Délibération n° 2017-153 du 18 mai 2017 portant avis sur un projet de décret modifiant plusieurs traitements automatisés de données à caractère personnel du code de la sécurité intérieure (demande d'avis n° 17006651)

JORF n°0180 du 3 août 2017
texte n° 214



Délibération n° 2017-153 du 18 mai 2017 portant avis sur un projet de décret modifiant plusieurs traitements automatisés de données à caractère personnel du code de la sécurité intérieure (demande d'avis n° 17006651)

NOR: CNIX1722380X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant plusieurs traitements automatisés de données à caractère personnel du code de la sécurité intérieure ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité intérieure, notamment ses articles L. 114-1, L. 114-2, L. 211-11-1, R. 114-7 à R. 114-10, R. 211-32 à R. 211-34 et R. 234-1 à R. 236-30 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-II et 30 ;
Vu la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2013-728 du 12 août 2013 modifié portant organisation de l'administration centrale du ministère de l'intérieur et du ministère des outre-mer ;
Vu le décret n° 2017-588 du 20 avril 2017 portant création d'un service à compétence nationale dénommé « Commandement spécialisé pour la sécurité nucléaire » ;
Vu le décret n° 2017-668 du 27 avril 2017 portant création d'un service à compétence nationale dénommé « service national des enquêtes administratives de sécurité » ;
Vu l'arrêté du 20 juillet 2016 portant création du commandement spécialisé pour la sécurité nucléaire ;
Vu l'arrêté du 20 avril 2017 portant organisation et fonctionnement du service à compétence nationale dénommé « Commandement spécialisé pour la sécurité nucléaire » ;
Vu la délibération de la CNIL n° 2017-047 du 9 mars 2017 portant avis sur un projet de décret pris pour l'application de l'article L. 211-11-1 du code de la sécurité intérieure et relatif à l'accès aux établissements et installations accueillant des grands événements exposés, par leur ampleur ou leurs circonstances particulières, à un risque exceptionnel de menace terroriste ;


Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant trois traitements automatisés de données à caractère personnel du code de la sécurité intérieure (CSI).
Les trois traitements concernés sont les traitements dénommés « Enquêtes administratives liées à la sécurité publique » (EASP), « Prévention des atteintes à la sécurité publique » (PASP) et « Gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP), dont les conditions de mise en oeuvre sont respectivement définies par les articles R. 236-1 à R. 236-10, R. 236-11 à R. 236-20 et R. 236-21 à R. 236-30 du CSI.
Le traitement PASP, mis en œuvre par la direction générale de la police nationale (DGPN), et le traitement GIPASP, mis en œuvre par la direction générale de la gendarmerie nationale (DGGN), ont pour finalité de recueillir, de conserver et d'analyser les informations qui concernent des personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique. Le traitement EASP, mis en œuvre par la direction centrale de la sécurité publique de la DGPN et la préfecture de police, a pour finalité de faciliter la réalisation d'enquêtes administratives réalisées en application de l'article L. 114-1 du CSI et de l'article 17-1 de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité, par la conservation des données issues de précédentes enquêtes relatives à la même personne. Ces traitements comportent notamment des données à caractère personnel relevant du I de l'article 8 de la loi du 6 janvier 1978 modifiée.
Dès lors, les modifications envisagées des conditions de mise en œuvre de ces traitements, qui visent notamment à prendre en compte les nouveaux fondements législatifs sur lesquels peuvent être réalisées des enquêtes administratives, doivent faire l'objet d'un décret en Conseil d'Etat pris après avis motivé et publié de la commission, conformément aux dispositions des articles 26-II et 30 de la loi du 6 janvier 1978 modifiée.
Les modifications envisagées visent principalement à permettre la consultation des traitements EASP, PASP et GIPASP dans le cadre des enquêtes administratives prévues aux articles L. 114-1, L. 114-2 et L. 211-11-1 du CSI.
La nécessité de ces modifications résulte, d'une part, de l'adoption de nouveaux dispositifs législatifs imposant la réalisation d'enquêtes administratives conditionnant l'accès à certains emplois ou sites sensibles et, d'autre part, de l'évolution des modalités de réalisation des contrôles réalisés à l'occasion de ces enquêtes. Les enquêtes prévues à l'article L. 211-11-1 du CSI, issu de l'article 53 de la loi n° 2016-731 du 3 juin 2016 susvisée et relatif à la sécurité des grands évènements, ainsi que celles imposées par l'article L. 114-2 du CSI, dans sa rédaction issue de la loi n° 2017-258 du 28 février 2017 relative à la sécurité publique et qui concerne la sécurité des transports publics et le transport de marchandises dangereuses, s'ajoutent en effet aux possibilités d'enquêtes administratives déjà prévues par l'article L. 114-1 du CSI.
La commission relève en outre qu'est envisagé, dans le cadre des enquêtes prévues aux articles L. 114-2 et L. 211-11-1 du CSI et pour certaines enquêtes prévues à l'article L. 114-1 du même code, un renforcement des contrôles effectués avec la consultation de multiples traitements de données à caractère personnel relevant de l'article 26 de la loi du 6 janvier 1978 modifiée. La commission s'est prononcée sur ce criblage de fichiers, s'agissant du dispositif relatif aux grands événements, dans sa délibération susvisée du 9 mars 2017.
Elle relève également qu'est envisagée la mise en œuvre d'un outil spécifique, le traitement de données à caractère personnel ACCRED, dont la création est prévue par un projet d'acte réglementaire examiné ce même jour par la commission, et qui doit permettre une consultation automatique et simultanée d'une partie des fichiers concernés, parmi lesquels figurent les traitements EASP, PASP et GIPASP.
Ce dispositif de criblage sera mis en œuvre par deux nouveaux services à compétence nationale : le « Service national des enquêtes administratives de sécurité » (SNEAS), créé par le décret n° 2017-668 du 27 avril 2017 susvisé et rattaché à la DGPN, et le « Commandement spécialisé pour la sécurité nucléaire » (CoSSeN), créé par le décret n° 2017-588 du 20 avril 2017 susvisé et rattaché à la DGGN.
C'est dans ce contexte que le projet de décret soumis à la commission prévoit de compléter les dispositions relatives aux finalités du traitement EASP et celles relatives aux motifs de consultation des traitements PASP et GIPASP, qui ne mentionnent actuellement que les enquêtes administratives prévues à l'article L. 114-1 du CSI, en mentionnant également les enquêtes dorénavant prévues aux articles L. 114-2 et L. 211-11-1 du CSI.
Le projet de décret prévoit également d'ajouter aux destinataires des traitements EASP, PASP et GIPASP les agents du SNEAS et du CoSSeN, en charge de la réalisation des enquêtes administratives concernées, et d'abroger les dispositions qui interdisent la mise en œuvre d'interconnexions, de rapprochements ou de mises en relation avec d'autres traitements, dans la mesure où la consultation de ces traitements pour le besoin des enquêtes administratives prises en charge par ces deux nouveaux services sera réalisée de manière automatique par le biais du traitement ACCRED.
Ces modifications, qui découlent de l'évolution des dispositions législatives du CSI concernant les enquêtes administratives et du renforcement des contrôles réalisés à leur occasion, apparaissent justifiées à la commission.
En dehors des modifications liées à la consultation de ces traitements dans le cadre des enquêtes administratives, le projet de décret a également pour objet de compléter les dispositions de l'article R. 236-11 du CSI, relatives aux finalités du traitement PASP, pour prévoir expressément le recueil d'informations relatives aux personnes susceptibles de prendre part à des activités terroristes. Sur ce point, la commission prend acte que le ministère entend tirer les conséquences de l'extension des missions des services du renseignement territorial à la prévention du terrorisme, prévue par le décret n° 2015-923 du 27 juillet 2015 modifiant le décret n° 2013-728 du 12 août 2013 susvisé, et que les données collectées dans ce cadre ne pourront être consultées que par les seuls agents habilités des services du renseignement territorial ayant pour mission la prévention du terrorisme.
Enfin, afin de corriger une erreur matérielle, le projet de décret prévoit de modifier l'article R. 236-26 du CSI, en tant qu'il concerne l'accès au traitement GIPASP du référent national et de ses adjoints institués par l'article R. 236-15 du même code, pour remplacer la référence à l'article R. 236-11 du CSI par un renvoi à l'article R. 236-21 du même code, ce qui n'appelle pas d'observation de la part de la commission.


La présidente,

I. Falque-Pierrotin