Délibération n° 2017-292 du 16 novembre 2017 portant avis sur un projet de décret portant application des articles L. 16 et L. 38 du code électoral et création du traitement automatisé de données à caractère personnel permettant de gérer le « répertoire électoral unique » (demande d'avis n° 2079834)

JORF n°0108 du 12 mai 2018
texte n° 107



Délibération n° 2017-292 du 16 novembre 2017 portant avis sur un projet de décret portant application des articles L. 16 et L. 38 du code électoral et création du traitement automatisé de données à caractère personnel permettant de gérer le « répertoire électoral unique » (demande d'avis n° 2079834)

NOR: CNIX1812284X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'économie d'une demande d'avis concernant un projet de décret portant application des articles L. 16 et L. 38 du code électoral et création du traitement automatisé de données à caractère personnel permettant de gérer le « répertoire électoral unique » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi organique n° 76-97 du 31 janvier 1976 modifiée relative aux listes électorales consulaires et au vote des Français établis hors de France pour l'élection du Président de la République ;
Vu la loi organique n° 2016-1046 du 1er août 2016 rénovant les modalités d'inscription sur les listes électorales des ressortissants d'un Etat membre de l'Union européenne autre que la France pour les élections municipales ;
Vu le code électoral, notamment ses articles L. 16, L. 18, L. 19 et L. 38 ;
Vu la loi du 7 juin 1951 modifiée sur l'obligation, la coordination et le secret en matière de statistiques ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2016-1048 du 1er août 2016 rénovant les modalités d'inscription sur les listes électorales, notamment son article 2 ;
Vu le décret n° 79-160 du 28 février 1979 portant application de la loi n° 77-729 du 7 juillet 1977 relative à l'élection des représentants au Parlement européen ;
Vu le décret n° 82-103 du 22 janvier 1982 modifié relatif au répertoire national d'identification des personnes physiques ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Dominique CASTERA, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'économie d'une demande d'avis concernant un projet de décret portant application des articles L. 16 et L. 38 du code électoral et création du traitement automatisé de données à caractère personnel permettant de gérer le « répertoire électoral unique » (REU).
En application du IV de l'article L. 16 du code électoral issu de la loi n° 2016-1048 du 1er août 2016 susvisée, les règles relatives au traitement des informations nécessaires à la tenue et à la mise à jour du REU doivent être définies par un décret en Conseil d'Etat, pris après avis de la commission. Cet avis devra être publié, conformément à l'article 11-4°a de la loi du 6 janvier 1978 modifiée.
Sur les finalités poursuivies :
Aux termes de l'article 1er du projet de décret soumis à la commission, le traitement envisagé, qui doit être mis en œuvre par l'Institut national de la statistique et des études économiques (INSEE), « a pour finalité l'établissement, le contrôle et la gestion des listes électorales, dans les conditions prévues par les dispositions du chapitre II du titre Ier du code électoral ». Ce traitement doit permettre de gérer le REU, dont la création est prévue par l'article L. 16 du code électoral, issu de l'article 2 de la loi n° 2016-1048 du 1er août 2016 susvisée et dont l'entrée en vigueur est prévue, au plus tard, au 31 décembre 2019.
Ce projet découle d'une large réforme du processus d'inscription sur les listes électorales et des conditions de tenue de ces listes résultant de la loi n° 2016-1048 précitée et de deux lois organiques également adoptées le 1er août 2016 : la loi organique n° 2016-1046 rénovant les modalités d'inscription sur les listes électorales des ressortissants d'un Etat membre de l'Union européenne autre que la France pour les élections municipales et la loi organique n° 2016-1047 rénovant les modalités d'inscription sur les listes électorales des Français établis hors de France, qui modifie la loi organique n° 76-97 du 31 janvier 1976 susvisée. L'objet de cette réforme est notamment de permettre une mise à jour en continu des listes électorales pour autoriser des inscriptions au plus près des scrutins, ce que ne permet pas le système de gestion des listes actuellement en vigueur, dans lequel chaque commune ou poste diplomatique ou consulaire tient de manière indépendante sa liste électorale et ne l'arrête qu'une fois par an. L'article L. 16 du code électoral et l'article 5 de la loi n° 76-97 du 31 janvier 1976 susvisée, dans leurs versions issues des lois précitées du 1er août 2016, prévoient dès lors que les listes électorales communales et consulaires sont extraites « d'un répertoire électoral unique et permanent ».
