Délibération n° 2011-333 du 25 octobre 2011 portant avis sur un projet d'arrêté portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « pré-plainte en ligne »

JORF n°0287 du 11 décembre 2011
texte n° 126



Délibération n° 2011-333 du 25 octobre 2011 portant avis sur un projet d'arrêté portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « pré-plainte en ligne »

NOR: CNIX1133393X
ELI: Non disponible



(Demande d'avis n° 1523046)


La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration le 22 juillet 2011 d'un projet d'arrêté portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « pré-plainte en ligne » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, notamment son article 26-1 (2°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2008-1109 du 29 octobre 2008 portant création à titre expérimental d'un traitement automatisé dénommé « pré-plainte en ligne » ;
Vu la délibération n° 2008-102 du 29 avril 2008 portant avis sur un projet de décret en Conseil d'Etat autorisant la création d'un traitement automatisé dénommé « pré-plainte en ligne » ;
Après avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministère de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'un projet d'arrêté portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « pré-plainte en ligne ».
La commission a déjà eu l'occasion de se prononcer sur ce traitement, lors de l'examen du projet de décret en Conseil d'Etat qui en portait création à titre expérimental, en 2008. Ce téléservice permet aux personnes se considérant comme victimes d'effectuer une déclaration en ligne pour des faits d'atteintes aux biens contre auteur inconnu, d'une part, et d'obtenir un rendez-vous auprès d'un service de police ou d'une unité de gendarmerie nationale de leur choix pour signer leur plainte, d'autre part.
Le dispositif est destiné à améliorer les conditions d'accueil du public, dès lors qu'il doit permettre de supprimer les délais d'attente auxquels sont confrontées les victimes lorsqu'elles se rendent dans un service de la police nationale ou une unité de gendarmerie pour y déposer plainte. Il doit également contribuer à réduire le temps nécessaire à l'enregistrement de la plainte par les personnels de police ou de gendarmerie.
L'expérimentation a été autorisée pour une durée d'un an à compter de la publication du décret n° 2008-1109 du 29 octobre 2008 susvisé, dans les départements des Yvelines et de la Charente-Maritime. Or, il apparaît au regard du dossier que l'expérimentation a été poursuivie au-delà du terme prévu par le décret du 29 octobre 2008. Dès lors, la commission regrette de ne pas avoir été saisie, à l'expiration de cette période d'un an, concernant la prolongation de l'expérimentation.
Le projet d'arrêté soumis à l'examen de la commission vise à pérenniser et généraliser ce dispositif. La commission avait demandé, lors de l'examen du projet de décret en Conseil d'Etat, à être rendue destinataire des conclusions de l'évaluation de cette expérimentation, prévue par le décret du 29 octobre 2008 susvisé. Cette évaluation, comportant des éléments statistiques de la direction générale de la police nationale (DGPN) et de la direction générale de la gendarmerie nationale (DGGN) ainsi que des informations sur la perception du dispositif par les plaignants, les agents de la police nationale ainsi que les militaires de la gendarmerie, lui a été communiquée à l'appui du dossier de demande d'avis. En substance, il en ressort que peu de « pré-plaintes » ont finalement été déposées ; la perception du dispositif par les différents intervenants est néanmoins très positive.
En outre, la commission prend acte qu'avant la généralisation du dispositif au plan national, prévue en début d'année 2012, l'expérimentation sera dans un premier temps élargie à deux nouveaux départements, la Haute-Garonne et le Bas-Rhin.
Le traitement et le projet d'acte réglementaire soumis à l'examen de la commission ne comportent que peu de modifications par rapport à l'expérimentation.
Sur les finalités :
L'article 1er du projet d'arrêté reprend les finalités initialement prévues pour l'expérimentation, à savoir « effectuer une déclaration en ligne pour des faits d'atteintes aux biens contre auteur inconnu », d'une part, et « obtenir un rendez-vous auprès d'un service de la police nationale ou d'unité de la gendarmerie nationale de son choix pour déposer et signer sa plainte », d'autre part. A cet égard, la commission rappelle que la déclaration en ligne ne constitue pas formellement une plainte, et le fait que le ministère ait ajouté le terme « déposer » permet de confirmer que cette « pré-plainte » doit nécessairement s'accompagner d'un déplacement dans les services de la police ou de la gendarmerie nationale : la plainte ne prend effet que lors de sa signature.
