Délibération n° 2012-030 du 2 février 2012 portant avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « Gestion de l'activité et des mesures éducatives 2010 » (Game 2010) (AV 11029409)

JORF n°0076 du 29 mars 2012
texte n° 95



Délibération n° 2012-030 du 2 février 2012 portant avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « Gestion de l'activité et des mesures éducatives 2010 » (Game 2010) (AV 11029409)

NOR: CNIX1208613X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de la justice et des libertés d'un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « Gestion de l'activité et des mesures éducatives 2010 » (Game 2010) ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 8 décembre 2000 modifiant l'arrêté du 28 avril 1993 organisant le traitement automatisé des statistiques des établissements et services de l'administration de la protection judiciaire de la jeunesse ;
Vu la délibération n° 93-022 du 9 mars 1993 portant sur le projet d'arrêté du ministère de la justice relatif à l'informatisation des établissements et services de la protection judiciaire de la jeunesse ;
Vu la délibération n° 2000-059 du 30 novembre 2000 portant avis sur un projet d'arrêté modifiant l'arrêté du 28 avril 1993 présenté par le ministère de la justice relatif à un traitement national ayant pour finalité le suivi des mesures éducatives et de l'activité des services du secteur public de la protection judiciaire de la jeunesse ;
Vu la délibération n° 2009-092 du 29 janvier 2009 portant avis sur un projet d'arrêté relatif à l'informatisation de la gestion des mesures éducatives de mineurs confiés aux services déconcentrés du secteur public de la direction de la protection judiciaire de la jeunesse ;
Après avoir entendu Mme Claire DAVAL, commissaire, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;
Emet l'avis suivant :
La commission a été saisie par le ministère de la justice d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « Gestion de l'activité et des mesures éducative 2010 » (Game 2010). Pour l'accomplissement de leurs missions, les services éducatifs de la direction de la protection judiciaire de la jeunesse (ci-après « PJJ ») disposent en effet depuis 1993 d'un traitement dédié. La dernière version du logiciel (Game 2000) a été autorisée par arrêté du 8 décembre 2000 pris après avis de la commission.
La commission s'est déjà prononcée sur la modification de ce traitement, notamment en 2009. Mais les modifications envisagées n'ont pas fait l'objet d'un arrêté et la délibération du 29 janvier 2009 susvisée n'a donc jamais été publiée.
Elle a diligenté des missions de contrôle en 2011, et notamment afin de déterminer si l'application Game, objet de la délibération du 29 janvier 2009, était mise en œuvre sans publication de l'arrêté correspondant, ou si Game 2000 demeurait utilisé, auquel cas il convenait de vérifier que l'utilisation qui en était faite était conforme à l'arrêté du 8 décembre 2000. Ces contrôles ont permis de constater plusieurs dysfonctionnements liés au traitement Game 2000.
La commission considère ainsi que l'acte réglementaire qui lui est soumis pour avis, ainsi que cette nouvelle version de l'application, doivent permettre de prendre en compte ses différentes observations et recommandations formulées dans ses précédentes délibérations, mais également de résoudre les difficultés constatées lors des contrôles qu'elle a menés.
A titre liminaire, la commission regrette que Game 2010 fonctionne déjà en sites pilotes sur les soixante unités éducatives, services éducatifs et directions territoriales de la direction interrégionale (DIR) Grand Sud depuis la mi-juin 2010, sans qu'aucune formalité préalable auprès d'elle n'ait été effectuée préalablement au déploiement de cette expérimentation.
Sur les finalités du traitement :
S'agissant du champ de mise en œuvre du traitement projeté, la commission prend acte qu'il n'est accessible qu'aux seuls établissements et services du secteur public de la PJJ, le secteur associatif habilité n'étant pas couvert. En outre, la commission relève que Game 2010 ne sera mis en œuvre que dans les unités éducatives, services éducatifs et directions territoriales.
