Délibération 2015-125 du 7 avril 2015

Commission Nationale de l'Informatique et des Libertés
Délibération n°2015-125 du 7 avril 2015
Délibération n° 2015-125 du 7 avril 2015 autorisant la société FamilySearch International à mettre en œuvre plusieurs traitements automatisés de données à caractère personnel ayant pour finalités la numérisation et le transfert vers les États-Unis d’Amérique de copies d’archives publiques ainsi que la diffusion et l’indexation de l’image de ces documents sur son site internet à visée généalogique et dans ses centres de consultation (Demande d’autorisation n° 1625100)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés ;
Saisie par la société FamilySearch International d'une demande de précision sur la portée de la délibération n° 2013-105 du 25 avril 2013 portant autorisation d'un traitement automatisé de données à caractère personnel ayant pour finalités le transfert vers les États-Unis de documents d'archives publiques numérisées et la diffusion de l'image de ces documents sur son site internet à visée généalogique ainsi que dans ses centres de consultation ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code du patrimoine ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 36 et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2010-460 du 9 décembre 2010 portant recommandation relative aux conditions de réutilisation des données à caractère personnel contenues dans des documents d'archives publiques ;
Vu la délibération n° 2012-113 du 12 avril 2012 portant autorisation unique de traitements de données à caractère personnel contenues dans des informations publiques aux fins de communication et de publication par les services d'archives publiques ;
Vu la délibération n° 2013-105 du 25 avril 2013 portant autorisation d'un traitement automatisé de données à caractère personnel ayant pour finalités le transfert vers les États-Unis de documents d'archives publiques numérisées et la diffusion de l'image de ces documents sur son site internet à visée généalogique ainsi que dans ses centres de consultation ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Philippe LEMOINE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement ;

Formule les observations suivantes :
La société FamilySearch International souhaite réutiliser des copies d'archives publiques librement communicables (registres d'état civil, tables décennales et cahiers de recensement) en vue de les mettre à disposition de lecteurs de son site Internet à visée généalogique et de ses centres de consultation. Il s'agit tout particulièrement de numériser les originaux de ces archives, de les transférer vers les États-Unis, puis de les indexer avant de pouvoir les diffuser sur son site internet et dans ses centres de consultation. Il est prévu de réaliser certaines de ces opérations, notamment le masquage de certaines données avant la publication et l'indexation, aux États-Unis d'Amérique.

La Commission considère dès lors qu'il y a lieu de faire application des dispositions prévues au troisième alinéa de l'article 36 de la loi du 6 janvier 1978 modifiée, qui permettent, avec l'autorisation de la Commission, d'utiliser des données conservées au-delà de la durée nécessaire à la finalité pour laquelle elles ont été initialement collectées en vue de les traiter à des fins autres qu'historiques, statistiques ou scientifiques.

Le recours à la formalité de l'autorisation se justifie également au regard de l'article 69 de la même loi, dans la mesure où il est prévu un transfert de données vers un État non membre de l'Union européenne et n'assurant pas un niveau suffisant de protection des données, à savoir les États-Unis d'Amérique.

Ainsi, le dispositif que FamilySearch met en œuvre dans le respect des obligations légales afférentes comporte plusieurs objectifs. Ces derniers sont distingués, dans la présente délibération, en trois traitements.
- Le premier traitement a lieu en plusieurs étapes. Il consiste tout d'abord à numériser des archives publiques, qu'il s'agisse de nouveaux documents devenus librement communicables ou des microfilms déjà en possession de FamilySearch aux termes d'une convention conclue avec les archives nationales depuis 1960, puis à en remettre une copie au service producteur.
- Le second traitement consiste à transférer, vers les États-Unis d'Amérique, une image de ces données.
- Le troisième traitement a lieu en deux étapes. Les services internes à FamilySearch prépareront, tout d'abord, les outils de recherche et de masquage de certaines données en raison de leur caractère sensible ou du risque de préjudice à la vie privée des personnes concernées ou de tout ayant-droit. Les images d'archives seront ensuite mises à disposition sur le site internet et les centres de consultation de FamilySearch, suivant les modalités précisées par la présente délibération.

Sur la numérisation des archives :
La société FamilySearch International possède en effet une collection d'images issues d'une activité de microfilmage des registres d'état civil et des registres paroissiaux de plus de cent ans, résultant d'opérations autorisées aux termes d'une convention conclue le 28 octobre 1960 entre la direction des Archives de France et la Société Généalogique d'Utah (devenue FamilySearch), puis modifiée le 28 septembre 1987 (publiée au journal officiel le 20 Novembre 1987). Saisie pour avis sur le projet d'avenant à cet accord, la Commission a précisé le cadre Informatique et Libertés applicable à la poursuite de ces traitements, par délibération n° 01-015 en date du 20 mars 2001.