La commission observe toutefois que le terme « téléservice » n'apparaît plus dans le projet d'acte réglementaire, alors que le dossier administratif nomme le traitement comme tel, et que le décret du 29 octobre 2008 susvisé fait référence à ce terme. Or, certaines conséquences sont attachées à cette qualification le « téléservice » (respect du référentiel général de sécurité, par exemple, prévu par l'ordonnance n° 2005-1516 du 8 décembre 2005 et le décret n° 2010-112 du 2 février 2010). Aussi, la commission prend acte de l'engagement du ministère de réintroduire cette mention de « téléservice » dans le projet d'arrêté.
La commission observe, en outre, que le périmètre de la « pré-plainte en ligne » est inchangé (faits d'atteintes aux biens contre auteur inconnu). Enfin, elle relève qu'aucune finalité statistique propre à ce traitement ne lui est assignée.
Sur les données collectées :
Les catégories de données à caractère personnel n'apparaissent plus dans le projet d'acte réglementaire, comme c'était le cas pour le décret du 29 octobre 2008, mais dans une annexe. La commission prend note, s'agissant du déclarant (la victime, et, le cas échéant, son représentant légal) que de nouvelles données sont collectées : sont désormais traitées « la situation familiale » et le « lien de parenté ou relation de droit ou de fait existant avec la victime en cas de représentation ». S'agissant de cette dernière catégorie, elle recoupe la représentation des mineurs ou bien encore des majeurs incapables ou des personnes morales. La commission note toutefois que l'annexe est muette s'agissant des informations collectées quant à la personne morale, qui apparaissaient pourtant au 20 de l'article 2 du décret du 29 octobre 2008 susvisé. Le ministère justifie cette absence en expliquant que la loi du 6 janvier 1978 modifiée ne s'appliquant qu'aux personnes physiques, il n'a pas jugé nécessaire de mentionner ces données dans le projet d'acte réglementaire. Sans préjudice de cette précision, la commission souhaiterait que ces données apparaissent dans l'annexe, par cohérence avec le décret du 29 octobre 2008.
La commission prend acte qu'aucune donnée nouvelle n'est ajoutée à la catégorie de données relatives aux faits rapportés par le déclarant. La commission tient néanmoins à réitérer la position qu'elle avait formulée dans sa la délibération du 29 avril 2008 susvisée concernant les zones de commentaires libres portant sur « les éléments susceptibles d'orienter l'enquête », à savoir qu'il doit être rappelé qu'elles ne peuvent servir de support à la désignation nominative de l'auteur présumé des faits, et que si l'identité de ce dernier est connu de la victime, elle doit se rendre directement dans les services de la police ou de la gendarmerie nationale.
La commission observe qu'une nouvelle catégorie de données est collectée, concernant les « données à caractère personnel et informations relatives au propriétaire d'un bien, objet de l'infraction signalée, lorsqu'il n'est pas le déclarant ». Sont enregistrées à ce titre l'identité (nom de naissance, nom d'épouse, prénoms), date et lieu de naissance et adresse. La commission estime que cette modification n'appelle pas d'observation particulière.
Enfin, la commission note que n'apparaissent pas non plus dans l'annexe la localisation du service de police ou de l'unité de gendarmerie nationales choisi par le déclarant pour signer sa plainte et le numéro identifiant délivré automatiquement audit déclarant par le traitement. Le ministère précise que le numéro d'identifiant ne permet d'identifier que la plainte et ne constitue pas une donnée à caractère personnel. La commission prend acte que le ministère a néanmoins répondu favorablement à sa demande d'ajouter ces informations dans l'annexe, par cohérence avec le décret du 29 octobre 2008 susvisé.
Sur les destinataires :
La commission prend acte de ce que seuls les agents individuellement désignés et spécialement habilités par le chef de service de la police nationale ou commandant de groupement de la gendarmerie nationale pourront accéder aux données enregistrées dans le traitement, comme il était initialement prévu durant l'expérimentation.
Sur la durée de conservation :