L'article 1er du projet d'arrêté prévoit, en plus de la finalité statistique, trois finalités : le suivi des mineurs et jeunes majeurs confiés au secteur public de la PJJ, une prise en charge facilitée par la mise à disposition du parcours éducatif, et l'amélioration de l'accueil dans les services dédiés à l'insertion sociale et professionnelle des mineurs sujets d'une décision judiciaire civile ou pénale.
Concernant la première finalité, le traitement permettra plus précisément d'« améliorer la mise en œuvre et le suivi des mesures et sanctions éducatives et des peines prononcées par l'autorité judiciaire à l'endroit des mineurs ou des jeunes majeurs confiés au services et établissement du secteur public de la PJJ en milieu ouvert et dans le cadre du placement, et en détention (établissements pénitentiaires spécialisés pour mineurs, quartiers de mineurs en maisons d'arrêt) », finalité qui existait déjà dans le traitement Game 2000. Ainsi, Game 2010 traite l'ensemble des décisions de justice civiles et pénales applicables aux mineurs et confiées au secteur public, à l'exception des expertises et des alternatives aux poursuites autres que les réparations.
La commission relève ainsi que le suivi des mineurs incarcérés n'apparaissait pas expressément dans les finalités assignées au traitement par l'arrêté du 8 décembre 2000. Cependant, la loi n° 2002-1138 du 9 septembre 2002 d'orientation et de programmation pour la justice a posé le principe de l'intervention continue des éducateurs PJJ en détention. La commission prend donc acte de cette évolution de l'application.
La commission relève en outre que cette nouvelle rédaction permettra de régulariser ainsi les problèmes mis en lumière par les contrôles menés par la commission, notamment le suivi nominatif des mineurs incarcérés sous la forme d'un tableau Excel. A ce sujet, elle souhaite que cette nouvelle fonctionnalité s'accompagne de consignes strictes afin de ne pas permettre la mise en œuvre de traitements annexes ayant pour finalité le suivi des mineurs incarcérés. A cet égard, la commission relève également que l'application interdit désormais techniquement les exports de données nominatives, ce qui limitera en pratique une telle possibilité. Néanmoins, la commission ne manquera pas, si besoin, de faire à nouveau usage de ses pouvoirs de contrôles en application de l'article 44 de la loi du 6 janvier 1978 modifiée.
La deuxième finalité du traitement vise à « faciliter la prise en charge éducative la plus adaptée à chaque personne suivie, notamment en mettant à disposition des personnes habilités le détail du parcours éducatif des mineurs résultant du suivi réalisé dans les différentes structures éducatives du secteur public ». La commission relève que cette finalité sera facilitée par la création d'une base de données nationale, qui se substituera aux bases locales mises en œuvre aujourd'hui dans Game 2000. Cette nouvelle architecture permettra de ne plus avoir d'émiettement des informations, constaté lors des contrôles réalisés en 2011 et d'assurer ainsi un meilleur suivi du mineur. Si la constitution d'une base centrale peut effectivement présenter certains avantages, la commission rappelle néanmoins que toutes les mesures de sécurité et de traçabilité doivent être mises en œuvre afin de garantir la confidentialité des données.
En outre, le projet d'arrêté prévoit une finalité d'« améliorer l'accueil dans les services dédiés à l'insertion sociale et professionnelle des mineurs sujets d'une décision judiciaire civile ou pénale, ainsi que des mineurs et jeunes majeurs qui y sont également confiés au titre de partenariats avec les organismes publics ou parapublics en charge de l'insertion sociale de public en grande difficulté ». La commission observe que l'insertion sociale et professionnelle du mineur confié figure désormais dans les finalités assignées au traitement ; cette mission n'est pas nouvelle mais était peu développée dans Game 2000. Il est désormais demandé aux services éducatifs de s'assurer que chaque mineur confié et qui n'est ni scolarisé ni en formation bénéficie d'un suivi « d'activité de jour et de formation » afin d'évaluer ses compétences en début de prise en charge puis de construire un projet de réinsertion scolaire ou professionnelle, et enfin de le mettre en œuvre.
