Délibération 2018-358 du 13 décembre 2018

Commission Nationale de l'Informatique et des Libertés
Délibération n°2018-358 du 13 décembre 2018
Délibération n° 2018-358 du 13 décembre 2018 portant avis sur un projet de décret portant application de l’article L. 241-2 du code de la sécurité intérieure et relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale (Saisine n° AV 18018811) (Avis RU-065)
NOR: CNIX1906054X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet de décret portant application de l’article L. 241-2 du code de la sécurité intérieure et relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;

Vu le code de la sécurité intérieure, notamment son article L. 241-2 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8, les II et IV de son article 26 et son chapitre XIII ;

Vu la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale, notamment son article 114 ;

Vu la loi n° 2018-697 du 3 août 2018 relative à l'harmonisation de l'utilisation des caméras mobiles par les autorités de sécurité publique, notamment son article 3 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2016-1861 du 23 décembre 2016 relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents de police municipale dans le cadre de leurs interventions ;

Vu la délibération n° 2016-386 du 8 décembre 2016 portant avis sur un projet de décret en Conseil d’État relatif aux conditions de l’expérimentation de caméras individuelles par les agents de police municipale dans le cadre de leurs interventions ;

Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Émet l’avis suivant :

La Commission a été saisie pour avis par le ministre de l’intérieur d’un projet de décret portant application de l’article L. 241-2 du code de la sécurité intérieure (CSI) et relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale.

Elle rappelle que la loi du 3 juin 2016 susvisée a ouvert la possibilité, à titre expérimental, aux agents de police municipale de procéder à l’enregistrement audiovisuel de leurs interventions au moyen de caméras individuelles. Les conditions de réalisation de cette expérimentation, d’une durée de deux ans, ont été fixées par décret en Conseil d’État, pris après avis motivé et publié de la CNIL. Conformément à la demande de la Commission, un bilan de cette expérimentation lui a été transmis.

Faisant suite à cette expérimentation, la loi du 3 août 2018 susvisée est venue pérenniser la possibilité pour les agents de police municipale de procéder à l’enregistrement audiovisuel de leurs interventions en créant un article L. 241-2 au sein du CSI. Cet article prévoit que les modalités d’application et d’utilisation des données collectées sont précisées par un décret en Conseil d’État, pris après avis motivé et publié de la CNIL.

Par ailleurs, l’article L. 241-2 du CSI dispose que les agents de police municipale peuvent utiliser des caméras individuelles dans l’exercice de leurs missions de prévention des atteintes à l’ordre public et de protection de la sécurité des biens et des personnes ainsi que de leurs missions de police judiciaire. Les enregistrements audiovisuels ainsi réalisés ont pour finalités la prévention des incidents au cours des interventions des agents de police municipale, le constat des infractions et la poursuite de leurs auteurs par la collecte de preuves ainsi que la formation et la pédagogie des agents.

Il résulte dès lors tant des finalités principalement poursuivies par les dispositifs que des missions confiées aux agents de police municipale, que les traitements projetés relèvent des dispositions de la directive (UE) 2016/680 du 27 avril 2016 susvisée telle que transposée aux articles 70-1 et suivants de la loi du 6 janvier 1978 modifiée.

Le projet de décret prévoit que les données enregistrées dans les traitements sont susceptibles de faire apparaître, directement ou indirectement, des données sensibles au sens du I de l’article 8 de la loi susmentionnée. Dès lors, conformément aux dispositions de l’article 70-3 de la loi du 6 janvier 1978 modifiée, les traitements projetés doivent être autorisés dans les conditions prévues au II de l’article 26, soit par décret en Conseil d’État pris après avis motivé et publié de la Commission.

Le projet de décret a en outre vocation à constituer un acte réglementaire unique, au sens de l’article 26-IV de la loi du 6 janvier 1978 modifiée. Un engagement de conformité devra ainsi être adressé à la Commission par le maire ou, le cas échéant, l’ensemble des maires des communes concernées lorsque le traitement est mis en œuvre par un établissement public de coopération intercommunale (EPCI).