FamilySearch détient ainsi des images microfilmées de registres d'état civil, datant de plus de cent vingt ans et issues des archives de France du département de l'Eure, de la Drome, ou encore de la Gironde. Aucune de ces images n'a été publiée sur Internet à ce jour, la convention entre les Archives de France et la Société Généalogique d'Utah interdisant la diffusion. Il s'agit désormais de conserver ces microfilms par numérisation en vue de les indexer et de les diffuser, sur Internet et dans ses centres de consultation, suivant certaines modalités notamment définies par la présente délibération.

Dès lors qu'elles deviennent librement communicables au sens du code du patrimoine, les archives peuvent, sans préjudice d'une licence accordée par le service d'archives public concerné, être numérisées dans l'intégralité des données sélectionnées par le service public d'archives et être transférées aux États-Unis d'Amérique.

Sur le transfert des données :
Sur la finalité du transfert
Le second traitement porte sur le transfert vers les États-Unis d'Amérique aux fins de procéder à l'indexation, au masquage de certaines données et à la mise à disposition des archives sur le site internet de FamilySearch et dans ses centres de consultation.

Sur les droits d'accès, de rectification et d'opposition des personnes
Les droits d'accès, de rectification et d'opposition au transfert des données s'exercent auprès de :
FamilySearch International
50, East North Temple Street, Suite 500
84150 Salt Lake City, Utah, USA
La Commission demande à FamilySearch de prévoir également une saisine par voie électronique et un relai d'information délivrée au service d'archives producteur sur les droits exercés, afin de garantir l'effectivité des droits Informatique et Libertés .

Sur les catégories de données transférées
Les données à caractère personnel concernées par le transfert sont les données décrites ci-après dès lors qu'elles sont contenues dans les archives librement communicables en application du code du patrimoine.

Sur les garanties mises en œuvre par le destinataire des données
Les garanties mises en œuvre sont formalisées par l'insertion de clauses contractuelles élaborées par la Commission européenne et relatives au transfert de données du responsable de traitement vers le sous-traitant.

Sur la mise à disposition des copies d'archives, y compris leur diffusion sur Internet :
Sur la finalité des traitements
Les traitements visés ont pour finalité :
- l'indexation et le masquage de certaines données effectués par les agents de FamilySearch, voire d'autres collaborateurs occasionnels agissant pour le compte et sur instruction du responsable de traitement ;
- la mise à disposition des copies d'archives à des fins généalogiques dans le but de permettre un accès à ces données aux utilisateurs du site Internet de la société FamilySearch International, comme aux personnes souhaitant se rendre dans ses centres de consultation.

La Commission prend acte de ces finalités et estime qu'elles sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6-2° de la loi du 6 janvier 1978 modifiée.

Sur les catégories de données traitées
La numérisation et le transfert concerne un ensemble d'archives librement communicables au sens du code du patrimoine, dans l'intégralité des données sélectionnées par les services publics pour être conservées à titre définitif. La numérisation concerne également les collections de microfilms déjà en possession de FamilySearch.
La diffusion sur Internet est effectuée, de façon sécurisée, à destination de personnes préalablement identifiées, utilisateurs du site internet ou des centres de consultation du responsable de traitement.
Les données traitées, issues des copies d'archives publiques ou des tables décennales détenues par les administrations, seront notamment les noms et prénoms, les dates et lieux de naissance, de décès et de mariage, ainsi que la situation familiale des personnes mentionnées dans ces archives.

La Commission estime que certaines données doivent être masquées pendant un certain temps. En outre, les archives contenant des données sensibles au sens des articles 8 et 9 de la loi Informatique et Libertés ne peuvent faire l'objet, par nature, d'une mise en ligne sans restriction sur Internet.
Pour autant, compte tenu de l'intérêt qui s'attache à des recherches historiques, y compris à titre personnel et familial, scientifique ou statistique, une occultation définitive des données sensibles ne serait pas conforme aux intérêts poursuivis par FamilySearch. Or, le législateur n'a pas défini de délai au-delà duquel de telles données pourraient être diffusées sur Internet, le code du patrimoine fixant uniquement un délai de libre communicabilité des archives publiques.