Enfin, la commission prend acte que l'application Game 2010 permettra à l'ensemble des unités éducatives, services éducatifs et directions territoriales, mais également aux directions interrégionale et à l'administration centrale d'exploiter des données non personnelles et certaines données personnelles anonymisées et cryptées à des fins statistiques et de pilotage. S'agissant de ces besoins de pilotage, la commission rappelle que les données, qui seront mises en perspective avec des informations de fonction support (surface des locaux, effectif éducatif du service, etc.), ne sauraient être utilisées aux fins de contrôle de l'activité individuelle des éducateurs, mais doivent uniquement permettre d'ajuster l'allocation des moyens en fonction de l'activité constatée des différents services ou unités.
La commission estime que ces différentes finalités, sous réserve des observations formulées, sont explicites, déterminées et légitimes.
Sur les données traitées :
Sur les données « sensibles » au sens de l'article 8 de la loi du 6 janvier 1978 modifiée :
La commission relève que l'acte réglementaire autorisant le traitement est un arrêté, forme juridique qui ne permet pas d'envisager le traitement de données sensibles relevant de l'article 8 de la loi du 6 janvier 1978 modifiée.
Elle relève cependant que de telles données peuvent être utiles concernant le suivi quotidien des mineurs placés ou incarcérés.
S'agissant des ces derniers, la commission observe que le traitement mis en œuvre par la direction de l'administration. pénitentiaire (GIDE) peut enregistrer des données sensibles au sens de l'article 8 de la loi n° 78-17 du 6 janvier 1978, conformément aux textes en vigueur.
En ce qui concerne les mineurs placés, la commission a constaté lors des contrôles la mise en œuvre de traitements « papier » ou informatisés, autres que Game, ayant pour finalité le suivi quotidien des mineurs, et qui contenaient de telles données, notamment des données relatives à la santé. Aussi, elle prend acte de l'engagement du ministère d'étudier la mise en conformité de ces traitements. Plus précisément, la commission relève que la direction de la protection judiciaire de la jeunesse du ministère est actuellement en train d'élaborer un projet de décret recensant les informations que les unités éducatives sont légitimes à détenir pour l'hébergement des mineurs, tant en matière de santé que du parcours éducatif ou judiciaire.
Sur les données concernant les personnes :
S'agissant des informations relatives aux personnes prises en charge, la commission observe que peu de nouvelles informations relatives à l'état civil sont collectées par rapport à celles prévues par l'article 5 de l'arrêté du 8 décembre 2000. Ces informations n'appellent pas d'observation particulière.
Elle souligne en outre que certaines informations sont enregistrées sous la forme d'un champ libre (« quartier de la ville/ZUS », scolarisation/formation professionnelle du mineur ou jeune majeur, etc.). A cet égard, la commission rappelle que les données renseignées doivent être pertinentes, adéquates et non excessives et doivent être communiquées à l'intéressé, à sa demande, conformément à l'article 39 de la loi du 6 janvier 1978 modifiée. En outre, et dans la mesure du possible, elle recommande l'utilisation de menus déroulants.
S'agissant de l'environnement familial, le dossier laisse apparaître que la profession des parents est enregistrée, ce qui ne figure pas dans le projet d'arrêté (alors même que la collecte de cette donnée est prévue dans l'arrêté du 8 décembre 2000). En 2000 déjà, le ministère justifiait le recueil d'informations concernant les parents ou représentants du mineur par la nécessité de permettre aux éducateurs et travailleurs sociaux de mieux connaître le contexte familial du jeune suivi et d'adapter la réponse éducative apportée. Aussi, et puisque cette information est effectivement traitée, la commission prend acte que le projet d'acte réglementaire sera modifié en ce sens.
A propos des informations concernant la fratrie, et notamment l'identité de frères ou sœurs du mineur pris en charge, la commission relève qu'elles ne seront collectées qu'au titre d'autres mesures judiciaires, conformément à ses précédentes préconisations.
Enfin, la commission prend acte de l'engagement du ministère, au regard des réserves formulées à ce sujet par la commission lors de l'instruction de la demande d'avis, de ne plus enregistrer dans un registre annuel sur support papier les informations relatives aux personnes exerçant un droit d'accès. Le projet d'arrêté devra donc être modifié en ce sens, ainsi que la circulaire du 8 avril 2011.