La commission prend acte que ce répertoire unique, comme le prévoit l'article 6 du projet de décret, sera initialement constitué à partir des listes électorales communales et consulaires et du fichier général des électeurs et des électrices tenu par l'INSEE.
Le projet de traitement soumis à la commission doit permettre la gestion du REU en centralisant l'ensemble des informations nécessaires à la tenue et à la mise à jour des listes électorales. Ainsi, le projet de décret précise qu'« il est procédé à la tenue et à la mise à jour du répertoire à partir des demandes d'inscription ou de radiation formulées par les électeurs, les mairies ou les postes diplomatiques et consulaires, ainsi qu'à partir des informations relatives à la capacité électorale et aux décès des électeurs ». Ces informations, en application du IV de l'article L. 16 du code électoral dans sa version issue de la loi n° 2016-1048 précitée, devront impérativement être transmises par voie électronique.
Une telle centralisation dans le REU doit faciliter les mises à jour et le contrôle des listes électorales, que les communes, consulats et préfectures n'auront plus qu'à éditer et exporter sous format numérique en temps utile.
En effet, le système de gestion du REU permettra d'enregistrer les demandes d'inscription instruites par les communes et les consulats, que cette demande ait été réalisée en guichet ou déposée en ligne via le téléservice proposé sur le site service-public.fr, et procédera alors à des vérifications automatiques pour s'assurer que l'électeur dont l'inscription est demandée n'est ni décédé ni en incapacité électorale (sous tutelle ou privé de ses droits civiques).
Ces vérifications s'effectueront notamment par une confrontation des données communiquées dans le cadre de la demande d'inscription avec celles dont dispose l'INSEE en application de l'article 5 du décret n° 82-103 du 22 janvier 1982 susvisé relatif au RNIPP. Dans la mesure où elle est nécessaire pour assurer l'unicité de l'inscription sur les listes électorales, permet de s'assurer de la bonne affectation des événements électoraux notifiés et n'implique pas l'enregistrement du NIR dans le traitement, qui utilisera un identifiant distinct, l'identifiant national d'électeur (INE), pour les échanges d'informations nécessaires à la gestion des listes électorales, cette consultation du RNIPP apparaît justifiée à la commission.
Le système permettra également de procéder à des inscriptions d'office, pour les personnes atteignant l'âge de 18 ans et celles acquérant la nationalité française, sur la base des informations transmises à l'INSEE par la direction du service national du ministère de la défense, par le ministère de la justice et par le ministère de l'intérieur. Il permettra également de procéder à des radiations automatiques en cas de mise sous tutelle, de condamnation ou de perte de nationalité, sur la base des informations transmises par les ministères de la justice et de l'intérieur.
En outre, le système intégrera les informations transmises par les autres Etats membres de l'Union européenne, avant chaque scrutin européen, concernant les électeurs de nationalité française inscrits pour cette élection sur leurs listes nationales. Une mention signalant qu'ils ne doivent pas voter pour un représentant français sera apposée sur les listes électorales françaises de manière à éviter la possibilité d'un double vote, étant précisé que le traitement sera également utilisé pour extraire les informations devant être transmises aux mêmes fins aux autres Etats membres, conformément à l'article 2-5 du décret n° 79-160 du 28 février 1979 portant application de la loi n° 77-729 du 7 juillet 1977 relative à l'élection des représentants au Parlement européen.