La Commission considère que les données relatives à des personnes nées depuis moins de cent vingt ans, qui figurent dans les archives numérisées, seront masquées dans leur version mise à disposition, y compris dans leur version diffusée sur Internet.
Les données sensibles au regard de la loi du 6 janvier 1978 modifiée, en particulier celles relatives à la santé, à la religion ou aux infractions, susceptibles d'être révélées notamment en marge d'un acte d'état civil, seront masquées manuellement ou électroniquement avant toute publication sur le site. Sans préjudice des dispositions législatives ou réglementaires explicites contraires et sans que cette faculté ait été prévue par la délibération n° 2010-460 du 9 décembre 2010 relative aux conditions de réutilisation des données à caractère personnel contenues dans des documents d'archives publiques, les données sensibles peuvent faire l'objet de diffusion par FamilySearch :
- à l'expiration d'un délai de cent cinquante (150) ans à compter de la naissance de la personne concernée ;
- et à la condition que soient mis en œuvre des mécanismes permettant de restreindre l'accès aux données aux fins de garantir le respect de finalités de recherches historiques, y compris à titre personnel et familial, scientifiques ou statistiques. A défaut de telles restrictions d'accès, les données sensibles devront être occultées, de façon irréversible s'agissant de la version rendue accessible.
Dans le cadre de partenariat avec des associations à caractère religieux, FamilySearch dispose également de données issues d'autres fonds d'archives que ceux gérés par des services publics d'archives. Sont ainsi concernées :
- la totalité des copies d'images de collections religieuses et autres documents historiques et de recherche, tels que le répertoire des registres paroissiaux de Rouen (1680-1789) ou l'enquête de consanguinité du diocèse de Coutances (1597-1818) ;
- ainsi que d'autres images, tels que les archives du protestantisme français (registres protestants 1612-1910), les registres paroissiaux du diocèse de Quimper et Léon (1772-1910) ou les registres paroissiaux du diocèse de Coutances et d'Avranches (1533-1906).
Sans préjudice des modalités spécifiques susceptibles d'être définies par cette catégorie de partenaires, la Commission prend acte que le responsable de traitement s'engage à traiter les données issues de cette catégorie d'archives dans les conditions similaires à celles organisant l'accès aux données issues d'archives du secteur public, décrites par la présente délibération.

L'indexation consiste à répertorier dans un document les données significatives (nom, prénom, date, lieu de naissance, etc.) afin de permettre d'effectuer des recherches par mots-clés de façon simple et rapide dans ces documents.
A l'issue de la phase de numérisation et avant l'expiration des délais conditionnant la diffusion sur Internet, les opérations utiles à l'indexation sont réalisées par des contributeurs privés, agents ou partenaires de FamilySearch ayant formulé leur intention d'y contribuer. Ces opérations font l'objet d'une procédure encadrée et vérifiée. L'accès aux données à indexer doit être limité à ces contributeurs et pour les stricts besoins des opérations d'indexation.
Compte tenu de la nécessité de limiter les recherches nominatives en la matière, la Commission exige les mesures suivantes :
- aucune donnée personnelle ne sera accessible par des moteurs de recherche avant l'expiration du délai de cent vingt (120) ans à compter de la naissance des personnes ;
- l'indexation, par l'outil de recherche interne au site de FamilySearch, sur les données personnelles (en particulier nom, prénom(s), lien de filiation, date et lieu de naissance des personnes concernées), est autorisée cent vingt (120) ans à compter de la naissance de la personne ;
- l'indexation, par des moteurs de recherche externes, sur les données personnelles est autorisée à l'expiration d'un délai de cent cinquante (150) ans à compter de la clôture du document archivé, ce qui n'empêche pas de référencer les images d'archives sur des données autres que personnelles pour cette période de 120 ans à 150 ans, sauf à respecter des exigences spécifiques formulées par le détenteur ou le producteur des archives.
En outre, s'agissant de l'indexation sur des données sensibles susceptibles de relever des articles 8 et 9 de la loi du 6 janvier 1978 modifiée, la Commission rappelle les obligations d'occulter ou d'anonymiser ces données lors de diffusion d'archives par un réutilisateur (délibération n°2010-460 du 9 décembre 2010) et de respecter un délai de 150 ans pour diffuser ces données par un service public d'archives (autorisation unique n°029). Elle précise :
- aucune de ces opérations d'indexation mises en œuvre par FamilySearch concernant les archives du secteur public ne pourra porter sur des données sensibles ;
- en revanche, les collections d'archives provenant d'associations religieuses peuvent faire l'objet, dès 120 ans à compter de la naissance ou de la date du document, d'opérations d'indexation, par un moteur de recherche interne, sur les données sensibles au sens de l'article 8 de la loi Informatique et Libertés et pour les seules données relatives à la religion prêtée aux personnes concernées.
Sous ces réserves, la Commission considère que les données traitées sont pertinentes, adéquates et non excessives au regard des finalités poursuivies par FamilySearch.

Sur les destinataires des données
Les destinataires des données traitées sont :
- les services producteurs d'archives, en ce qu'ils reçoivent une copie des archives numérisées ;
- les contributeurs aux opérations d'indexation ;
- les lecteurs procédant à des consultations sur place ou sur site internet sécurisé ;
- ainsi que différentes organisations à but non lucratif, voire commercial, coopérant avec FamilySearch dans le but d'accélérer la publication ou l'indexation des collections.