S'agissant du personnel du ministère de la justice et des libertés, sont enregistrées des informations concernant le personnel de l'unité éducative en charge de l'exécution de la décision judiciaire (nom et prénom du référent éducatif du mineur), le prescripteur de la mesure (juridiction, numéro de cabinet du juge), le personnel utilisant Game 2010 (nom, prénom, fonction et quotité de travail, service d'affectation). Ces informations n'appellent pas de remarque particulière de la part de la commission.
Sur les données concernant les décisions judiciaires fondant la prise en charge et l'activité induite :
La rubrique « contexte » de cette catégorie comporte des informations relatives à la « prise en charge intervenant conjointement ou avant/après une autre décision judiciaire, confiée à un autre opérateur (association, aide sociale à l'enfance) ».
La version actuelle de Game ne contient aucune donnée relative au motif de l'infraction pour laquelle le mineur est suivi, ni d'information relative à une décision ou peine dont l'exécution n'est pas confiée au secteur public de la DRU, ni non plus d'information relative à un mineur dont la dernière mesure s'est achevée depuis trois ans au moins.
La commission prend acte que Game 2010 ne contiendra aucune donnée relative au motif de l'infraction, ni d'information relative à un mineur dont la dernière mesure s'est achevée depuis trois ans au moins. En revanche, le ministère explique que la décision judiciaire sera d'autant mieux exécutée par le secteur public que le service éducatif disposera de l'ensemble du parcours éducatif. Ainsi, le projet éducatif ou l'action d'insertion et d'activité de jour confié au secteur public intégrera au moins dans sa problématique la temporalité de la mesure (début et fin) confiée au secteur associatif. La commission note qu'il s'agit d'une évolution importante et que cette information provient des entretiens entre le mineur et l'éducateur, effectués à l'occasion de son arrivée dans le service éducatif et au cours desquels il expose son parcours. Il n'y a donc aucune interconnexion entre le traitement Game 2010 et les traitements mis en œuvre par le secteur associatif (Images).
La commission prend acte que l'article 2 (e ) du projet d'arrêté prévoit de collecter certaines données (type d'activité éducative et objectifs pédagogiques, situation du mineur par rapport à ces objectifs, service où la mesure se déroule, etc.) dans le cadre de la mesure d'activité de jour instaurée par la loi n° 2007-297 du 5 mars 2007 relative à la prévention de la délinquance. Cette mesure nécessite en effet, pour en rendre compte au magistrat, de saisir dans l'application le type de formations suivies par le mineur et le service qui les dispense, les objectifs éducatifs poursuivis par cette formation et le niveau du mineur en début et fin de formation.
Sur la durée de conservation des données à caractère personnel :
Le projet d'arrêté prévoit que la durée de conservation des données soit de trois ans à compter de la fin de l'exécution de la mesure, sanction éducative ou peine, et reste donc identique à ce qui avait déjà été avalisé par la commission.
La commission prend acte que cette durée de conservation est garantie par la destruction automatisée et non réversible de toute mesure achevée depuis trois ans et un jour au moins.
Le ministère n'envisageant plus de conserver dans un registre les informations relatives aux personnes exerçant un droit d'accès, la commission rappelle que les dispositions de l'article 3 relatives à la duré de conservation de ce registre devront être supprimées.
Sur les destinataires :
Au regard du public visé par le traitement et les données enregistrées, la commission considère que la définition et la clarification des accès des utilisateurs locaux, régionaux ou nationaux aux informations sont essentielles.
Sur les personnels pouvant directement accéder au traitement :
Le projet d'arrêté prévoit que plusieurs types de personnels disposent d'un accès direct au traitement et aux données à caractère personnel qui y sont enregistrées.
