Délibération 2019-140 du 5 décembre 2019

Commission Nationale de l'Informatique et des Libertés
Délibération n°2019-140 du 5 décembre 2019
Délibération n° 2019-140 du 5 décembre 2019 portant avis sur un projet de décret relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des personnels de surveillance de l'administration pénitentiaire (demande d'avis n° 19020058)
NOR: CNIX1935641X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Saisie, le 7 novembre 2019, par le ministre de la justice d'une demande d'avis concernant un projet de décret relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des personnels de surveillance de l'administration pénitentiaire ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 2016/680 du 27 avril 2016 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 87 ;
Vu la loi n° 2009-1436 du 24 novembre 2009 pénitentiaire, notamment ses articles 2 et 12 ;
Vu la loi n° 2018-697 du 3 août 2018 relative à l'harmonisation de l'utilisation des caméras mobiles par les autorités de sécurité publique, notamment son article 2 ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Après avoir entendu Mme Christine MAUGÜÉ, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :
La loi n° 2018-697 du 3 août 2018 susvisée a, en son article 2, ouvert la possibilité, à titre expérimental, aux personnels de surveillance de l'administration pénitentiaire pour les missions présentant, à raison de leur nature ou du niveau de dangerosité des personnes détenues concernées, un risque particulier d'incident ou d'évasion, de procéder à l'enregistrement audiovisuel de leurs interventions au moyen de caméras individuelles, lorsque se produit ou est susceptible de se produire un incident, eu égard aux circonstances de l'intervention ou au comportement des personnes concernées.
Il est prévu que les modalités d'application et d'utilisation des données collectées au moyen de ces caméras individuelles soient précisées par un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission.
La Commission considère qu'il résulte tant des finalités principalement poursuivies que des missions confiées à l'administration pénitentiaire, que le traitement projeté relève des dispositions de la directive (UE) 2016/680 du 16 avril 2016 susvisée telles que transposées aux articles 87 et suivants de la loi du 6 janvier 1978 modifiée.
Dans la mesure où les traitements projetés sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment parce qu'ils portent sur des données sensibles, le ministère de la justice a réalisé une analyse d'impact relative à la protection des données à caractère personnel (AIPD), laquelle a été adressée à la Commission avec la demande d'avis conformément à l'article 90 de la loi du 6 janvier 1978 modifiée.

Sur les finalités :
La Commission relève que, de manière générale, le déploiement de dispositifs de caméras individuelles entend répondre à un besoin de sécurisation physique des agents de l'administration pénitentiaire dans le cadre de certaines interventions à risques, d'une part, et de sécurisation des mouvements des détenus (transfert, extractions judiciaire, etc.), d'autre part.
L'article 2 du projet de décret prévoit ainsi que les traitements de données à caractère personnel provenant des caméras individuelles, mis en œuvre par l'administration pénitentiaire, ont pour finalités :

- la prévention des incidents et des évasions ;
- le constat des infractions et la poursuite de leurs auteurs par la collecte de preuves ;
- la formation et la pédagogie des agents pénitentiaires.

La Commission estime que les finalités poursuivies par les traitements projetés, fixées par le législateur, sont déterminées, explicites et légitimes, conformément à l'article 4 (2°) de la loi du 6 janvier 1978 modifiée.

Sur le périmètre des dispositifs et la nature des données traitées :
A titre liminaire, la Commission relève qu'il sera possible, par le biais de l'emploi des caméras individuelles, de capter des données sensibles au sens du I de l'article 6 de la loi 6 janvier 1978 modifiée, la mise en œuvre de traitements de données à caractère personnel à partir de ces dispositifs implique dès lors de prévoir des garanties strictes.
En ce qui concerne le périmètre de mise en œuvre des dispositifs de caméras individuelles, l'article 1er du projet de décret prévoit expressément que seuls les personnels de surveillance de l'administration pénitentiaire individuellement désignés par l'autorité hiérarchique compétente ou par les personnes auxquelles elle délègue sa signature pourront procéder à un enregistrement audiovisuel au moyen de caméras individuelles pour les missions présentant, à raison de leur nature ou du niveau de dangerosité des personnes détenues un risque particulier d'incident ou d'évasion .
La Commission relève à cet égard que l'AIPD transmise avec le projet de décret liste les personnels de surveillance qui pourront être désignés individuellement (notamment les membres des équipes régionales d'intervention et de sécurité ou des équipes nationales de transfèrement) et précise les missions justifiant le port de caméras individuelles, ce dont il est pris acte. Elle relève ainsi que les missions autorisant le port d'une caméra sont :

