administration que par des organismes délégataires. Pour les contrôles sanitaires, la DGAL confie des missions à deux organismes délégataires : les groupements de défense sanitaire (GDS) pour le volet vétérinaire, et les fédérations régionales de défense contre les organismes nuisibles (FREDON) pour l'aspect phytosanitaire.
Les données relatives à la localisation des élevages permettent de relever leur position à l’aide d’une carte IGN pour connaître les foyers susceptibles de faire l’objet d’enquêtes épidémiologiques et établir un périmètre de protection en cas d’apparition de maladies animales ou végétales suite à des signalements externes. Cette localisation des établissements peut être réalisée par tout agent de l’Etat, ou agissant pour le compte de l’Etat par délégation (agent des organismes à vocation sanitaire, vétérinaire,…).
S’agissant des données relatives aux infractions et aux condamnations, les personnes habilitées sur le fondement de l’article L.205-1 du code rural et de la pêche maritime (les agents de la DGAL et les vétérinaires et préposés sanitaires contractuels de l'Etat) recherchent et constatent les infractions à la règlementation sanitaire.
La DGAL assure le suivi administratif et pénal sur la base de ces contrôles et par l’enregistrement des rapports d’inspection.
La Commission considère que ces données sont pertinentes au regard de la finalité poursuivie, conformément aux dispositions de l’article 6-3° de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données
En application de l’article 6-5° de la loi du 6 janvier 1978 modifiée, la Commission rappelle que les données doivent être conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Les durées de conservation prévues pour le présent traitement sont les suivantes :

  • pour les données relatives aux usagers soumis à des contrôles sanitaires, cinq ans après leur cessation d’activité ;
  • pour les données relatives aux agents de la DGAL ou employés par un organisme délégataire, aux vétérinaires rattachés aux exploitations, cinq ans postérieurement à leur cessation d’activité ;
  • pour les données relatives à la localisation du bétail, cinq ans après la cessation d’activité de l’établissement.

La Commission prend acte du fait que ces durées de conservation sont justifiées par les durées en matière de contentieux, le temps nécessaire aux études épidémiologiques qui nécessitent un historique des évènements sanitaires.
Ces durées de conservation n’appellent pas d’observation de la part de la Commission.
Sur les destinataires des données
L’article 3 du projet d’arrêté portant autorisation des traitements du système d’information de la DGAL énonce qu’ont accès directement à ces informations ou en sont destinataires dans la limite des droits liés à leurs attributions réglementaires respectives :

  • les agents des services de l’administration centrale du ministère en charge de l’agriculture dans le cadre de leurs missions relatives à la sécurité des aliments, de la santé et de la protection des animaux et des végétaux ;
  • les agents des services déconcentrés de l’Etat dans le cadre de leurs missions relatives à la sécurité des aliments de la santé et de la protection des animaux et des végétaux ;
  • les agents du secrétariat général du ministère chargé de l’agriculture, chargés de la maîtrise d’œuvre de l’application et de l’exploitation de la base de données ;
  • les agents des associations sanitaires régionales, des organismes à vocation sanitaire dans les domaines animal et végétal, et des organismes vétérinaires à vocation technique reconnus par le décret ministériel n° 2012-842 du 30 juin 2012 ;
  • la direction générale des finances publiques du ministère de l’économie, des finances et de l’industrie dans les conditions et selon les procédures réglementaires existantes définies pour l’accès des services fiscaux aux documents à caractère nominatif ;
  • les autorités judiciaires ;
  • les vétérinaires titulaires du mandat sanitaire institué par l’article 221-11 du code rural et de la pêche maritime ;
  • les agents des laboratoires dans le cadre des travaux d’analyses qui leur sont confiés par la DGAL et ses services déconcentrés ;
  • le personnel habilité de l’association BDPORC.

Dans le cadre d’études scientifiques ou économiques et d’une convention passée avec la DGAL, peuvent être destinataires de tout ou partie des données et informations contenues dans le traitement, à raison de leurs attributions et du besoin d’en connaître :

  • la Commission européenne et l’agence européenne de sécurité des aliments ;
  • toute autre administration de l’Etat ou établissement public (Institut National de la Recherche Agronomique, FranceAgriMer,…)