Sont ainsi concernés, d'une part, les personnels de la PJJ exerçant leur mission au sein des unités éducatives et des services éducatifs du secteur public de la PJJ, des directions territoriales de la PJJ, des quartiers des mineurs des maisons d'arrêt et des établissements pénitentiaires pour mineurs, dans la mesure où il s'agit de leur outil de travail. La commission prend acte que les données sont consultables en fonction du besoin d'en connaître.
D'autre part, lorsque les personnels de direction (responsables d'unité éducative, les directeurs d'unités ou établissements éducatifs, les directeurs territoriaux) délèguent les tâches de saisie et de consultation de l'application aux personnels de secrétariat (« référents administratifs »), ces derniers, spécialement et nominativement habilités à cette fin, pourront également accéder à l'application. Dans la mesure où la demande d'habilitation est expressément considérée comme délégation de signature, ces personnels de secrétariat auront alors les mêmes pouvoirs que le responsable. La commission appelle l'attention du ministère sur la circonspection avec laquelle ces habilitations devront été délivrées.
La commission relève que les auditeurs en DJR peuvent également accéder directement au traitement, mais leur accès sera strictement limité aux seuls mineurs confiés au service objet de l'audit, et pour sa durée. L'auditeur est par ailleurs habilité par le directeur interrégional de la PJJ. La commission constate que l'ordre de mission sera formalisé (écrit fondant l'habilitation de l'auditeur à accéder à Game 2010 pour la période et le service considéré). Elle souhaite insister sur les conditions d'habilitation fixées par la circulaire du 8 avril 2011 et rappelle à cet effet que cette procédure d'habilitation devra être suivie scrupuleusement, afin de garantir que cet accès par l'auditeur ne s'effectue que pour les stricts besoins de sa mission.
Les membres de l'inspection de la protection judiciaire de la jeunesse, dont les missions sont prévues par l'article 7 de l'arrêté du 9 juillet 2008 fixant l'organisation en sous-directions de la direction de la protection judiciaire de la jeunesse, auront également accès au traitement. De la même manière, la commission note que leur accès sera limité aux mineurs suivis par l'établissement ou le service inspecté, et pour la durée de ladite inspection.
Enfin, auront directement accès au traitement les personnels pénitentiaires individuellement désignés et spécialement habilités par le directeur d'établissement pénitentiaire exerçant leurs missions en établissement pénitentiaire pour mineurs et quartiers des mineurs en maison d'arrêt.
La commission rappelle que les personnels pénitentiaires disposent de leur propre application métier (GIDE), dont les données sur les mineurs sont plus riches que celles saisies dans Game 2010. Cependant, elle relève que la saisie dans Gaine 2010 d'information sur les mineurs détenus par les personnels pénitentiaires permettra de mettre en perspective l'action éducative antérieure en milieu ouvert et l'action éducative en milieu fermé. Cela facilitera également la préparation de la sortie et le suivi du mineur en milieu ouvert. Dans ces conditions, la commission estime que ces personnels sont légitimes, au regard des finalités du traitement, à y accéder.
Sur les personnels accédant aux données non nominatives de l'Infocentre :
L'arrêté du 8 décembre 2000 prévoit une obligation d'anonymisation des données concernant les mineurs à partir du niveau interrégional : les directions régionales ainsi que la direction d'administration centrale de la PJJ n'accèdent pas aux données à caractère personnel des mineurs et jeunes majeurs pris en charge, mais à des données anonyrnisées.
Ce principe est repris à l'article 4 (2°) du projet d'acte réglementaire, qui dispose que peuvent accéder aux données non nominatives de l'infocentre, lequel permet un traitement statistique des données, les personnels du ministère de la justice appartenant aux directions interrégionales de la PJJ et à la direction d'administration centrale de la PJJ (l'inspection de la PJJ et les bureaux concernés par les statistiques et le pilotage), les agents de la sous-direction de la statistique et des études au secrétariat général, et les agents en charge des statistiques du bureau des études et de la prospective au sein des services centraux de la direction de l'administration pénitentiaire. Les directions interrégionales et l'administration centrale ne disposent donc pas d'un accès à l'application Game 2010.
