Délibération n° 2014-549 du 18 décembre 2014 portant avis sur un projet d'arrêté relatif à la mise en œuvre, à la direction générale de la concurrence, de la consommation et de la répression des fraudes, d'une application contentieux dans le système opérationnel pour les réseaux et les activités (demande d'avis n° 1765406)

JORF n°0024 du 29 janvier 2015
texte n° 92



Délibération n° 2014-549 du 18 décembre 2014 portant avis sur un projet d'arrêté relatif à la mise en œuvre, à la direction générale de la concurrence, de la consommation et de la répression des fraudes, d'une application contentieux dans le système opérationnel pour les réseaux et les activités (demande d'avis n° 1765406)

NOR: CNIX1501967X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'économie, de l'industrie et du numérique d'une demande d'avis portant sur un projet d'arrêté relatif à la mise en œuvre, à la direction générale de la concurrence, de la consommation et de la répression des fraudes, d'une application contentieux dans le système opérationnel pour les réseaux et les activités ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-I (2°) ;
Vu le décret n° 2001-1178 du 12 décembre 2001 modifié relatif à la direction générale de la concurrence, de la consommation et de la répression des fraudes ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2009-1377 du 10 novembre 2009 relatif à l'organisation et aux missions des directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l'emploi ;
Vu le décret n° 2009-1484 du 3 décembre 2009 modifié relatif aux directions départementales interministérielles ;
Vu le dossier et ses compléments ;


Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'économie, de l'industrie et du numérique d'un dossier de formalité préalable relatif à la mise en œuvre, par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), d'un traitement de données à caractère personnel dédié à la gestion du contentieux dans le système opérationnel pour les réseaux et les activités, dénommé « SORA Contentieux ».
SORA Contentieux est une application spécifique de l'application Système opérationnel pour les réseaux et les activités (SORA), utilisée par la DGCCRF. Elle concerne la gestion et le suivi des contentieux relatifs aux infractions en matière de régulation des marchés, de protection des populations, de qualité et de sécurité des produits et services. Le périmètre de ce traitement est limité aux suites pénales des constations faites sur procès-verbal par les enquêteurs lors de leurs contrôles.
Dans la mesure où ce traitement a pour objet la constatation et la poursuite d'infractions pénales, sa mise en œuvre doit être autorisée par arrêté ministériel, pris après avis motivé et publié de la commission, en application des dispositions de l'article 26-1 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la finalité du traitement :
SORA Contentieux est dédiée aux suites pénales des constations faites par les enquêteurs sur procès-verbal à la suite d'une demande du parquet ou d'une enquête.
Le traitement a pour objet la gestion et le suivi des contentieux liés à l'exercice des missions des agents des directions mentionnées ci-après, compétents en matière de régulation des marchés, de protection des populations, de qualité et de sécurité des produits et services.
Dans la mesure où ces infractions relèvent de la compétence de plusieurs administrations, l'article 1er du projet d'arrêté prévoit que l'application SORA Contentieux est mise en œuvre dans les directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIRECCTE), dans les directions des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIECCTE), dans les directions départementales de la cohésion sociale et de la protection des populations (DDCSPP), à la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et dans ses services à compétence nationale.
Dans le cadre des missions de ces directions, la collecte et l'enregistrement des informations concernent les principaux éléments constitutifs du dossier sont nécessaires.
Le dossier est ensuite transmis au parquet, seul habilité à décider des suites pénales. Il est enrichi au fur et à mesure de l'avancement du dossier, au stade de l'action publique et de la phase judiciaire.
L'application permet également la production de tableaux de bord des transactions, d'agenda des audiences, l'édition de « liasses contentieuses » préremplies automatiquement à expédier au parquet et des documents relatifs à une transaction destinés aux personnes concernées et au Trésor public.
Enfin, SORA Contentieux est pourvu d'un module de gestion électronique des documents (GED) permettant la recherche et la consultation de documents numérisés relatifs au « Domaine contentieux »
La commission prend acte de ces finalités, qui apparaissent déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 3 du projet d'arrêté liste les données à caractère personnel qui seront traitées dans l'application projetée.
S'agissant des personnes physiques ou morales auteurs de l'infraction, sont collectés les nom, fonction, date de naissance, lieu de naissance, adresse personnelle, code postal, localité, pays, SIRET, raison sociale/enseigne, adresse, forme juridique et nom du responsable. La commission prend acte que l'article 3 sera modifié, à sa demande, afin que soient clairement distinguées les données enregistrées relatives aux personnes physiques auteurs d'infractions, des données relatives aux personnes morales.
En ce qui concerne les éléments du dossier contentieux et de son suivi, les caractéristiques de l'enquête, origine, état du rapport, infraction, transaction et suites pénales sont enregistrés et traités.
S'agissant des données d'identification des agents utilisateurs du traitement, sont collectés les nom, prénom, unité d'affectation, unité opérationnelle, service, programme LOLF auquel appartient l'agent, réseaux de compétence et profil utilisateur.
La liste de ces données n'appelle pas de remarque particulière de la part de la commission.
Sur la durée de conservation des données :
Les données personnelles enregistrées en cas de contentieux sont conservées jusqu'au classement définitif de la procédure (acquittement de la transaction ou suite judiciaire définitive).
Les données relatives aux utilisateurs du traitement sont conservées jusqu'au départ de l'agent concerné.
La commission estime que ces durées de conservation sont conformes aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires du traitement :
L'article 5 du projet d'arrêté prévoit que les agents des services susmentionnés compétents en matière de régulation des marchés, de protection des populations, de qualité et de sécurité des produits et services peuvent accéder directement aux données enregistrées dans le traitement SORA Contentieux, « à raison de leurs attributions respectives et dans la limite du besoin d'en connaître ». Dans la mesure où ces agents seront individuellement habilités et où des profils d'accès spécifiques seront mis en œuvre, cette liste n'appelle pas d'observations particulières de la part de la commission.
Celle-ci relève néanmoins que les agents en charge de l'enregistrement et du suivi des procédures contentieuses de leur unité pourront accéder à l'ensemble des dossiers contentieux enregistrés dans le traitement, aux seules fins de représentation de l'administration devant les juridictions compétentes. En revanche, en ce qui concerne l'accès à la GED, compte tenu de la sensibilité et de la confidentialité des informations qui y figurent, des profils spécifiques et restrictifs d'accès ont été prévus.
Les magistrats, dans le cadre de l'action publique diligentée, ainsi que le Trésor public, aux seules fins de gestion du paiement des transactions, pourront recevoir communication des données personnelles enregistrées dans l'application.
L'article 5 du projet d'arrêté prévoit enfin que les agents et personnes physiques pourront également recevoir communication des données qui les concernent. La commission rappelle à cet égard que cette transmission ne peut intervenir que dans le cadre de l'exercice de leurs droits d'accès et de rectification et prend acte de l'engagement du ministère à modifier ledit article sur ce point, afin d'éviter toute confusion entre les destinataires du traitement et les personnes concernées.
Sur les droits des personnes :
Le droit d'information des personnes concernées par le traitement se matérialise par des mentions dans les correspondances avec les établissements et les particuliers.
Les personnes mises en cause sont en effet informées par courrier des mesures, judiciaires ou non, prises en suite des contrôles au cours desquels a été constaté un manquement ou une infraction en matière régulation des marchés, de protection des populations, de qualité et de sécurité des produits et services. Ces courriers mentionnent notamment les modalités d'exercice de leurs droits d'accès et de rectification, qui s'exercent, conformément aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée, directement auprès des directeurs des services mentionnés à l'article 1er du projet d'arrêté.
L'article 7 du projet d'arrêté prévoit que le droit d'opposition prévu à l'article 38 de la loi « Informatique et libertés » ne s'applique pas au traitement projeté.
Ces modalités d'exercice des droits des personnes n'appellent pas d'observation de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
L'authentification des utilisateurs du traitement respecte les préconisations de la commission, notamment en termes de complexité des mots de passe. Chaque utilisateur dispose en effet d'un identifiant qui lui est propre et le responsable de traitement a mis en place une politique de mot de passe qui exige que ceux-ci aient une longueur de dix caractères et qu'ils contiennent au moins un chiffre, une minuscule et un caractère spécial. Ces mots de passes doivent être renouvelés tous les 75 jours.
Une traçabilité des opérations de suppression, de création ou de modification des données enregistrées dans SORA Contentieux est assurée, comme le prévoit expressément l'article 3 du projet d'arrêté, les journaux applicatifs étant conservés pendant une durée maximale d'un an. Au vu de la diversité et du nombre important d'utilisateurs du traitement, la commission estime que les opérations de seule consultation devraient également faire l'objet d'une traçabilité et prend acte de l'engagement du ministère à assurer une telle traçabilité.
L'accès à distance au traitement des services utilisateurs est sécurisé au moyen du protocole SSL ou via un tunnel VPN IPSec. La commission rappelle ses recommandations en matière d'utilisation d'outils cryptographiques et de leur mise en œuvre, à savoir suivre les règles et recommandations décrites dans les annexes BI, B2 et B3 du référentiel général de sécurité publié par l'ANSSI. Il est notamment recommandé de ne pas utiliser de clé RSA inférieure à 2 048 bits.
Enfin, l'accès aux locaux est restreint au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel.
Les mesures de sécurité décrites par le responsable de traitement sont dès lors conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


Pour la présidente :

La vice-présidente déléguée,

M.-F. Mazars