Enfin, la mise en œuvre du REU doit faciliter les vérifications devant être effectuées par la commission de contrôle prévue à l'article L. 19 du code électoral, issu de la loi n° 2016-1048 susvisée, et permettre la mise en œuvre d'un téléservice offrant la possibilité aux électeurs d'accéder aux données et informations enregistrées les concernant. La commission prend acte que les conditions de mise en œuvre de ce téléservice seront définies dans un projet d'arrêté qui lui sera ultérieurement soumis.
Au regard de l'ensemble de ces éléments, la commission considère que le projet de traitement qui lui est soumis poursuit des finalités déterminées, légitimes et explicites, conformément à l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Elle rappelle toutefois que l'ampleur du traitement projeté, qui comportera des données relatives à l'ensemble des électeurs français et notamment leur adresse, les nombreux échanges d'informations prévus avec de multiples administrations ainsi que la consultation systématique du RNIPP appellent des garanties particulières pour s'assurer de la stricte proportionnalité du dispositif.
A cet égard, la commission relève que l'article L. 16 du code électoral prévoit que le REU ne pourra être utilisé qu'« aux seules fins de gestion du processus électoral » et que le projet de décret, sur de nombreux points et notamment en ce qui concerne les conditions d'accès aux données, prévoit les restrictions adéquates pour assurer le respect de l'exigence de proportionnalité. Elle estime toutefois que les garanties prévues doivent encore être renforcées, en particulier pour mieux définir et encadrer les conditions d'utilisation d'identifiants nationaux et pérennes des électeurs.
Sur les données traitées et leur durée de conservation :
L'article 2 du projet de décret distingue cinq catégories de données :


- les données permettant l'identification de l'électeur ;
- les informations relatives à la situation électorale de l'électeur ;
- les informations complémentaires, qui portent essentiellement sur les adresses de l'électeur ;
- les données qualifiées de « préalables au traitement » ;
- les données de gestion.


La collecte d'une partie de ces données est expressément prévue par l'article L. 16 du code électoral, qui dispose que « le répertoire électoral unique comprend les nom, prénoms, date et lieu de naissance, domicile ou lieu de résidence de chaque électeur » mais également « le bureau de vote correspondant au périmètre géographique dont relève l'électeur ». Une telle collecte, indispensable pour la constitution des listes électorales dont la composition est définie à l'article 12 du projet de décret, apparaît dès lors justifiée à la commission. Il en va de même des informations relatives au numéro d'ordre séquentiel sur la liste d'émargement, mentionnées dans la catégorie des informations complémentaires et qui ont vocation à figurer sur la liste électorale, du sexe et de la nationalité de l'intéressé ainsi que des informations relatives à sa situation électorale.
N'appellent pas davantage de réserve l'enregistrement des pièces justificatives produites par les électeurs ainsi que celui des données de gestion, qui comprennent principalement la liste des utilisateurs du système.
Les autres catégories de données mentionnées par le projet de décret appellent plusieurs observations de la part de la commission.
En premier lieu, le projet de décret prévoit la collecte d'un « identifiant national d'électeur » (INE) ». L'INE, créé chaque fois qu'un nouvel électeur sera inscrit dans le REU, doit constituer un identifiant pérenne utilisé par tous les acteurs du système de gestion du REU. Comme indiqué précédemment, pour garantir la qualité de l'identification des électeurs, le système de gestion interrogera le RNIPP chaque fois qu'une notification d'événement portera sur un individu dont l'identité est inconnue du REU. L'état civil de l'électeur sera ainsi soumis au processus d'identification du RNIPP qui attribuera ensuite une concordance entre l'INE et un identifiant de l'individu (distinct du NIR et non signifiant).