En outre, la commission considère qu'il doit être techniquement impossible, à partir des données contenues dans l'infocentre, de les relier à un mineur : elle prend donc acte que le chiffrement des données dans la base de données Game 2010 au moment de son export dans l'infocentre, par une technique de « pseudonymisation », rend théoriquement impossible ce lien. La commission observe que le procédé de hachage utilisé est conforme à l'état de l'art, mais constate néanmoins que cette pseudonymisation ne fait pas intervenir de clé ou de secret. Elle estime que ce risque théorique de « désanonymisation », même s'il ne représente pas une faille grave, devrait être corrigé. Aussi, elle prend acte de l'engagement du ministère d'étudier cette préconisation.
Enfin, ce principe d'anonymisation des données concernant les mineurs à partir du niveau interrégional sera d'autant mieux respecté si les exports de données à caractère personnel sont techniquement impossibles, ce qu'a confirmé le ministère.
Sur les autres destinataires :
L'article 5 du projet d'arrêté prévoit en outre que sont destinataires des données à caractère personnel enregistrées dans Game 2010, les magistrats et le personnel de greffe qui les assistent pour les nécessités liées au traitement des seules procédures sont ils sont saisis, ainsi que les magistrats de l'inspection générale des services judiciaires (IGSJ).
A cet égard, la commission rappelle que la mission de l'inspection de la protection judiciaire de la jeunesse s'exerce sans préjudice de la compétence générale en matière d'inspection de l'inspecteur général des services judiciaires.
La liste de ces destinataires n'appelle pas d'observation particulière de sa part.
Sur les droits des personnes concernées :
La commission prend acte qu'il est prévu l'envoi d'une lettre type aux familles lors de l'ouverture d'un dossier, ainsi qu'une note d'information affichée dans les services. Elle rappelle la nécessité d'informer les personnes concernées du traitement de leurs données, préalable indispensable à l'exercice des droits d'accès et de rectification, en application de l'article 32 de la loi du 6 janvier 1978 modifiée. En effet, les contrôles menés par les services de la commission ont par exemple permis de constater que les mineurs ou jeunes majeurs placés ou incarcérés ne sont pas toujours informés de leurs droits, et qu'aucun affichage ni aucune information n'est prévu lors de l'accueil du mineur.
La commission prend acte que l'article 6 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exercent, en application des articles 39 et 40 de la loi du 6 janvier 1978 modifiée, pour les jeunes majeurs et les représentants légaux des mineurs, auprès du directeur territorial de la PJJ où se trouve le service éducatif en charge de l'exécution de la décision judiciaire ou de la mesure prononcée.
Sur l'architecture du traitement, les sécurités et la traçabilité :
D'une manière générale, la commission estime que l'ensemble des mesures de sécurité prévues sont satisfaisantes au regard des obligations de l'article 34 de la loi du 6 janvier 1978 modifiée. Le ministère de la justice a d'ailleurs fait réaliser un audit de sécurité de Game 2010 par un prestataire spécialisé. La commission ne peut que se féliciter de cette démarche, qui contribue au renforcement des garanties de protection des données à caractère personnel. Cet audit, dont les conclusions ont été poilées à la connaissance de la commission, est globalement satisfaisant. Le rapport d'audit technique a identifié une seule vulnérabilité de criticité moyenne qu'il conviendrait néanmoins de corriger à moyen terme.
La commission prend acte que le traitement projeté ne fait pas l'objet d'interconnexion, ni de mise en relation ou de rapprochement avec d'autres traitements de données à caractère personnel, notamment avec GIDE, Cassiopée ou APPI.
Sur les mesures de traçabilité :
L'article 8 du projet d'arrêté prévoit que les « créations de dossiers, les consultations et modifications des données à caractère personnel dans l'application Game 2010 font l'objet d'un enregistrement comprenant l'identifiant de l'intervenant, la date et l'heure de l'intervention et les références du dossier consulté. Ces données sont conservées pendant un délai de six mois ».