Sur les droits des personnes concernées
La Commission prend acte de l'engagement de la société FamilySearch à respecter le droit des personnes concernées conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée telles que précisées par les délibérations nos 2010-460 et 2012-113 de la Commission.
Il s'agira notamment pour le responsable de traitement d'informer, de façon complète et pédagogique, les personnes concernées par les archives traitées, les utilisateurs et tout visiteur du site internet ; ou encore d'afficher des mentions d'information au sein des centres de consultations. L'origine des données et les modalités pratiques pour obtenir, du service d'archives producteur ou détenteur, une copie et/ou un droit d'usage seront également précisées.
La Commission relève enfin que FamilySearch propose, aux responsables des services d'archives publics, d'insérer une clause de juridiction française dans la licence de réutilisation.

Sur la sécurité des données et la traçabilité des actions
La Commission constate que les mesures préconisées dans sa délibération n° 2010-460 du 9 décembre 2010 seront mises en œuvre dans le cadre de ces traitements.
Elle prend en effet acte du fait que les archives seront soit numérisées directement aux États-Unis d'Amérique dans les locaux de FamilySearch, qui font l'objet de mesures de sécurité physiques satisfaisantes (microfilms) ; soit numérisées dans les locaux des détenteurs des archives, puis transmises aux États-Unis sous pli remis contre signature.
Le responsable de traitement s'est engagé à se conformer à la doctrine de la Commission en matière d'authentification des utilisateurs, notamment concernant l'exigence d'un certain niveau de complexité des mots de passe utilisés (8 caractères minimum mêlant au moins 3 des 4 caractères spéciaux, majuscules, minuscules, chiffres et caractère spéciaux).
Concernant le masquage des données sensibles, le responsable de traitement réalisera cette opération soit lors de la numérisation elle-même, soit a posteriori en réalisant un masquage irréversible sur les images diffusées au format électronique. Dans ce dernier cas, une copie de l'image non masquée sera conservée et accessible uniquement au personnel strictement autorisé de FamilySearch, afin de pouvoir diffuser l'intégralité des données composant un document d'archives, à l'expiration du délai fixé par la présente délibération.
FamilySearch met en œuvre des mesures de traçabilité d'accès aux données satisfaisantes. Ainsi, l'identification des utilisateurs ayant travaillé sur un projet d'indexation est conservée pendant la durée d'application des contrôles qualité et les journaux des accès aux données par les membres sont conservés pendant un an.
FamilySearch met également en œuvre une série de mesures visant à éviter le téléchargement massif de données et la réutilisation des données téléchargées. Ainsi, chaque image accessible est identifiée par le biais d'un identifiant généré aléatoirement et ne permettant pas de déterminer le contenu de cette image. Chaque image possède également des droits d'accès spécifiques. FamilySearch est également en mesure d'utiliser des techniques de watermarking, ou de restriction du téléchargement de l'impression des images, sur demande des détenteurs des archives.
La Commission souligne que les mesures de sécurité à mettre en œuvre pour respecter l'obligation de l'article 34 de la loi Informatique et Libertés doivent a fortiori s'appliquer notamment pour garantir le respect des droits de copie, susceptibles d'être octroyés ou interdits par chaque service public d'archives dans le cadre des licences de réutilisation.
Des profils d'habilitation sont prévus afin de gérer les accès aux données. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité.
Les conditions techniques et contractuelles contraignantes qui seront mises en œuvre entre FamilySearch et ses prestataires locaux garantissent la confidentialité, l'intégrité, la traçabilité et la sécurité des données.
De manière générale, la Commission considère que les mesures de sécurité décrites et prévues par le responsable de traitement sont conformes à l'exigence de sécurité prévue à l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


En conséquence, la Commission autorise la société FamilySearch International à mettre en œuvre les traitements suivants :

• la conservation, aux fins de publication et d'indexation sur le site FamilySearch.org des données issues des archives publiques, provenant en particulier des actes d'état civil et des archives de recensement dans les conditions décrites ci-dessus, en application de l'article 36 alinéa 3 de la loi du 6 janvier 1978 modifiée ;
• le transfert vers les États-Unis d'Amérique de données à caractère personnel dont les caractéristiques sont énoncées ci-dessus, en application de l'article 69 de la loi du 6 janvier 1978 modifiée.

La présente délibération, qui sera publiée au Journal officiel, abroge la délibération n° 2013-105 du 25 avril 2013 autorisant la société FamilySearch International à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalités le transfert vers les États-Unis d'Amérique de copies d'archives publiques numérisées et la diffusion de l'image de ces copies d'archives sur son site internet à visée généalogique ainsi que dans ses centres de consultation.


La Présidente


I. FALQUE-PIERROTIN




Nature de la délibération: AUTORISATION
Date de la publication sur legifrance: 5 mai 2015