La commission rappelle que la création d'un identifiant unique et pérenne soulève des risques particuliers d'atteintes aux droits et libertés des personnes et doit donc être entourée de garanties appropriées. En l'espèce, la commission prend acte que la création de l'INE, qui ne sera pas un identifiant signifiant, constituera un identifiant sectoriel distinct du NIR qui facilitera les échanges d'informations et les vérifications nécessaires à l'établissement des listes électorales. Au regard de ces éléments et sous réserve que l'utilisation de l'INE reste strictement limitée aux opérations nécessaires à la gestion du REU, à l'exclusion de toute autre utilisation par les destinataires du REU dotés de compétences distinctes de celles liées à l'établissement des listes électorales, la création de cet identifiant apparaît justifiée à la commission.
Elle souligne en outre que l'utilisation d'un second identifiant individuel, distinct de l'INE et du NIR, n'est pas prévue par le projet de décret, alors même que le dossier soumis à la commission prévoit expressément que la table de correspondance entre cet identifiant et l'INE sera stockée dans le système de gestion. N'est pas davantage prévue par le projet de décret la création d'une table de correspondance entre le second identifiant et le NIR, pourtant nécessaire pour permettre les mises à jour automatiques des données du REU en cas de changement d'état civil ou de « fusion d'individus » résultant des travaux de gestion du RNIPP. Le ministère s'est toutefois engagé à compléter le projet de décret pour autoriser l'utilisation du second identifiant et de la table de correspondance avec le NIR, ce dont la commission prend acte.
En deuxième lieu, le projet de décret prévoit l'enregistrement de l'adresse postale de contact, de l'adresse électronique et du numéro de téléphone des électeurs. La commission prend acte que la collecte de telles informations, en dehors de l'adresse électronique des électeurs consulaires, demeurera facultative et vise à faciliter les échanges avec les usagers dans le cadre de l'instruction de leur demande d'inscription. Sur ce point, elle prend acte de l'engagement du ministère à compléter le projet de décret pour prévoir expressément le cadre dans lequel de telles informations pourraient être utilisées.
La commission prend également acte que l'application dédiée du ministère de l'Europe et des affaires étrangères, qui permettra de transmettre au système de gestion du REU les informations relatives aux électeurs consulaires, prévoit la possibilité d'indiquer deux adresses de messagerie électronique, qui est exclue pour les autres électeurs qui ne peuvent renseigner qu'un champ d'adresse électronique. Une telle distinction apparaît justifiée à la commission dans la mesure où la première adresse électronique communiquée par les électeurs consulaires fait partie des éléments contenus dans la liste électorale et est donc soumise au même régime de publicité, ce qui peut conduire à la réception d'un nombre important de courriels indésirables sur cette adresse et justifier l'utilisation de plusieurs adresses.
En dernier lieu, en ce qui concerne l'enregistrement d'informations relatives aux père et mère des personnes demandant leur inscription sur les listes électorales, la commission prend acte que ces données, transmises par les services des ministères de l'intérieur et de la justice, ne seront utilisées que pour faciliter l'identification des personnes qui doivent faire l'objet d'une inscription ou d'une radiation d'office, ce que le ministère s'engage à préciser dans le projet de décret.
L'article 3 du projet de décret définit les durées de conservation de l'ensemble de ces données.
Sur ce point, la commission relève à titre liminaire que les électeurs ne pourront pas demander à être radiés des listes électorales et donc à ne plus figurer dans le REU, l'inscription sur les listes électorales étant rendue obligatoire par l'article L. 9 du code électoral. La seule possibilité de radiation volontaire sera la radiation des listes complémentaires, qui concernent les ressortissants d'un autre Etat membre de l'Union européenne.
Le projet de décret prévoit que les données et informations enregistrées dans le REU seront supprimées au 31 décembre de l'année suivant le décès de l'électeur, sous réserve de cas limités à certaines catégories de données. Dans ces conditions et eu égard à l'ampleur du traitement, la commission juge nécessaire que les durées de conservation définies par le projet de décret dans ce cadre particulier soient strictement limitées aux durées justifiées par les finalités du traitement.