Aux termes de l’article L. 241-2 du CSI, l’utilisation des caméras individuelles par les agents de police municipale doit également être autorisée par le représentant de l’État dans le département. A cet égard, le projet de décret prévoit que le maire, ou l’ensemble des maires des communes concernées, présente au préfet de département une demande d’autorisation concernant l’utilisation de tels dispositifs par les agents de police municipale, laquelle est notamment accompagnée d’un dossier technique de présentation du traitement envisagé ainsi que de l’engagement de conformité destiné à la CNIL et précisant le nombre de caméras que compte le dispositif.

La Commission estime que l’objet de l’autorisation préfectorale ainsi délivrée est distinct de celui poursuivi par le présent acte réglementaire unique, dès lors que ladite autorisation n’a pas pour objet de s’assurer du respect des règles relatives à la protection des données personnelles. A cet égard, elle rappelle qu’il revient, en tout état de cause, au responsable de traitement de procéder à un engagement de conformité à cet acte réglementaire unique préalablement à la mise en œuvre du traitement projeté et quand bien même une autorisation préfectorale aurait été délivrée.

Enfin, dans la mesure où les traitements projetés sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment parce qu’ils portent sur des données sensibles, le ministère de l’intérieur a réalisé une analyse d’impact relative à la protection des données à caractère personnel (AIPD), laquelle a été adressée à la Commission avec la demande d’avis conformément à l’article 70-4 de la loi Informatique et Libertés .

La Commission relève que, si la directive susvisée ne prévoit pas explicitement qu’une seule et même AIPD puisse porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires , la réalisation d’une telle analyse d’impact, dans le cas présent, est de nature à constituer une garantie supplémentaire pour la protection des droits et des libertés des personnes concernées à l’égard des traitements projetés. En effet, elle estime que cette AIPD a vocation à constituer le socle de référence des garanties minimales à mettre en œuvre par l’ensemble des communes dont les agents de police municipale seront dotés de caméras individuelles, au regard des risques identifiés dans le cadre de l’usage de ces dispositifs.

De plus, la Commission considère qu’au regard de la singularité du droit national, qui prévoit expressément que des traitements relevant de la directive Police-Justice susvisée peuvent être autorisés par un acte-cadre sur le fondement de l’article 26-IV de la loi du 6 janvier 1978 modifiée dès lors qu’ils répondent à des finalités et des modalités de mise en œuvre identiques, il apparaît opportun que ces mêmes traitements fassent l’objet d’une AIPD unique élaborée, comme le projet de décret, par le ministère de l’intérieur. Au regard des objectifs poursuivis par cette AIPD, la Commission estime que les garanties minimales à respecter dans le cadre de l’utilisation de ces caméras individuelles devraient être annexées au présent décret et également publiées.

Sur les finalités des traitements

La Commission prend acte que, de manière générale, le déploiement des dispositifs de caméras individuelles entend répondre à un besoin de sécurisation physique et juridique des agents de police municipale dans le cadre de leurs interventions.

L’article premier du projet de décret prévoit ainsi que, conformément aux dispositions de l’article L. 241-2 du CSI, les traitements de données à caractère personnel provenant des caméras individuelles ont pour finalités :

  • la prévention des incidents au cours des interventions des agents de police municipale ;
  • le constat des infractions et la poursuite de leurs auteurs par la collecte de preuves ;
  • la formation et la pédagogie des agents de police municipale.

La Commission relève que, contrairement à ce qui était prévu par la lettre des textes encadrant l’expérimentation initiale des dispositifs de caméras individuelles par les agents de police municipale, les textes portant sur la pérennisation de ces dispositifs ne limitent plus la finalité de constat des infractions et de poursuite de leurs auteurs par la collecte de preuves aux seules procédures judiciaires. Il en résulte la possibilité pour les agents de police municipale d’utiliser les enregistrements audiovisuels issus des caméras individuelles également dans le cadre de procédures administratives ou disciplinaires.