- les opérations extérieures (extractions judiciaires, extractions médicales, autorisations de sorties sous escorte, transferts administratifs, translations judiciaires et remises des personnes détenues aux autorités étrangères lorsqu'elles se déroulent sur le sol national, mission de sécurisation périmétrique des établissements pénitentiaires) ;
- les interventions au sein des établissements pénitentiaires ou des unités hospitalières en vue de la maîtrise d'une personne détenue ou du maintien ou du rétablissement de l'ordre ;
- la surveillance des personnes détenues, qui en raison de leur comportement ou de leurs antécédents, sont susceptibles de présenter un risque important pour la sécurité des personnes et de l'établissement ou un risque élevé d'évasion (il s'agit des personnes détenues affectées dans les maisons centrales ou quartiers maison centrale, les quartiers disciplinaires et d'isolement, les quartiers d'évaluation de la radicalisation, les quartiers spécifiques de sécurité renforcée [unité pour détenus violents, quartier de prise en charge de la radicalisation] ainsi que les personnes gérées en tenue de protection et d'intervention [gestion équipée] en détention ordinaire).

La Commission observe que si l'AIPD transmise donne certaines informations quant au périmètre de l'expérimentation retenu (notamment les équipes de sécurité concernées ou les types d'établissements), ces dernières ne permettent pas de déterminer les établissements concernés ainsi que par voie de conséquence le nombre de personnels pouvant bénéficier de ce dispositif.
Elle relève par ailleurs qu'il ressort de l'AIPD que les établissements pour mineurs seront exclus de l'expérimentation, ce dont elle prend acte.
La Commission relève en outre que le projet de décret prévoit que seules les caméras fournies aux personnels de surveillance de l'administration pénitentiaire au titre de l'équipement des personnels sont autorisées, ce qui exclut le recours à tout autre dispositif permettant la captation d'éléments visuels et sonores, et notamment à des caméras personnelles.
S'agissant des situations dans lesquelles les personnels de surveillance de l'administration pénitentiaire sont autorisés à déclencher l'enregistrement, l'article 1er du projet de décret reprend in extenso les termes de la loi du 3 août 2018 susvisée et précise que les caméras peuvent être utilisées lorsque se produit ou est susceptible de se produire un incident, eu égard aux circonstances de l'intervention ou au comportement des personnes concernées .
L'article 2 de la loi de la loi du 3 août 2018 susvisée précise que l'enregistrement n'est pas permanent et qu' aucun enregistrement ne peut être déclenché à l'occasion d'une fouille réalisée en application de l'article 57 de la loi pénitentiaire n° 2009-1436 du 24 novembre 2009 .
La Commission observe que l'AIPD transmise fait mention d' éléments de doctrine d'emploi concernant le déclenchement des caméras, elle estime que ces éléments sont de nature à guider les personnels de surveillance, porteur de tels dispositifs, dans leur utilisation de ceux-ci, limitant ainsi toute collecte disproportionnée de données à caractère personnel. Elle regrette néanmoins que la doctrine d'emploi n'ait pas été portée à sa connaissance dans son intégralité.
En ce qui concerne les données traitées, l'article 3 du projet de décret énumère les catégories de données à caractère personnel et informations enregistrées dans les traitements mis en œuvre, à savoir les images et les sons captés par les caméras individuelles utilisées par les personnels pénitentiaires, le jour et les plages horaires d'enregistrement, l'identification de l'agent porteur de la caméra lors de l'enregistrement des données ainsi que le lieu où sont collectées les données.
Si l'utilisation de systèmes d'enregistrement sonore couplés à des dispositifs vidéo peut poser des difficultés au regard de l'exigence de proportionnalité résultant des textes relatifs à la protection des données à caractère personnel, la collecte de données sonores apparaît néanmoins en l'espèce pertinente et proportionnée à l'objectif poursuivi par le traitement.
Le projet de décret prévoit que les données enregistrées dans les traitements sont susceptibles de faire apparaître, directement ou indirectement, des données sensibles. Or, le I de l'article 6 de la loi du 6 janvier 1978 modifiée pose le principe d'une interdiction de traitement de telles données. Toutefois, le III de ce même article indique que ne sont pas soumis à l'interdiction prévue au I les traitements automatisés ou non justifiés par l'intérêt public et autorisés dans les conditions prévues au II de l'article 31, ce qui est l'objet du présent projet de décret. En outre, l'article 89-II de la loi du 6 janvier 1978 modifiée prévoit que le traitement de telles données est possible dans la mesure où il est autorisé par des dispositions législatives et réglementaires, ce qui est le cas en l'espèce. Il convient alors que le traitement offre des garanties appropriées pour les droits et libertés de la personne concernée. A ce titre, la Commission relève qu'il sera interdit de sélectionner dans les traitements une catégorie particulière de personnes à partir de ces seules données.
S'agissant de l'utilisation des enregistrements sonores et audiovisuels à des fins pédagogiques et de formation, l'article 6 du projet de décret prévoit que ceux-ci seront anonymisés. A cet égard, la Commission rappelle que l'anonymisation implique d'empêcher toute ré-identification individuelle des personnes concernées par les enregistrements. Elle prend acte que l'anonymisation portera sur les éléments visuels ( floutage des visages et des caractéristiques physiques) et sur les noms des agents, des détenus ou des tiers (apposition d'un bip au prononcé du nom d'une personne). La Commission rappelle de manière générale que l'anonymisation devra également concerner tout élément tenant à la situation individuelle des personnes concernées ou au contexte particulier de l'intervention.
Sous réserve de ce qui précède, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 4-3° de la loi du janvier 1978 modifiée.

