Délibération n° 2015-312 du 17 septembre 2015 portant avis sur un projet de décret relatif à la mise en œuvre de la diffusion sur internet de certaines des condamnations pénales prononcées en matière de travail illégal (demande d'avis n° 1870746)

JORF n°0246 du 23 octobre 2015
texte n° 113



Délibération n° 2015-312 du 17 septembre 2015 portant avis sur un projet de décret relatif à la mise en œuvre de la diffusion sur internet de certaines des condamnations pénales prononcées en matière de travail illégal (demande d'avis n° 1870746)

NOR: CNIX1525068X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le directeur général du travail d'une demande d'avis concernant un projetde décret relatif aux modalités d'application de l'article 8 de la loi n° 2014-790 du 10 juillet 2014 visant à lutter contre la concurrence sociale déloyale ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du travail, notamment ses articles L. 8224-3 et L. 8256-3 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le 2° du I de son article 26 ;
Vu la loi n° 2014-790 du 10 juillet 2014 visant à lutter contre la concurrence sociale déloyale ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;


Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis, le 22 juin 2015, par le directeur général du travail d'un projet de décret relatif aux modalités d'application de l'article 8 de la loi n° 2014-790 du 10 juillet 2014 visant à lutter contre la concurrence sociale déloyale.
A la suite d'une proposition de loi déposée à l'Assemblée nationale, le 8 janvier 2014, la loi n° 2014-790 du 10 juillet 2014 visant à lutter contre la concurrence sociale déloyale a créé une nouvelle modalité de diffusion applicable à certaines des condamnations pénales prononcées en matière de travail illégal à l'encontre de personnes physiques ou morales.
Aux termes de l'article 8 de cette loi, les peines prononcées pour des faits constitutifs de travail dissimulé, de marchandage, de prêt illicite de main d'œuvre ou d'emploi d'un étranger sans titre de travail peuvent désormais, lorsqu'une amende est prononcée, être assorties, à titre de peine complémentaire, d'une diffusion sur un site internet dédié géré par les services du ministre chargé du travail pour une durée maximale de deux ans.
Au cours du processus législatif, le législateur a prévu que cette diffusion sur internet s'opérerait « dans des conditions prévues par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés », la première version de la proposition de loi mentionnant uniquement des « conditions déterminées par décret en Conseil d'Etat ».
A cet égard, la commission rappelle qu'en application des dispositions du 2° du I de l'article 26 de la loi du 6 janvier 1978 modifiée, tous les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté doivent être autorisés par un acte réglementaire du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés.
La commission relève que la direction générale du travail, chargée de préparer les modalités d'application de l'article 8 de la loi n° 2014-790 du 10 juillet 2014, a largement pris en compte ses recommandations ainsi que les observations émises à l'occasion d'une réunion de travail, en particulier s'agissant de l'existence de deux listes distinctes pour les personnes physiques et morales, de la minimisation des données diffusées, de l'adoption de mesures techniques visant à empêcher une indexation par les moteurs de recherche ou de mesures permettant de limiter la diffusion des informations diffusées.
Sur la finalité du traitement :
La commission prend acte des dispositions introduites par l'article 8 de la loi n° 2014-790 visant à lutter contre la concurrence sociale déloyale sur lesquelles elle n'avait pas été consultée avant l'adoption de la loi. La mise en œuvre de ces dispositions, telle que prévue par le projet de décret soumis à la commission, appelle de sa part les observations suivantes.
La commission a déjà eu l'occasion de rappeler, en particulier dans sa délibération du 29 novembre 2001 portant recommandation sur la diffusion de données personnelles sur internet par les banques de données de jurisprudence, que la publicité des audiences, le caractère public des décisions de justice et la libre communication des jugements et des arrêts constituent des garanties fondamentales consacrées, notamment, par l'article 6 de la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales.
La commission estime toutefois qu'un juste équilibre entre le caractère public d'une décision de justice et sa libre accessibilité sur internet doit être recherché pour éviter une atteinte excessive aux droits des personnes, au nombre desquels figurent en particulier le respect de la vie privée et la préservation des chances de réinsertion.
L'objectif de transparence voulu par le législateur doit par conséquent être concilié avec la protection des données à caractère personnel, telle que prévue par la loi du 6 janvier 1978 modifiée.
La commission observe, à titre indicatif, que la Cour de justice de l'Union européenne (1) (CJUE), appelée à se prononcer sur la publication des informations relatives aux bénéficiaires de fonds européens agricoles, a considéré que « l'obligation de publication des noms des personnes physiques bénéficiaires d'une telle aide ainsi que les montants précis qu'elles ont perçus constitue, au regard de l'objectif de transparence, une mesure disproportionnée ». Pour la Cour, « aucune prééminence automatique ne saurait être reconnue à l'objectif de transparence sur le droit à la protection des données à caractère personnel ».
A cet égard, l'innovation législative introduite par l'article 8 de la loi n° 2014-790 soulève des questions de cohérence avec d'autres dispositions relatives à la diffusion de données à caractère personnel portant sur des condamnations judiciaires.
Ainsi, le casier judiciaire national automatisé, qui constitue la mémoire des condamnations prononcées publiquement, est en France l'un des fichiers les plus protégés et les moins accessibles au public, les extraits de casier judiciaire ne pouvant être communiqués qu'aux personnes concernées par les condamnations, aux juridictions et aux organismes bénéficiant d'un droit de communication en vertu d'une disposition législative.
Par ailleurs, la commission ajoute que le « droit à l'oubli », récemment consacré par la Cour de justice de l'Union européenne, doit être pris en compte par les Etats membres de l'Union et qu'il se traduit, notamment, par l'anonymisation des décisions de justice publiées sur internet et, dans certaines hypothèses, par l'exercice d'un droit au déréférencement auprès des moteurs de recherche.
La commission observe enfin que le projet de décret qui lui est soumis, qui institue une publication sur internet de certaines condamnations, concerne des infractions qui, bien que présentant une gravité certaine, sont moins sévèrement sanctionnées par la loi que d'autre comportements, tels que par exemple les crimes et les délits contre les personnes, la corruption ou encore le détournement de fonds, et pour lesquels une publication sur internet n'est pas prévue. Dès lors, un risque existe de voir les dispositions concernées constituer un précédent qui serait ensuite, de proche en proche, généralisé, au détriment des protections assurées par les textes existants. La commission considère qu'une telle systématisation de la diffusion sur internet des condamnations, par la portée infamante qu'elle comporte, serait de nature à porter une atteinte excessive aux droits et libertés fondamentaux.