La Commission considère que les organismes précités présentent un intérêt légitime à accéder aux données prévues par le présent traitement.
Sur les interconnexions de fichiers
La mise en relation des fichiers du présent traitement est effectuée avec la base de données AGHORA de gestion du personnel du ministère de l’agriculture d’une part et avec la base de données de l’association BDPORC qui recense les activités des élevages porcins d’autre part.
Concernant la base de données AGHORA, la DGAL est responsable du budget opérationnel de programme « Sécurité et qualité sanitaires de l'alimentation » qui mobilise 4500 agents des services déconcentrés du ministère et implique des actions de gestion des compétences, de mobilité des agents.
A ce titre, les données du programme sont récupérées dans le système d’information de la DGAL via la base de données AGHORA, référentiel unique du ministère en matière de gestion des ressources humaines afin d’utiliser le référentiel des ressources humaines du ministère (noms, prénoms et matricules des agents) et éviter ainsi une double saisie.
La gestion de la mobilité du personnel est prévue pour la deuxième phase du traitement qui interviendra en 2016.
Concernant la base de données BDPORC laquelle est agréée par la DGAL, il s’agit d’un double flux, BDPORC transmet la liste des élevages porcins à RESYTAL, qui renvoie à BDPORC des données de limitations de mouvements afin de réaliser des actes sanitaires (prévention et lutte contre les maladies, gestion de foyers) et de ne pas mélanger des animaux de statuts sanitaires différents lors de leur transport.
La Commission estime qu’il s’agit d’une mise en relation de fichiers entre une association, personne morale de droit privé, et une personne morale gérant un service public et dont les finalités principales sont identiques et non pas d’une interconnexion de fichiers au sens de l’article 25 de la loi du 6 janvier 1978 modifiée.
Sur l’information et les droits des personnes
Conformément à l’article 32 de la loi du 6 janvier 1978 modifiée, l’information des personnes concernées par le traitement en cause est assurée par des mentions sur le portail de l’application RESYTAL et sur le site internet du ministère.
Le droit d’accès et le droit de rectification prévus aux articles 39 et suivants de la loi du 6 janvier 1978 modifiée s’exercent auprès de la direction générale de l’alimentation du ministère de l’agriculture, de l’agro-alimentaire et de la forêt.
Les personnes concernées sont informées de leur droit d’accès et de rectification au sein des courriers qui leur sont adressés et une mention sera présente sur la page d’accueil du portail des télé-procédures utilisées par les usagers, en application de l’article 32 de la loi du 6 janvier 1978 modifiée.
Concernant les seuls vétérinaires, ces droits s’exercent auprès du conseil supérieur de l’ordre des vétérinaires.
Le droit d’opposition n’est pas applicable au présent traitement par application du troisième alinéa de l’article 38 de la loi du 6 janvier 1978 modifiée.
En effet, ce traitement répond à une obligation communautaire issue du règlement européen (CE) n° 882/2004 du 29 avril 2004 modifié relatif aux contrôles officiels effectués pour s’assurer de la conformité avec la législation sur les aliments pour animaux et les denrées alimentaires et avec les dispositions relatives à la santé animale et au bien-être des animaux.
Sur la sécurité des données et la traçabilité des actions
Une démarche de sécurité a été intégrée au projet, sous le pilotage du responsable de la sécurité des systèmes d’information (RSSI) du ministère de l’agriculture, et des mesures techniques sont mises en œuvre pour assurer la sécurité des données et la traçabilité sur les applications et les bases de données (chiffrement réseau, outils de surveillance, utilisation de données anonymisées pour les tests).
Le contrôle d’accès logique et l’authentification des accès administrateurs sont réalisés à l’aide de certificats ou de mots de passe, et des profils d’habilitation définissent les fonctions des utilisateurs et les informations qui leur sont accessibles.
La Commission recommande le recours à des mots de passe d’une longueur minimale de dix caractères, composés de minuscules, majuscules, chiffres et caractères spéciaux.
Elle recommande que la gestion de ces habilitations fasse l’objet d’une procédure formalisée.
Les sauvegardes de données sont délocalisées sur un site physique distant et sécurisé.
La Commission recommande que ces sauvegardes soient également chiffrées, ainsi que la base de données.
Concernant les échanges de données avec la base des élevages porcins BDPORC, la Commission recommande qu’une attention particulière soit portée à la confidentialité et à l’intégrité du flux sortant, qui transmet des données sensibles à un partenaire.
Plus généralement, la Commission recommande que toutes les mesures nécessaires soient prises par le responsable de traitement pour garantir la sécurité des informations concernant les contrôles sanitaires, la constatation des non-conformités et des infractions pénales, et leurs suites administratives ou pénales.
Ces mesures de sécurité logique, physique et organisationnelle doivent être définies au regard des risques identifiés par une analyse des risques présentés par le traitement, analyse qui doit notamment couvrir les risques pour les libertés et la vie privée des personnes.
Afin de garantir la mise en œuvre de ces mesures de sécurité dans la durée, elles doivent être matérialisées par une politique de sécurité propre au traitement et faire l’objet de contrôles et de révisions régulières au vu des évolutions du traitement, de son usage et de son environnement.
Enfin, compte tenu de la sensibilité des données, la Commission demande que l’acte réglementaire portant autorisation du traitement intègre un article indiquant qu’il sera opéré conformément à l’article 34 de la Loi « informatique et libertés ».
En outre, en raison de la présence d’échanges avec des partenaires et de la possibilité de télé-procédures avec des usagers, la Commission recommande au responsable de traitement d’attester formellement de la sécurité de celui-ci au travers d’une homologation RGS (référentiel général de sécurité).
Sous ces réserves, la Commission estime que les mesures mises en œuvre permettent d’assurer la sécurité du traitement.
Dans ces conditions, la Commission autorise la Direction générale de l’alimentation du Ministère de l’agriculture, de l’agroalimentaire et de la forêt à mettre en œuvre le traitement automatisé de données à caractère personnel dénommé RESYTAL destiné à gérer les missions relatives à la sécurité des aliments, à la santé, à la protection des animaux et des végétaux, et à la politique de l’alimentation exercées par l’Etat.
La Présidente
I. FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 1 octobre 2015