Sur la durée de conservation :
L'article 2 de la loi du 3 août 2018 précitée prévoit que les enregistrements audiovisuels sont effacés au bout de six mois, hors le cas où ils sont utilisés dans le cadre d'une procédure judiciaire, administrative ou disciplinaire. Le projet de décret vient préciser le point de départ de ce délai de conservation, à savoir six mois à compter du jour de leur enregistrement .
Cette durée de conservation supérieure aux durées communément admises par la Commission dans le cadre de la mise en œuvre de dispositifs de vidéosurveillance doit permettre de tenir compte des délais moyens de traitement des procédures judiciaires, administratives ou disciplinaires. A cet égard, la Commission relève que la durée de conservation est une durée fixe et non une durée maximale. Il en résulte que les données traitées ne sauraient être supprimées avant le terme de ce délai, au risque de priver les personnes concernées de la possibilité d'accéder aux données qui les concernent et donc de les faire valoir, le cas échéant, dans le cadre d'une procédure.
L'article 6 du projet de décret précise qu'au terme de ce délai les enregistrements font l'objet d'un effacement automatique, et que lorsque les données ont été extraites et transmises pour les besoins d'une procédure, elles sont conservées selon les règles propres à chaque type de procédure.
La Commission considère que les données collectées sont conservées pendant une durée qui n'excède pas la durée nécessaire compte tenu des finalités pour lesquelles elles sont collectées et traitées, conformément à l'article 4-5° de la loi du 6 janvier 1978 modifiée.

Sur les accédants et les destinataires des données traitées :
Les catégories de personnes habilitées à accéder aux données et les destinataires mentionnés à l'article 5 du projet de décret n'appellent pas d'observation particulière de la Commission.

Sur l'information et les droits des personnes concernées :
S'agissant de l'information des personnes concernées, l'article 2 de la loi du 3 août 2018 précitée prévoit que les caméras sont portées de façon apparente par les agents et qu'un signal visuel spécifique indique si la caméra enregistre. Il prévoit également que le déclenchement de l'enregistrement fait l'objet d'une information des personnes filmées, sauf si les circonstances l'interdisent .
Au regard de ces garanties, la Commission considère qu'il ne pourra pas être procédé à un enregistrement à l'insu de la personne concernée. Elle estime toutefois que si certaines circonstances interdisent d'informer immédiatement les personnes concernées du déclenchement de l'enregistrement, les dispositions précitées ne dispensent pas les agents de délivrer cette information de manière différée, dès que ces circonstances ont cessé et, au plus tard, au terme de l'intervention. Elle rappelle qu'une telle information doit permettre aux personnes concernées d'exercer leurs droits.
L'article 2 de la loi du 3 août 2018 prévoit qu'une information générale du public sur l'emploi des caméras individuelles est organisée par le ministre de la justice. L'article 8-II du projet de décret précise que cette information sera délivrée sur le site internet du ministère de la justice.
La Commission relève en outre qu'une information sur l'emploi des caméras et les traitements de données à caractère personnel mis en œuvre sera délivrée par voie d'affichage au sein des établissements pénitentiaires (notamment, ainsi que le précise l'AIPD, dans les sas, les lieux de passage des personnes détenues, à l'abri familles, à la porte d'entrée principale et dans les locaux du personnel). Elle estime que le projet de décret pourrait être utilement complété pour reprendre ces précisions.
La Commission estime par ailleurs que l'information délivrée par voie d'affichage ou sur le site internet du ministère devra mentionner le fonctionnement concret des dispositifs mis en œuvre notamment s'agissant des modalités précises de déclenchement de la captation et d'enregistrement des images.
Par ailleurs, le projet de décret prévoit que les personnes concernées peuvent exercer leurs droits d'information, d'accès, de rectification et d'effacement directement auprès de l'autorité hiérarchique ayant désigné et habilité l'agent ayant procédé à l'enregistrement en application des articles 104 à 106 de la loi du 6 janvier 1978 modifiée.
Le projet de décret précise ensuite que pour les motifs mentionnés aux 1°, 2°, 3° et 5° du I de l'article 107 de la loi du 6 janvier 1978 modifiée, les droits d'accès, de rectification et d'effacement peuvent faire l'objet des restrictions prévues aux II et III de l'article 107 de la loi précitée. Dans cette hypothèse, les droits sont exercés auprès de la Commission dans les conditions prévues à l'article 108 de la loi précitée.
La Commission relève que l'AIPD précise que ces restrictions permettraient notamment de garantir la sécurité des établissements pénitentiaires, de ne pas révéler des informations confidentielles sur les méthodes d'intervention de certaines équipes de sécurité pénitentiaire ou encore de garantir la sécurité des détenus impliqués dans un incident. Elle estime que de telles restrictions apparaissent dès lors justifiées au regard des finalités poursuivies par les traitements projetés.
La Commission relève enfin que, s'agissant du droit d'opposition, l'article 8-I, al. 4, du projet de décret précise qu'en application de l'article 110 de la loi du 6 janvier 1978 modifiée, celui-ci n'a pas vocation à s'appliquer aux traitements projetés.