La Commission estime que les finalités poursuivies par les traitements projetés sont déterminées, explicites et légitimes, conformément à l’article 6-2° de la loi du
6 janvier 1978 modifiée.

Sur le périmètre des dispositifs et la nature des données traitées

A titre liminaire, la Commission relève qu’il sera possible, par le biais de l’emploi des caméras individuelles, de capter des données sensibles au sens du I de l’article 8 de la loi susmentionnée ainsi que des conversations privées. La mise en œuvre de traitements de données à caractère personnel à partir de ces dispositifs implique dès lors de prévoir des garanties strictes.

En ce qui concerne le périmètre de mise en œuvre des dispositifs de caméras individuelles, le projet de décret prévoit expressément que seules les caméras fournies aux agents de police municipale au titre de l’équipement des personnels sont autorisées, ce qui exclut le recours à tout autre dispositif permettant la captation d’éléments visuels et sonores, et notamment à des caméras personnelles.

S’agissant des situations dans lesquelles les agents sont autorisés à déclencher l’enregistrement, l’article L. 241-2 du CSI dispose que l’enregistrement n’est pas permanent et que les caméras individuelles peuvent être utilisées lorsque se produit ou est susceptible de se produire un incident, eu égard aux circonstances de l’intervention ou au comportement des personnes concernées .

Ces dispositions législatives reprennent in extenso les dispositions adoptées initialement dans le cadre de la loi du 3 juin 2016 susvisée en vue de l’expérimentation des caméras individuelles par les agents de police municipale. A l’occasion de l’examen du projet de décret portant sur les conditions de cette expérimentation, la Commission avait formulé des observations afin que soient précisées dans le décret les conditions d’utilisation des caméras individuelles et ainsi d’éviter toute collecte disproportionnée de données à caractère personnel.

En l’absence de modifications sur ce point dans le cadre du présent projet de décret, la Commission ne peut que réitérer les réserves formulées dans le cadre de la délibération susmentionnée. En particulier, elle estime indispensable d’établir une doctrine d’emploi qui, sans dresser une liste exhaustive des circonstances de nature à justifier le déclenchement des caméras, définirait des critères objectifs commandant l’utilisation des dispositifs. Cette doctrine d’emploi apparaît d’autant plus nécessaire qu’il résulte des informations portées à la connaissance de la Commission que les agents des forces de l’ordre rencontrent des difficultés quant aux conditions dans lesquelles ils peuvent utiliser les caméras. Dans ce contexte, l’établissement d’une doctrine d’emploi serait de nature à les informer et à les guider dans la mise en œuvre des caméras individuelles, afin d’éviter certaines pratiques susceptibles de conduire à une collecte disproportionnée de données à caractère personnel.

Elle observe que cette doctrine serait d’autant plus utile que l’article L. 241-2 du CSI autorise la mise en œuvre des caméras individuelles en tous lieux , et notamment dans le domicile de particuliers. La Commission considère que le ministère devrait prévoir des règles spécifiques lorsque celles-ci sont utilisées au sein de lieux d’habitation, comme restreindre la possibilité de le faire à certaines circonstances et garantir une information individuelle systématique de la personne concernée, le cas échéant à l’issue de l’intervention. Elle demande que les critères de nature à définir ces circonstances soient précisés dans la doctrine d’emploi susmentionnée.

S’agissant des données traitées, le projet d’article R. 241-10 énumère les catégories de données à caractère personnel et informations enregistrées dans les traitements mis en œuvre, à savoir les images et les sons captés par les caméras individuelles, le jour et les plages horaires d’enregistrement, l’identification de l’agent porteur de la caméra lors de l’enregistrement des données, ainsi que le lieu où sont collectées les données.