Elle relève qu'en dehors de la suppression de l'ensemble des données à la suite du décès d'un électeur le projet de décret distingue trois catégories de données pour lesquelles une suppression antérieure peut être prévue :


- les données et informations relatives à la situation électorale précédente de l'électeur et les adresses associées à cette situation (adresse au titre de laquelle l'électeur était inscrit sur la liste électorale et, éventuellement, adresse postale de contact) ;
- les données et informations contenues dans les dossiers de demande d'inscription ou de radiation ;
- les données relatives à la filiation.


Pour ces catégories de données, le projet de décret prévoit que les données sont conservées jusqu'au 31 décembre de l'année suivant, respectivement, la survenue du changement de situation, le dépôt du dossier et l'inscription au répertoire.
La commission relève tout d'abord que le projet de décret ne prévoit pas la suppression des coordonnées de contact à l'issue de l'instruction de la demande d'inscription, alors que cette collecte est facultative et ne vise qu'à faciliter les échanges entre l'administration et l'usager dans le cadre de cette instruction. Si le ministère fait valoir que la conservation de cette donnée doit permettre aux communes, au-delà de l'instruction d'un dossier, de vérifier le maintien de l'attache communale des électeurs inscrits sur leurs listes électorales, la commission relève que, pour être envisagée, une telle utilisation doit avoir fait l'objet d'une information adéquate auprès des intéressés qui ont consenti à les communiquer et que, à défaut, la conservation de ces données au-delà de l'instruction des dossiers n'est pas justifiée. Elle prend acte qu'une telle information sera délivrée aux intéressés par le biais du formulaire CERFA d'inscription sur les listes électorales.
En dehors de cette catégorie de données facultative, la commission prend acte que la suppression des données relatives à l'ancienne situation électorale ne peut pas intervenir dès la survenue du changement de situation électorale de l'intéressé dans la mesure où les informations et données doivent être conservées pendant une durée d'environ un an après cet événement pour permettre à la commission de contrôle prévue à l'article L. 19 du code électoral d'examiner tous les éléments permettant de retracer et de justifier les mouvements opérés sur la liste électorale. Elle relève toutefois que les données pourraient être conservées au-delà de la durée justifiée par les nécessités de contrôle invoquées, dans la mesure où le principe d'une purge annuelle pourrait conduire à la conservation de certaines données pendant une durée proche de deux ans.
Si le ministère invoque également la nécessité de conserver les données relatives à la situation électorale précédente pour pouvoir rétablir cette situation dans l'hypothèse où un recours contentieux ou une décision de la commission de contrôle l'exigerait, la commission rappelle qu'une durée de conservation ne peut pas être fondée sur un risque contentieux et que c'est uniquement en cas de contentieux effectif que pourrait être justifiée, exceptionnellement, une durée de conservation supérieure à celle prévue par les textes. Toutefois, au regard de la complexité technique du dispositif envisagé, de l'intérêt opérationnel du principe d'une purge annuelle et des garanties prises par le ministère pour limiter le risque d'un accès non autorisé aux données, les durées de conservation prévues par le projet de décret n'appellent pas de réserve de la part de la commission.
Sur les destinataires :
Le projet de décret distingue les personnes ayant accès à tout ou partie des données et informations enregistrées dans le traitement des personnes qui peuvent être destinataires de tout ou partie de ces mêmes données et informations.
S'agissant des personnes ayant directement accès au traitement, sont d'abord concernés les agents de l'INSEE individuellement désignés et habilités par le directeur général de l'INSEE. Dans la mesure où le traitement est mis en œuvre par l'INSEE et où l'accès prévu est limité aux attributions légales et au besoin de connaître des informations enregistrées, un tel accès apparaît justifié à la commission.
Bénéficient également de cet accès direct les agents des communes, des préfectures et du ministère de l'Europe et des affaires étrangères individuellement désignés et habilités par les autorités dont ils relèvent. La commission relève que cet accès est limité aux données et informations concernant les électeurs relevant du ressort de compétence des collectivités ou services concernés, ce qui est une garantie qui répond à l'exigence de stricte proportionnalité du dispositif rappelée par la commission. Dans ces conditions, ces accès n'appellent pas de réserve de sa part.