Comme lors de l'expérimentation, les données enregistrées seront effacées à l'occasion de la signature de la plainte par le déclarant ou, à défaut, passé un délai maximum de trente jours à compter de la réception de la déclaration. La commission estime que cette durée de conservation est pertinente au regard des finalités du traitement, conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les droits des personnes :
Aux termes de l'article 32-VI de la loi du 6 janvier 1978 modifiée, aucune obligation d'information des personnes n'incombe au responsable d'un traitement ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales, or la commission constate que les mentions d'information prescrites par l'article 32 de la loi du 6 janvier 1978 modifiée, ainsi que les modalités d'exercice du droit d'accès et de rectification, apparaîtront sur le site internet. Elle souligne ainsi l'opportunité de cette information, qui constitue un préalable nécessaire à l'exercice des droits d'accès et de rectification.
Par ailleurs, la commission note qu'à plusieurs reprises, sur la page d'accueil du site ou à l'occasion de la finalisation de la « pré-plainte » en ligne, il est rappelé à la victime les finalités du dispositif, son périmètre ou les risques encourus en cas de dénonciation calomnieuse.
En outre, la commission prend acte que, comme durant l'expérimentation, le droit d'accès est direct et s'exercera directement auprès du service de la police nationale ou de l'unité de gendarmerie nationale où la plainte doit être signée. A ce sujet, la commission constate que si le droit d'accès reste direct, le ministère a néanmoins fait évoluer le fondement juridique de ce droit d'accès, alors que le décret du 29 octobre 2008 susvisé fait référence au régime de droit commun du droit d'accès (article 39 de la loi du 6 janvier 1978 modifiée), le projet d'arrêté s'appuie désormais sur l'article 41 de la loi du 6 janvier 1978 modifiée (droit d'accès indirect), et particulièrement sur son dernier alinéa qui prévoit, de manière dérogatoire, un droit d'accès direct lorsque la communication des informations enregistrées ne met pas en cause la finalité du traitement.
Or, la commission rappelle qu'en ce qui concerne les traitements mis en œuvre aux fins de prévention, recherche et constatation des infractions pénales, l'accès indirect prévu par l'article 41 ne constitue qu'une possibilité, et en aucun cas le principe, conformément à l'article 42 de la loi du 6 janvier 1978 modifiée. En outre, et puisque le ministère entend mettre en œuvre un droit d'accès direct, il apparaît plus opportun de faire référence aux dispositions de droit commun (droit d'accès direct prévu par l'article 39) plutôt qu'à l'exception au droit d'accès indirect (dernier alinéa de l'article 41). C'est pourquoi la commission invite le ministère à faire référence, dans le projet d'arrêté, aux dispositions de droit commun prévues par l'article 39 de la loi du 6 janvier 1978 modifiée.
Enfin, elle prend acte que le droit des personnes de s'opposer à l'enregistrement de leurs données dans le traitement, prévu à l'article 38 de la loi du 6 janvier 1978 modifiée, ne s'applique pas au traitement projeté.
Sur les interconnexions :
La commission prend acte que le projet d'arrêté ne prévoit aucune interconnexion avec des traitements existants, en particulier avec d'autres fichiers de police (fichier des véhicules volés, fichiers des objets volé, STIC, etc.).
Toutefois, la commission relève que les services de police et de gendarmerie pourront procéder à un import des données issues de la « pré-plainte en ligne », grâce au numéro de dossier, dans les logiciels de rédaction des procès-verbaux.
Sur l'architecture du dispositif, les sécurités et la traçabilité :
La commission estime que l'architecture prévue, les mesures de sécurité et d'authentification sont conformes aux exigences de l'article 34 de la loi du 6 janvier 1978 modifiée. La commission constate qu'une journalisation des consultations a bien été prévue, sans que ces mesures apparaissent dans le projet d'arrêté. Elle prend donc acte de l'engagement du ministère de compléter le projet d'arrêté en ce sens.
Par ailleurs, la commission rappelle que le dispositif « pré-plainte en ligne » constitue un téléservice et qu'a ce titre il doit être conforme au référentiel général de sécurité (RGS), prévu par l'ordonnance n° 2005-1516 du 8 décembre 2005 et le décret n° 2010-112 du 2 février 2010. Il appartient à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) de juger de la conformité au RGS d'un téléservice.


Pour la présidente :

Le vice-président délégué,

E. de Givry