Si l’utilisation de systèmes d’enregistrement sonore couplés à des dispositifs vidéo peut poser des difficultés au regard de l’exigence de proportionnalité résultant des textes relatifs à la protection des données personnelles, la collecte de données sonores apparaît néanmoins pertinente en l’espèce et compte tenu des finalités poursuivies par ces dispositifs.

Le projet de décret prévoit que les données enregistrées dans les traitements sont susceptibles de faire apparaître, directement ou indirectement, des données sensibles. Or, le I de l’article 8 de la loi du 6 janvier 1978 modifiée pose le principe d’une interdiction de traitement de telles données. Toutefois, le IV de ce même article dispose que ne sont pas soumis à l’interdiction prévue au I les traitements, automatisés ou non, justifiés par l’intérêt public et autorisés dans les conditions prévues au II de l’article 26, ce qui est l’objet du présent projet de décret. En outre, l’article 70-2 de la loi prévoit que le traitement de telles données est possible dans la mesure où il a été autorisé par des dispositions législatives et règlementaires, ce qui est le cas en l’espèce. Il convient alors que le traitement offre des garanties appropriées pour les droits et libertés de la personne concernée. A ce titre, la Commission relève qu’il sera interdit de sélectionner dans les traitements une catégorie particulière de personnes à partir de ces seules données.

S’agissant de l’utilisation d’enregistrements audiovisuels à des fins pédagogiques et de formation, le projet de décret prévoit que ceux-ci soient anonymisés. A cet égard, la Commission rappelle que l’anonymisation implique d’empêcher toute ré-identification individuelle des personnes concernées par les enregistrements. Elle prend acte que l’anonymisation portera sur les éléments visuels ( floutage ) et sonores (déformation ou suppression, notamment des conversations ambiantes) de ces enregistrements. En tout état de cause, elle rappelle que celle-ci devra notamment concerner toute caractéristique physique ainsi que tout élément tenant à la situation individuelle des personnes concernées ou au contexte particulier de l’intervention.

Dans ces conditions, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l’article 6-3° de la loi du 6 janvier 1978 modifiée.

Sur la durée de conservation des données

L’article L. 241-2 du CSI prévoit que les enregistrements audiovisuels sont effacés au bout de six mois, hors le cas où ils sont utilisés dans le cadre d’une procédure judiciaire, administrative ou disciplinaire. Le projet de décret vient préciser le point de départ de ce délai de conservation, à savoir six mois à compter du jour de leur enregistrement .

Cette durée de conservation, supérieure aux durées communément admises par la Commission dans le cadre de la mise en œuvre de dispositifs de vidéosurveillance, doit permettre de tenir compte des délais moyens de traitement des procédures judiciaires, administratives ou disciplinaires. A cet égard, la Commission relève que la durée de conservation est une durée fixe et non une durée maximale. Ainsi, les données traitées ne sauraient être supprimées avant le terme de ce délai, au risque de priver les personnes concernées de la possibilité d’accéder aux données qui les concernent et donc de les faire valoir, le cas échéant, dans le cadre d’une procédure.

Le projet de décret précise qu’au terme de ce délai les enregistrements font l’objet d’une purge automatique, et que lorsque les données ont été extraites et transmises pour les besoins d’une procédure, elles sont conservées selon les règles propres à chaque type de procédure.

La Commission considère que les données collectées sont conservées pendant une durée qui n’excède pas la durée nécessaire compte tenu des finalités pour lesquelles elles sont collectées et traitées, conformément à l’article 6-5° de la loi susmentionnée.

Sur les destinataires des données

Peuvent être destinataires de tout ou partie des données et informations enregistrées dans les traitements, chacun dans la limite de leurs attributions respectives et sous réserve du besoin d’en connaître dans le cadre d’une procédure judiciaire, administrative ou disciplinaire, ainsi que d’une action de formation : les officiers et agents de police judiciaire de la police et de la gendarmerie nationales, les agents des services d’inspection générale de l’État, le maire et le président de l’établissement public de coopération intercommunale et les agents chargés de la formation des personnels. Ces destinataires n’appellent pas d’observation particulière.