Il en va de même de l'accès de l'administrateur supérieur des îles Wallis et Futuna et des agents habilités par lui, des agents de l'Institut de la statistique de la Polynésie française (ISPF) ainsi que de l'accès du haut-commissaire de la République en Polynésie française et des personnes individuellement désignées par lui, respectivement limités aux informations nécessaires à la gestion des listes électorales des îles Wallis et Futuna ou des listes électorales de la Polynésie française.
Enfin, le projet de décret prévoit que les membres des commissions de contrôle, mentionnées à l'article L. 19 du code électoral dans sa version issue de la loi n° 2016-1048 du 1er août 2016 susvisée, ont accès aux données contenues dans les demandes d'inscription déposées auprès de la commune, aux fins de statuer sur les recours mentionnés au III de l'article L. 18 du code électoral et de vérifier la régularité de la liste électorale en application de l'article L. 19 du même code, ce qui apparaît justifié à la commission.
S'agissant des personnes pouvant être destinataires de tout ou partie de données et informations du traitement dans le cadre de leurs attributions légales et dans la limite du besoin d'en connaître, le projet de décret mentionne en premier lieu les agents des postes diplomatiques et consulaires individuellement habilités et les agents individuellement désignés de l'Institut de la statistique et des études économiques (ISEE) de la Nouvelle-Calédonie, pour les seules données et informations nécessaires à la gestion des listes électorales de la Nouvelle-Calédonie, ainsi que les membres des commissions de contrôle précitées.
Il mentionne également, conformément à l'article 2-5 du décret n° 79-160 précité, les autorités électorales des pays de l'Union européenne pour les seules données et informations relatives à l'identité de leurs ressortissants inscrits sur une liste électorale complémentaire.
Dans ces conditions, la communication d'informations à l'ensemble de ces agents et autorités apparaît justifiée à la commission.
Le projet de décret prévoit que pourraient également être destinataires de données « les fournisseurs de téléservices relatifs à l'accès à la situation électorale ». Les téléservices mentionnés sont ceux dont la création est prévue par le projet de décret pour permettre aux électeurs d'avoir accès aux données et informations du REU les concernant. Sur ce point, le ministère a précisé que les fournisseurs des téléservices prévus par le projet de décret auront accès à un web-service dédié qui, en réponse à l'envoi d'identification d'un électeur, renverra, selon les cas, soit les informations sur la situation électorale et le bureau de vote, soit l'ensemble des informations de la liste électorale le concernant. Si la commission en prend acte, elle ne se prononcera sur les conditions exactes de la communication d'informations via ces téléservices que lorsque lui sera soumis le projet d'arrêté autorisant leur mise en œuvre.
Enfin, pour la réalisation d'études statistiques, le projet de décret prévoit que des informations et données du traitement pourraient être communiquées à l'INSEE et aux services statistiques ministériels dans les conditions prévues par la loi du 7 juin 1951 susvisée, ce dont la commission prend acte.
Sur l'information et les droits des personnes concernées :
En ce qui concerne l'information des intéressés, la commission prend acte que les formulaires CERFA d'inscription sur les listes électorales comporteront l'ensemble des mentions prévues au I de l'article 32 de la loi du 6 janvier 1978 modifiée et que les intéressés seront en particulier informés sur le caractère facultatif des coordonnées de contact.