Sur les mesures de sécurité :
L'article 2 de la loi du 3 août 2018 précitée prévoit que les personnels auxquels les caméras individuelles sont fournies ne peuvent avoir accès directement aux enregistrements auxquels ils procèdent. L'article 4 du projet de décret précise que les données enregistrées par les caméras individuelles sont transférées sur un support informatique sécurisé dès le retour des agents au service. Cet article ajoute que les enregistrements ne peuvent être consultés qu'à l'issue de l'intervention et après leur transfert sur un support informatique sécurisé. Aucun système de transmission permettant de visionner les images à distance en temps réel ne peut être mis en œuvre.
La Commission estime que ces interdictions de principe doivent être accompagnées de mesures techniques notamment de nature à garantir l'intégrité des données enregistrées, elle recommande à cet égard qu'un contrôle d'intégrité soit opéré sur les données vidéo et audio. A titre d'exemple, il pourrait s'agir de calculer une empreinte des données avec une fonction de hachage conforme à l'annexe B1 du référentiel général de sécurité et de stocker cette empreinte avec les données de journalisation.
Si la Commission observe qu'un cloisonnement total au niveau réseau des terminaux dédiés à la lecture et à l'extraction des données est prévu, elle estime que des mesures devraient être prévues pour maintenir cet état de fait (par exemple : le blocage de ports réseau, la déconnexion physique des cartes réseau, des sessions régulières de sensibilisation des agents, etc.) et que l'AIPD devrait dès lors être complétée en ce sens.
La Commission relève que des mesures de chiffrement pour garantir la sécurité du stockage et des flux de données sont prévues. S'agissant de chiffrements symétriques, la Commission estime toutefois que les modalités de transmission des secrets ainsi que les mesures techniques mises en œuvre pour en assurer la confidentialité ( enclave sécurisée , etc.) devraient être précisées dans l'AIPD.
L'article 7 du projet de décret prévoit que chaque opération de consultation, d'extraction et d'effacement de données fait l'objet d'un enregistrement dans le traitement ou, à défaut, d'une consignation dans un registre spécialement ouvert à cet effet. En l'absence de toute précision sur ce point, la Commission rappelle que le registre doit être conservé dans les conditions de nature à garantir l'intégrité des données et qu'il ne saurait être laissé à la disposition des agents concernés.
La Commission relève par ailleurs que la transmission des données via des supports physiques (clé USB, DVD) ne fait pas l'objet de mesures de chiffrement, elle recommande dès lors que des mesures tant techniques qu'organisationnelles soient mises en place et que l'AIPD soit complétée en ce sens.
La Commission rappelle enfin la nécessité d'utiliser des briques technologiques (système d'exploitation, antivirus et logiciel) à jour et considère que la fréquence et les modalités de ces mises à jour devraient être précisées dans l'AIPD.
Les autres mesures de sécurité n'appellent pas de remarque de la Commission. Elle rappelle toutefois que les obligations relatives à la loi du 6 janvier 1978 modifiée nécessitent la mise à jour de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.

La présidente,
M.-L. Denis




Nature de la délibération: AVIS
Date de la publication sur legifrance: 31 décembre 2019