Par ailleurs, sont habilités à accéder aux données, dans la limite de leurs attributions respectives, le responsable du service de la police municipale, d’une part, et les agents de police municipale individuellement désignés et habilités par le responsable du service, d’autre part. Seules ces mêmes personnes sont habilitées à procéder à des extractions des données et informations, dans un cadre légal précis (procédure judiciaire, disciplinaire ou administrative ouverte) ou pour les besoins d’une action de formation ou de pédagogie des agents. La Commission considère que cet accès doit, au même titre que ce qui est prévu pour les destinataires, être subordonné au strict respect du besoin d’en connaître . A cet égard, elle prend acte de l’engagement du ministère de compléter le projet de décret en ce sens.

Sur l’information et les droits des personnes concernées

S’agissant de l’information des personnes concernées, l’article L. 241-2 du CSI prévoit que les caméras sont portées de façon apparente par les agents et qu’un signal visuel spécifique indique si la caméra enregistre. Il prévoit également que le déclenchement de l’enregistrement fait l’objet d’une information des personnes filmées, sauf si les circonstances l’interdisent .

A cet égard, le ministère de l’intérieur estime que le critère posé par l’article L. 241-2 du CSI apparaît suffisamment strict pour limiter les hypothèses dans lesquelles l’enregistrement est réalisé sans que la personne concernée ait été informée, faisant valoir que d’autres garanties sont par ailleurs prévues par le texte (caméra portée de manière visible et signal visuel spécifique). La Commission prend acte que, dans ces conditions, il ne pourra être procédé à un enregistrement à l’insu de la personne concernée. Elle estime toutefois que, si certaines circonstances interdisent d’informer immédiatement les personnes concernées du déclenchement de l’enregistrement, les dispositions précitées ne dispensent pas les agents de délivrer cette information de manière différée, dès que ces circonstances ont cessé et, au plus tard, au terme de l’intervention. La Commission considère en effet qu’une telle information doit permettre aux personnes concernées d’exercer leurs droits.

L’article L 241-2 du CSI prévoit également qu’une information générale du public sur l’emploi des caméras individuelles est organisée par le ministre de l’intérieur. Le projet de décret précise que cette information est délivrée sur le site internet de la commune ou, à défaut, par voie d’affichage en mairie.

Le projet de décret dispose que les personnes concernées peuvent exercer leurs droits d’information, d'accès et d'effacement directement auprès du maire, ou de l’ensemble des maires des communes concernées lorsque le traitement est mis en œuvre par un établissement public de coopération intercommunale. A cet égard, la Commission prend acte que la rédaction adoptée n’a pas pour objet d’imposer à la personne qui souhaiterait exercer ses droits, dans l’hypothèse d’un traitement mis en œuvre par un EPCI, de saisir individuellement chaque maire de l’ensemble des communes concernées. En effet, une telle exigence alourdirait de manière significative la démarche que constitue l’exercice des droits, produisant un effet dissuasif pour les personnes concernées. De plus, elle ne serait pas de nature à faciliter la prise en compte dans un délai de deux mois du droit exercé auprès d’un EPCI composé d’un nombre important de communes. Ainsi, la personne qui souhaiterait exercer ses droits pourra le faire auprès de chacun des maires des communes de l’EPCI.

Le projet de décret prévoit qu’afin d’éviter de gêner des enquêtes, des recherches et des procédures administratives ou judiciaires, et d’éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière, des restrictions à l’exercice des droits d’accès et d’effacement soient possibles et ce, dans les conditions des 2° et 3° du II et du III de l’article 70-21 de la loi du 6 janvier 1978 modifiée. Dans cette hypothèse, ces droits s’exercent de manière indirecte auprès de la CNIL dans les conditions prévues à l’article 70-22 de la loi susmentionnée.