(1) CJUE , grande chambre, 9 novembre 2010, affaires jointes C-92/09 et C-93/09 Volker und Markus Schecke GbR et Hartmut Eifert.


Sur la nature des données traitées :
Le projet de décret soumis à la commission prévoit la collecte et la diffusion de données différentes selon que la condamnation est prononcée à l'encontre d'une personne physique ou d'une personne morale. Le site internet permettant la diffusion comprendra ainsi deux listes différentes pour ces deux catégories.
S'agissant des personnes physiques, le projet de décret mentionne la diffusion de l'identité (nom, prénoms, sexe, date et lieu de naissance), de la nationalité, du numéro de SIREN ou de SIRET ou, le cas échéant, du numéro d'immatriculation à un registre professionnel ou à un organisme chargé du recouvrement des cotisations de sécurité sociale, de l'adresse professionnelle, de l'activité principale exercée (code NAF ou APE), de la nature de l'infraction, de la date et du dispositif de la décision, de la date de mise en ligne, de la durée et de la date de fin de la diffusion, des références de la juridiction et de l'indication d'un éventuel appel.
S'agissant des personnes morales, le projet de décret prévoit la diffusion de la dénomination sociale, de l'objet social, de l'identité du représentant légal lorsqu'il est également condamné, du numéro de SIREN ou de SIRET ou, le cas échéant, du numéro d'immatriculation à un registre professionnel, de l'adresse du siège social, de l'activité principale exercée (code NAF ou APE), de la nature de l'infraction, de la date et du dispositif de la décision, de la date de mise en ligne, de la durée et de la date de fin de la diffusion, des références de la juridiction et de l'indication d'un éventuel appel.
En dehors de la nationalité, qui ne semble pas présenter d'intérêt au regard des objectifs poursuivis par le législateur, ces données apparaissent de nature à éclairer le public quant â la nature des faits à l'origine de la condamnation et à permettre une identification de la personne condamnée.
La commission estime dès lors qu'il conviendrait de supprimer la diffusion de la nationalité de la personne condamnée, en ce que cela serait excessif au regard de la finalité poursuivie et, par conséquent, contraire aux dispositions de l'article 6 de la loi du 6 janvier 1978 modifiée.
La commission relève que le ministère a pris en compte certaines de ses recommandations en matière de minimisation des données, en supprimant des données relatives aux personnes physiques pour lesquelles la diffusion sur internet était initialement envisagée, ce qui permet de limiter les atteintes portées aux droits des personnes.
Enfin, si la commission conçoit qu'il est difficile d'aller plus loin dans la démarche de minimisation des données, sauf à vider de sa substance la loi n° 2014-790 du 10 juillet 2014, elle relève néanmoins que la diffusion de décisions judiciaires non définitives, par conséquent susceptibles d'être infirmées par une cour d'appel ou cassées par la Cour de cassation, est de nature à entrainer des conséquences préjudiciables et souvent irréparables pour des personnes relaxées par la suite.
Sur les modalités de transmission des données :
Le projet de décret examiné par la commission prévoit que le greffe de la juridiction ayant prononcé la condamnation est chargé de transmettre cette dernière, dès qu'elle a acquis un caractère exécutoire, aux services de l'administration centrale du ministère chargé du travail. Il précise que cette transmission, qui peut être assurée par voie dématérialisée, doit intervenir dans des conditions de nature à en assurer l'intégrité et la confidentialité.
Dans un premier temps, à savoir pour une période maximale d'un an à compter de la publication du projet de décret au Journal officiel, il est prévu que les greffes transmettent les décisions par télécopie, étant précisé que le terminal de destination devra faire l'objet d'une protection appropriée (local sécurisé).
Dans un second temps, la transmission sera opérée par l'intermédiaire de l'application CASSIOPEE lorsqu'elle sera étendue aux juridictions du second degré.
La commission prend ainsi acte du fait que les transmissions dématérialisées ne pourront intervenir que dans des conditions de nature à en assurer l'intégrité et la confidentialité.
Sur les modalités de diffusion des données sur internet :
Le projet de décret soumis à la commission précise que l'autorité responsable du site internet du ministère chargé du travail prend toutes les mesures nécessaires pour assurer la protection des données identifiantes, notamment en empêchant leur indexation par les moteurs de recherche externes ou leur reproduction sur internet ou sur un autre support électronique.