Elle relève toutefois que des opérations réalisées par le système de gestion du traitement interviendront de manière automatique, sans que les intéressés n'en soient nécessairement informés. Il en est ainsi des rectifications des éléments d'identité susceptibles d'être automatiquement réalisées suite à la confrontation des données contenues dans une demande d'inscription avec celles enregistrées dans le RNIPP. Si la commission juge légitime le souhait d'automatiser certains contrôles pour accélérer et renforcer la fiabilité des vérifications effectuées, elle estime qu'une information des intéressés doit être prévue lorsque l'état civil enregistré se distingue de l'état civil déclaré, cette information pouvant intervenir au moment de la notification de la décision d'inscription. L'information des électeurs apparaît également nécessaire à la commission pour toute opération dans le REU relative à la situation électorale des personnes et qui ne résulterait pas d'une démarche de leur part, ce qui lui semble permettre de réduire le risque d'erreurs.
L'article 10 du projet de décret prévoit que les droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent directement auprès de l'Institut national de la statistique et des études économiques. Le même article précise qu'il s'exerce auprès de l'Institut de la statistique de la Polynésie française pour les listes électorales de la Polynésie française et auprès de l'administrateur supérieur pour les îles Wallis et Futuna pour les listes électorales de Wallis-et-Futuna.
Enfin, l'article 11 du projet de décret prévoit que le droit d'opposition prévu à l'article 38 de la même loi ne s'applique pas au traitement, ce qui n'appelle pas d'observation de la part de la commission dans la mesure où le traitement répond à une obligation légale.
Sur la sécurité des données et la traçabilité des actions :
La commission relève que les échanges de données seront réalisés via des canaux de communication chiffrés et assurant l'authentification de la source et du destinataire. Elle recommande, concernant le recours au protocole SSL/TLS, d'utiliser la version de TLS la plus à jour possible.
Elle relève également que des profils d'habilitation sont prévus afin de gérer les accès aux données au regard des besoins des agents et que les données ne pourront être consultées que via un serveur de rebond. Chaque utilisateur disposera d'un identifiant personnel.
La commission rappelle en outre que, conformément à ses recommandations dans ce domaine, les mots de passe doivent avoir une longueur minimale de douze caractères et être composés de lettres majuscules, minuscules, chiffres et symboles ou comporter entre huit et onze caractères, composés de trois des quatre possibilités précitées et associés à une restriction d'accès en cas d'erreurs successives (blocage temporaire de compte, possibilité de nouvelles tentatives après une durée d'attente incrémentielle, etc.).
Elle prend également acte qu'une journalisation des opérations de consultation, création et modification des données est prévue, avec une durée de conservation des journaux de trois mois. La commission rappelle toutefois que les données de traçabilité du traitement ne doivent être utilisées qu'en cas de suspicion d'opérations illégitimes sur les données et que les utilisateurs doivent être informés des mesures de traçabilité prévues. Elle recommande de réaliser un contrôle régulier des traces, de manière automatique, afin de détecter les comportements anormaux et de générer des alertes.
Le ministère a en outre indiqué qu'une procédure d'homologation du système était en cours.
Il ressort par ailleurs du dossier que les mises à jour des logiciels seront installées de manière régulière, que des mesures spécifiques sont prévues pour garantir la disponibilité des données et services et que des sauvegardes quotidiennes seront réalisées. Ces sauvegardes seront testées régulièrement afin de vérifier leur intégrité. Le transfert des sauvegardes sera également sécurisé, étant précisé que les sauvegardes seront stockées dans un endroit garantissant leur sécurité et leur disponibilité. Enfin, un plan de reprise d'activité pour limiter l'impact d'un incident majeur sur le site principal a été prévu.
Une suppression sécurisée des données est prévue afin d'assurer la confidentialité des données qui peuvent être contenues dans les supports de stockage en cas de panne ou de mise au rebut.
L'effectivité et l'adéquation des mesures seront contrôlées par un audit de sécurité avant le déploiement généralisé du dispositif. Cet audit comprendra à la fois un test de conformité et des tests d'intrusion. Le ministère a également prévu un contre-audit afin de vérifier l'application des éventuelles mesures de correction qui s'avéreraient nécessaires.
Dans ces conditions, la commission considère que les mesures prévues par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que le respect de cette exigence nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


La présidente,

I. Falque-Pierrotin