Délibération n° 2015-004 du 15 janvier 2015 portant avis sur un projet d'arrêté modifiant l'arrêté du 17 février 2010 modifié portant création d'un traitement automatisé de données à caractère personnel dénommé « Système d'information numérique standardisé » (SINUS) (demande d'avis n° 1363480v2)

JORF n°0038 du 14 février 2015
texte n° 67



Délibération n° 2015-004 du 15 janvier 2015 portant avis sur un projet d'arrêté modifiant l'arrêté du 17 février 2010 modifié portant création d'un traitement automatisé de données à caractère personnel dénommé « Système d'information numérique standardisé » (SINUS) (demande d'avis n° 1363480v2)

NOR: CNIX1503687X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant la modification de l'arrêté du 17 février 2010 modifié portant création d'un traitement automatisé de données à caractère personnel dénommé « Système d'information numérique standardisé » (SINUS) ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité intérieure, notamment ses articles L. 721-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-I (1°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 17 février 2010 modifié portant création d'un traitement automatisé de données à caractère personnel dénommé « Système d'information numérique standardisé » (SINUS) ;
Vu le dossier et ses compléments ;


Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'un projet d'arrêté modifiant l'arrêté du 17 février 2010 modifié portant création d'un traitement automatisé de données à caractère personnel dénommé « Système d'information numérique standardisé » (SINUS).
Ce traitement, mis en œuvre par le préfet de police, intéresse la sécurité publique en tant qu'il a pour finalité d'assurer le dénombrement, l'identification et le suivi des victimes lors d'événements exceptionnels tels que des événements sportifs ou festifs, ou encore de faciliter le déroulement des enquêtes judiciaires diligentées dans ce cadre. Il relève dès lors des dispositions de l'article 26-1 (1°) de la loi du 6 janvier 1978 modifiée et les modifications apportées à l'arrêté du 17 février 2010 susvisé nécessitent un avis motivé et publié de la commission.
La modification projetée du traitement concerne les destinataires des données et informations enregistrées dans SINUS, afin d'y ajouter les associations agréées de sécurité civile d'Ile-de-France (AASC).
Les missions de sécurité civile sont assurées principalement par les sapeurs-pompiers professionnels et volontaires des services d'incendie et de secours ainsi que par les personnels des services de l'Etat et les militaires des unités qui en sont investis à titre permanent. Conformément aux dispositions de l'article L. 721-2 du code de la sécurité intérieure (CSI), concourent également à l'accomplissement des missions de la sécurité civile les membres des associations ayant la sécurité civile dans leur objet social.
Ces associations peuvent être agréées soit par le représentant de l'Etat dans le département, soit par le ministre chargé de la sécurité civile. En application des dispositions de l'article L. 725-3 du CSI, seules les associations agréées sont engagées, à la demande de l'autorité de police compétente ou lors du déclenchement du plan « Organisation de la Réponse de la SEcurité Civile » (ORSEC), pour participer aux opérations de secours, à l'encadrement des bénévoles dans le cadre des actions de soutien aux populations, à la mise en place des dispositifs de sécurité civile dans le cadre de rassemblements de personnes ou encore aux actions d'enseignement et de formation en matière de secourisme.
Selon le ministère, l'action de ces AASC se limite actuellement à de simples prestations de secourisme. En étant destinataires de certaines informations contenues dans SINUS, ces associations contribueraient dès lors à l'amélioration de la remontée des informations liées à l'identification et à la traçabilité des personnes prises en charge lors d'événements exceptionnels.
Il est en outre prévu que ces associations bénéficient d'un accès au traitement SINUS strictement encadré au travers d'une gestion stricte des habilitations.
Le profil d'habilitation des AASC est ainsi susceptible de varier selon qu'elles sont impliquées lors du déclenchement d'un dispositif dit de « NOmbreuses Victimes » (NOVI) ou dans l'organisation des dispositifs prévisionnels de secours (DPS) dans le cadre d'événements festifs ou sportifs de grande ampleur.
Ainsi, en mode NOVI, les AASC viennent en appui de l'action des sapeurs-pompiers et des enquêteurs pour transmettre les renseignements concernant des personnes sans dommage physique apparent. A cet effet, elles bénéficient d'un profil « primo-intervenant » qui ne leur permet que cette remontée d'informations, à l'exclusion de tout accès direct en consultation du traitement SINUS.
En mode DPS « public », les AASC viennent en appui de l'action des sapeurs-pompiers pour transmettre des informations concernant les personnes prises en charge par leurs centres de secours. Dans cette hypothèse, leur profil « primo-intervenant » leur permet également d'accéder à une partie des données et informations contenues dans le traitement SINUS. La commission prend acte que les AASC bénéficieront d'un accès direct en consultation pour les états et listes des victimes qu'elles auront elles-mêmes émises, chacune en ce qui les concerne.
Enfin, en mode DPS « privé », les AASC interviennent à la demande des organisateurs de l'événement sportif ou festif, sans intervention préalable des sapeurs-pompiers ou du service d'aide médicale urgente (SAMU). Dans ce cas, leur profil « primo-intervenant » leur permet également de renseigner la nature de l'événement en question, d'y associer les fiches relatives aux victimes ou encore d'éditer les états et listes des victimes relatives à cet événement, à l'exclusion de toute autre donnée.
Compte tenu de ces éléments et de la finalité poursuivie par le traitement, la commission considère qu'il est légitime pour les AASC d'être ajoutées à la liste des destinataires des données et informations enregistrées dans SINUS. Elle considère également que leur participation aux opérations de secours en cas de déclenchement d'un dispositif NOVI ou lors de l'organisation de DPS justifie qu'elles puissent avoir accès, dans la limite du besoin d'en connaître, à certaines données et informations contenues dans SINUS.
Néanmoins, elle observe que, dans cette hypothèse, les AASC accèdent directement au traitement SINUS. Elle demande donc que l'article 3 du projet d'arrêté soit modifié afin de distinguer les catégories de personnes pouvant accéder directement à l'application SINUS de celles pouvant simplement recevoir communication de certaines données et informations contenues dans ce traitement.


Pour la présidente :

La vice-présidente déléguée,

M.-F. Mazars