De manière générale, la Commission relève que le périmètre générique de ces restrictions, qui reprend in extenso les dispositions susmentionnées, apparaît particulièrement large, sans que des précisions suffisantes n’aient été apportées sur la possibilité, en l’espèce, de mobiliser ces dispositions. Elle rappelle, en tout état de cause, que les restrictions aux droits prévus par les actes instaurant les traitements, si elles sont nécessaires, doivent être précisément justifiées au regard des finalités poursuivies par chaque traitement.

La Commission relève en outre que le projet de décret n’indique pas les conditions dans lesquelles il sera procédé à la limitation du traitement, dans les hypothèses prévues au III de l’article 70-20 de la loi Informatique et Libertés . Elle estime que le projet de décret pourrait être complété en ce sens.

Enfin, le projet de décret précise qu’en application de l’article 38 de la loi du
6 janvier 1978 modifiée, le droit d’opposition n’a pas vocation à s’appliquer aux traitements projetés.

La Commission rappelle que, si les dispositions de la directive 2016/680 du
27 avril 2016 susvisée telles que transposées en droit interne ne mentionnent pas la possibilité pour les personnes concernées de s’opposer au traitement mis en œuvre, les Etats membres conservent, en tout état de cause, la possibilité de prévoir des garanties plus étendues que celles établies dans ladite directive pour la protection des droits et des libertés des personnes concernées à l’égard du traitement des données à caractère personnel par les autorités compétentes.

Dans ce contexte, elle considère que l’article 38 susmentionné, qui n’a pas été abrogé par la loi relative à la protection des données personnelles et dont l’application aux traitements relevant de la directive précitée n’est pas davantage exclue par les dispositions des articles 70-1 et suivants de la loi Informatique et Libertés , a également vocation à s’appliquer aux traitements relevant du champ d’application de cette directive. Elle relève à cet égard que cet article 38 prévoit la possibilité d’écarter le droit d’opposition lorsque le traitement répond à une obligation légale ou lorsqu’une disposition expresse de l’acte réglementaire autorisant le traitement l’exclut.

En l’espèce, la Commission considère que l’exclusion du droit d’opposition telle que prévue par le projet de décret est proportionnée au regard des finalités poursuivies par les traitements projetés. Compte tenu de ce qui précède, elle estime que la limitation apportée à l’exercice du droit d’opposition s’inscrit dans le cadre des dispositions du droit national relatives à la protection des données à caractère personnel et n’est pas de nature à porter une atteinte excessive aux droits et libertés des personnes concernées.

Sur les mesures de sécurité

L’article L. 241-2 du CSI prévoit que les personnels auxquels les caméras individuelles sont fournies ne peuvent avoir accès directement aux enregistrements auxquels ils procèdent. Le projet de décret précise que les données enregistrées par les caméras individuelles sont transférées sur un support informatique sécurisé dès le retour des agents au service. Il ajoute que les enregistrements ne peuvent être consultés qu’à l’issue de l’intervention et après leur transfert sur le support informatique sécurisé. Aucun système de transmission permettant de visionner les images à distance en temps réel ne peut être mis en œuvre.

La Commission estime que ces interdictions de principe doivent être accompagnées de mesures techniques de nature à garantir l’absence de consultation des enregistrements par les agents. En outre, il pourrait être envisagé des mesures opérationnelles garantissant que les enregistrements, une fois transférés sur un serveur dédié, ne soient visionnés que dans un cadre légal précis (procédure judiciaire, disciplinaire ou administrative ouverte).

Concernant les contrôles d’accès aux données, la Commission rappelle que l’authentification des personnes habilitées à accéder aux données traitées doit être conforme à sa doctrine, précisée dans la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.

Elle recommande également que la gestion des habilitations des utilisateurs et des administrateurs du traitement fasse l’objet d’une procédure formalisée, validée par le responsable de traitement et portée à la connaissance des utilisateurs.