La commission prend ainsi acte du fait que le site intemet du ministère chargé du travail comprendra une page d'avertissement précisant les conditions de consultation et d'utilisation des données, sur laquelle il sera indiqué qu'il est interdit d'extraire, de détenir, de modifier ou de reproduire les condamnations diffusées. Cette page précisera également que l'indexation ou le référencement des pages par les moteurs de recherche ne sont pas autorisés. Chaque internaute, avant de consulter les listes de condamnations, devra accepter ces conditions en cochant une case prévue à cet effet.
La commission relève enfin que le responsable de traitement a choisi de recourir à un fichier robot.txt pour empêcher les moteurs de recherche externes de procéder à une indexation des données et, afin de limiter la diffusion des données, d'enregistrer les condamnations au format image.
La commission constate ainsi avec satisfaction que les demandes qu'elle a formulées par le passé s'agissant de la non-indexation d'informations directement identifiantes par des moteurs de recherche ont été prises en compte.
A cet égard, la commission rappelle que ses recommandations en matière de non-indexation ne visent pas à empêcher la diffusion des données, ce qui serait contraire à l'objectif de transparence du législateur, mais à s'assurer du respect des dispositions des 4° et 5° de l'article 6 de la loi du 6 janvier 1978 modifiée, qui concernent le respect des durées de conservation et la mise à jour des informations rendues publiques, s'agissant des données directement identifiantes.
Sur la durée de conservation des données :
La durée maximale de deux ans pendant laquelle les informations sont mises à la disposition du public, soit la durée de la peine complémentaire prononcée, n'apparaît pas excessive au regard de la finalité poursuivie.
La commission relève, par ailleurs, que le projet de décret indique que les données transmises au responsable de traitement sont conservées pendant cinq ans. Ce délai d'archivage visant à permettre de répondre à une éventuelle contestation quant à une diffusion erronée, d'une part, et à réaliser des bilans ou analyses statistiques dans des conditions d'anonymisation intégrale, d'autre part, n'apparaît pas excessif au regard de la finalité poursuivie.
Des mesures de sécurité adaptées, ainsi qu'une traçabilité renforcée, devront toutefois être mises en œuvre par le responsable de traitement pour éviter que les données archivées puissent être consultées sans justification et, le cas échéant, pour détecter et mettre un terme à d'éventuels accès illégitimes.
Sur l'information des personnes :
Les personnes concernées par la diffusion sur internet d'une condamnation pénale prononcée en matière de travail illégal seront informées, par le greffe compétent, de la transmission de la décision judiciaire au ministère du travail en vue d'une diffusion sur internet.
La commission prend acte que le ministère a également prévu que ces personnes bénéficieront, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, d'une information délivrée à partir de son site internet.
Ces éléments n'appellent pas d'observation de la commission.
Sur les droits d'accès, de rectification et d'opposition pour motif légitime :
La mise en œuvre du traitement résultant du respect d'une obligation légale incombant au responsable de traitement, le consentement des personnes concernées n'est pas requis, conformément aux dispositions de l'article 7 de la loi du 6 janvier 1978 modifiée. Le projet de décret est ainsi fondé à écarter l'exercice du droit d'opposition prévu par l'article 38 de cette loi.
La commission prend acte du fait que le projet de décret prévoit que le responsable de traitement doit prendre les mesures nécessaires pour assurer l'intégrité et la sécurité des données diffusées, d'une part, et mentionne la possibilité pour les personnes concernées d'exercer auprès du ministère un droit de rectification des données erronées ou inexactes, d'autre part.
A cet égard, la commission estime que le projet de décret devrait être complété pour mentionner également que les personnes concernées peuvent exercer leur droit d'accès aux données, tel que prévu par les articles 29-2° et 39 de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
Les habilitations d'accès au système d'information sont paramétrées selon les rôles des intervenants, avec des profils définissant les fonctions et les types d'informations accessibles à chaque utilisateur.
La commission recommande que la gestion et l'usage des habilitations fasse l'objet de procédures formalisées, validées par le responsable de traitement et portées à la connaissance des utilisateurs.