L'exploitation des traces se fera selon les règles de droit commun du ministère et, à ce titre, elles seront consultées dans deux types d'incidents signalés : les incidents techniques et les incidents d'utilisation. En outre, un rapport semestriel des consultations de traces est adressé par le directeur central de la PJJ à l'inspecteur général des services judiciaires du ministère de la justice ; ce document liste notamment les consultations et les traces consultées durant cette période.
La commission considère que ces mesures de traçabilité sont satisfaisantes, mais constate néanmoins qu'elles seront consultées uniquement en réaction à une anomalie. A cet égard, elle relève que le ministère s'engage à étudier la faisabilité d'un module d'analyse périodique des journaux aux fins de déceler des comportements suspects, conformément aux préconisations de la commission.
S'agissant de la durée de conservation relativement courte de ces traces (six mois), la commission prend acte de l'engagement du ministère de porter cette durée à trois ans, laquelle correspond à la durée de prescription de l'infraction de détournement de finalité, prévue à l'article 226-21 du code pénal.
Sur le chiffrement de la base :
La commission, dans ses précédentes délibérations, a toujours souligné que le cryptage était une condition de sécurité déterminante dans l'utilisation d'un logiciel tel que Game 2000. Or, les contrôles effectués par les services de la commission ont permis de constater que l'algorithme de chiffrement utilisé n'était pas satisfaisant.
Concernant le cryptage en base, la commission relève que l'algorithme utilisé est conforme au référentiel général de sécurité (RGS) et apporte satisfaction. La clé de chiffrage est générée à partir d'un mot de passe, lequel est composé de 16 caractères générés d'une manière aléatoire, conformément à la prescription de l'audit de sécurité et aux préconisations de la commission. Le cryptage en flux est également satisfaisant.
Au regard de ces éléments, la commission souligne la qualité des mesures de chiffrement qui ont été prévues (en base ou en flux), lesquelles faisaient défaut dans les précédentes versions de l'application.
Sur l'accès à l'application et la sécurité des mots de passe :
La commission prend acte des mesures de sécurité prises à cet effet (accès à l'application verrouillé systématiquement si elle n'est pas utilisée après un certain délai, robustesse du mot de passe conforme à ses préconisations, obligation de renouveler régulièrement ce mot de passe), et considère qu'elles sont de nature à garantir un accès sécurisé à l'application.
Charte de sécurité et formation des personnels :
Au regard de la sensibilité du traitement, il semble indispensable à la commission que le déploiement de ce nouveau traitement soit l'occasion de rappeler à l'ensemble des personnels de la PJJ ayant accès à Game 2010, par exemple par l'intermédiaire d'une charte de sécurité, les règles générales de sécurité. A ce sujet, la commission prend acte cette charte est d'ores et déjà proposée à chaque DIRPJJ, dans la circulaire du 8 avril 2011.
Aussi, et afin d'exploiter au mieux le potentiel et les différentes fonctionnalités de Game 2010, et éviter ainsi la mise en œuvre parallèle de traitements locaux dont les finalités pourraient être proches de Game 2010, la commission considère que les utilisateurs doivent être formés à ce nouvel outil.
Plus généralement, les contrôles ont permis de révéler que les agents sont peu sensibilisés aux questions « Informatique et Libertés ». La commission souligne donc les efforts du ministère afin de sensibiliser ses agents (formation spécifique des directeurs et secrétaires au moment du déploiement, et évocation des principes de la loi du 6 janvier 1978 modifiée, des problématiques de sécurité ainsi que l'impossibilité de réaliser des exports de données nominatives).
Migration des données de Game 2000 vers Game 2010 :
La commission prend acte des garanties apportées par le ministère en matière de reprise des données vers la nouvelle version de Game. Elle rappelle qu'à l'occasion de cette migration les bases plus anciennes ou tout autre fichier ne provenant pas de Game 2000 ne doivent pas être importées dans la nouvelle version de Game. En outre, les données importées doivent être exactes et mises à jour, et les fichiers ayant des finalités proches de Game mais qui n'ont pas fait l'objet de formalités préalables auprès de la commission doivent être systématiquement détruits, comme s'y est d'ailleurs engagé le ministère.


La présidente,

I. Falque-Pierrotin