Le projet de décret prévoit que chaque opération de consultation, d’extraction et d’effacement de données fait l’objet d’un enregistrement dans le traitement ou, à défaut, d’une consignation dans un registre spécialement ouvert à cet effet qui comporte les matricule, nom, prénom et grade de l’agent procédant à l’opération, la date et l’heure de l’opération, ainsi que le motif judiciaire, administratif, disciplinaire ou pédagogique, le service ou l’unité destinataire des données et l’identification des enregistrements audiovisuels extraits et de la caméras dont ils sont issues. En l’absence de toute précision sur ce point, la Commission rappelle que le registre doit être conservé dans des conditions de nature à garantir l’intégrité des données et qui ne sauraient être laissées à la disposition des agents concernés.

En tout état de cause, elle recommande qu’une journalisation automatique soit intégrée au logiciel de gestion des enregistrements et que les traces soient analysées régulièrement.

En l’absence de précisions concernant l’architecture de journalisation, la Commission ne peut que rappeler qu’il convient de centraliser localement les journaux d’événements horodatés sur la base d’une source de temps fiable et exportés de manière sécurisée, et d’assurer la sécurité des équipements de journalisation et des informations journalisées.

Le projet de décret prévoit que les traces sont conservées pendant trois ans. A cet égard, la Commission s’interroge sur la pertinence de conserver les traces des opérations de consultation, d’extraction et d’effacement pendant une telle durée alors même que les données qui font l’objet de ces opérations sont elles-mêmes effacées au bout de six mois, hors le cas où elles sont utilisées dans le cadre d’une procédure judiciaire, administrative ou disciplinaire.

La Commission relève que différents types de matériels existent qui ne prévoient pas systématiquement le chiffrement des données stockées sur la carte mémoire présente dans la caméra, ce qui pourrait permettre un visionnage des séquences vidéo par un tiers, en cas de vol du matériel. Dès lors, la Commission considère que les responsables de traitement devraient privilégier le recours à des caméras disposant d’une mémoire inamovible, faisant l’objet d’un chiffrement réel et non d’une simple obfuscation, et dont l’accès soit réservé au logiciel de gestion des enregistrements.

En outre, une solution intégrée devrait être mise en œuvre afin d’assurer la sécurité des enregistrements depuis le déchargement de la caméra jusqu’à leur exploitation dans le cadre de procédures judiciaires, administratives ou disciplinaires. Il conviendrait notamment que les enregistrements soient conservés unitairement chiffrés, signés et horodatés sur le serveur de stockage, et que ce dernier fasse l’objet de mesures de sauvegarde.

Enfin, il est prévu que les responsables de traitement adressent un dossier technique à la Commission à l’occasion de la réalisation de leur engagement de conformité à l’acte réglementaire unique prévu par le présent projet de décret. A cet égard, la Commission considère qu’un tel dossier permet de documenter la conformité des traitements au cas par cas en précisant les mesures techniques adoptées en fonction du type de dispositif choisi, s’inscrivant ainsi dans la logique de responsabilisation portée par le Paquet européen sur la protection des données . Ceci étant, elle estime qu’il n’est pas nécessaire que ce dossier technique lui soit transmis à l’occasion de l’engagement de conformité et que celui-ci pourrait être simplement tenu à sa disposition par chaque responsable de traitement.

Sous réserve des précédentes observations, les mesures de sécurité décrites par le ministère de l’intérieur pour les dispositifs mis en œuvre par les communes au bénéfice des agents de police municipale semblent conformes à l’exigence de sécurité prévue par l’article 70-13 de la loi du 6 janvier 1978 modifiée. La Commission rappelle toutefois que cette obligation implique la mise à jour de l’analyse d’impact, ainsi que des mesures de sécurité au regard de la réévaluation régulière des risques.

La Présidente

I. FALQUE-PIERROTIN




Nature de la délibération: AVIS RU
Date de la publication sur legifrance: 9 mars 2019