Les transferts de données sont chiffrés et sécurisés par l'utilisation de réseaux isolés (VLAN) et compartimentés (DMZ, Firewall, Reverse Proxy).
Les protocoles SSH (avec authentification) et SFTP (avec authentification) sont utilisés pour la mise à jour de l'application. Les mots de passe ont au minimum 6 caractères et sont stockés dans la base de données après avoir été hachés en MD5.
La commission recommande en outre d'utiliser la version de TLS la plus à jour, d'avoir recours à des mots de passe d'une longueur minimale de dix caractères, composés de minuscules, majuscules, chiffres et caractères spéciaux, et de les stocker en base avec une fonction de type HMAC / PBKDF ou assimilée, utilisant une clé spécifique pour la base ou un sel par entrée et une fonction de hachage à l'état de l'art (SHA 256 ou SHA3 actuellement).
La commission prend acte du fait que la transmission des données par les greffes se fera de manière dématérialisée, tout d'abord par fax vers un terminal de réception situé dans un local sécurisé, puis par l'intermédiaire de l'application CASSIOPEE,
La commission rappelle que l'échange de données inter-applicatif entre l'application CASSIOPEE et le système d'information permettant la diffusion des condamnations devra avoir fait l'objet d'une homologation selon le Référentiel Général de Sécurité (RGS), afin d'attester de la sécurité des échanges de données.
Les sauvegardes de données sont effectuées chez un prestataire externe. La commission recommande que les sauvegardes soient chiffrées, ainsi que les flux vers le prestataire de sauvegarde.
Les informations nominatives qui sont traitées sont limitées aux images résultant de la numérisation des décisions. Celles-ci sont effacées à l'issue du délai prévu. Parallèlement, des informations statistiques non nominatives concernant les peines sont collectées et saisies dans un fichier bureautique réservé à un usage interne.
La limitation de la réutilisation des données publiées sur internet est réalisée à travers le paramétrage d'un fichier interdisant leur indexation par les moteurs de recherche et par leur publication au format image.
La commission relève que la direction générale du travail assume le risque résiduel d'une recopie à la main des données ou d'une prise de photographie, étant précisé que la page concernée avertira les visiteurs de l'interdiction de reproduction. La commission considère que cette position est acceptable au vu de l'objectif du traitement.
L'hébergement est externalisé. La mise au point du site de publication s'effectue avec des données fictives sur ILI serveur de pré-production accessible par le responsable de traitement. Le transfert du site vers le serveur de production est effectué par I'hébergeur, sans recopie des données.
La mise à jour des données pour publication s'effectue directement sur le serveur de production à l'aide d'un compte utilisateur disposant des droits suffisants. L'architecture choisie est celle d'un site internet dynamique alimenté par une base de données (application de gestion de contenu).
Les accès à l'application font l'objet d'une joumalisation répertoriant l'identification de l'utilisateur et l'opération effectuée. La commission recommande d'y ajouter l'horodatage et la référence des données consultées.
La commission recommande qu'un contrôle des traces soit effectué de manière automatique, pour détecter les comportements anormaux et assorti d'une levée d'alerte. Elle recommande également que des mesures soient mises en œuvre pour assurer l'intégrité des traces.
Afin de protéger l'intégrité et la disponibilité des données publiées contre des attaques en ligne, les droits d'accès des différentes briques techniques du site internet ont été restreints.
En complément, considérant la sensibilité particulière des données traitées, la commission recommande à la direction générale du travail d'imposer à son hébergeur un maintien en conditions de sécurité du site internet, en s'assurant notamment que le système de gestion de contenu et ses infrastructures sont dotés de versions récentes et maintenus à jour de leurs correctifs de sécurité.
Au-delà de ces mesures, la commission suggère au responsable de traitement d'utiliser un outil permettant de générer un site de production statique (HTML + images) à partir du système de gestion de contenu. Un site statique est en effet plus simple à sécuriser et sa mise à jour régulière présente l'avantage d'écraser automatiquement toute altération malveillante des données diffusées.
Sous réserve de ses observations, la commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité, au regard de la réévaluation régulière des risques et de l'évolution des technologies.


La présidente,

I. Falque-Pierrotin