Délibération n° 2020-052 du 14 mai 2020 portant avis sur un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « traitement harmonisé des enquêtes et des signalements pour les e-escroqueries » (THESEE)

JORF n°0160 du 30 juin 2020
texte n° 115



Délibération n° 2020-052 du 14 mai 2020 portant avis sur un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « traitement harmonisé des enquêtes et des signalements pour les e-escroqueries » (THESEE)

NOR: CNIX2016618X
ELI: Non disponible


(Demande d'avis n° 19022778)


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « traitement harmonisé des enquêtes et des signalements pour les e-escroqueries » (THESEE) ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à l'égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision cadre 2008/977/JAI du Conseil ;
Vu le code de procédure pénale, notamment son article 15-3-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 89 ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2011-110 du 27 janvier 2011 autorisant la création d'un traitement automatisé de données à caractère personnel dénommé Logiciel de rédaction des procédures de la police nationale (LRPPN) ;
Vu le décret n° 2011-111 du 27 janvier 2011 autorisant la mise en œuvre par le ministère de l'intérieur (direction générale de la gendarmerie nationale) d'un traitement automatisé de données à caractère personnel d'aide à la rédaction des procédures (LRPGN) ;
Vu l'arrêté du 24 février 2016 portant intégration au site Internet « service public.fr » d'un téléservice permettant à l'usager d'accomplir des démarches administratives en tout ou partie dématérialisées et d'avoir accès à des services d'informations personnalisés ;
Vu l'arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d'information et de communication de l'Etat ;
Après avoir entendu Mme Sophie LAMBREMON, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet d'arrêté soumis pour avis à la Commission vise à encadrer la création d'un « traitement harmonisé des enquêtes et des signalements pour les e-escroqueries » (THESEE). Ce traitement a vocation à constituer le premier dispositif de plainte en ligne mis en place en application de l'article 15-3-1 du code de procédure pénale (CPP), introduit par la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice.
Selon le ministère, la mise en œuvre de ce traitement, qui s'inscrit dans un contexte de forte recrudescence des infractions commises sur internet, vise à faciliter les démarches des victimes et le travail des enquêteurs en modernisant les procédures de plainte et de signalement dans ce domaine. La Commission prend acte des précisions apportées par le ministère selon lequel le dispositif THESEE sera encadré par trois actes réglementaires distincts :


- l'arrêté autorisant la création du traitement de données à caractère personnel faisant l'objet de la présente saisine ;
- un arrêté conjoint des ministres de l'intérieur et de la justice fixant la liste des infractions pour lesquelles il sera possible de déposer une plainte en ligne, pris pour application de l'article D. 8-2-1 du CPP ;
- un arrêté du ministre de l'intérieur relatif aux modalités d'identification sécurisée retenues.


Dans la mesure où le traitement THESEE est mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, la Commission considère que le traitement relève du champ d'application de la directive (UE) 2016/680 du 27 avril 2016 susvisée et doit être examiné au regard des dispositions des articles 87 et suivants de la loi du 6 janvier 1978 modifiée. Elle observe toutefois que ce traitement devra permettre la réalisation de statistiques relatives aux e-escroqueries en ligne, afin d'orienter la stratégie de lutte contre ces infractions. Dans ce contexte, la Commission rappelle d'emblée qu'il reviendra au service statistique ministériel de la sécurité intérieure (SSMSI), en sa qualité de responsable de traitement dans ce cadre, de s'assurer de la conformité à la réglementation applicable de ses opérations de traitement de données.
Dans la mesure où le traitement projeté est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le ministère de l'intérieur a réalisé une analyse d'impact relative à la protection des données à caractère personnel (AIPD), laquelle a été adressée à la Commission avec la demande d'avis conformément à l'article 90 de la loi 6 janvier 1978 modifiée.
Sur les conditions générales de mise en œuvre du dispositif et les finalités du traitement :
La Commission relève tout d'abord que le traitement THESEE a pour finalité de permettre à une victime d'effectuer une plainte ou un signalement uniquement depuis un téléservice mis à sa disposition sur le site web « service-public.fr » pour des faits commis sur internet et relevant du champ infractionnel de l'escroquerie, du chantage ou de l'extorsion. En pratique, elle prend acte des précisions apportées par le ministère selon lequel les modes opératoires spécifiquement et exclusivement visés par ce traitement sont les suivants :


« - escroquerie aux sentiments sur internet ;


- escroquerie à la petite annonce sur internet ;
- escroquerie aux faux sites de vente en ligne ;
- escroquerie connexe à une atteinte aux systèmes de traitement automatisé de données (utilisation de données volées, utilisation d'une boîte mél piratée, etc.) ;
- chantage sur internet ;
- extorsion connexe à une atteinte aux systèmes de traitement automatisé de données (piratage d'un ordinateur ou de tout autre système d'information accompagné d'une demande de rançon à travers un rançongiciel) ».


L'article 1er du projet d'arrêté précise à ce titre que seuls sont concernés par le dispositif les plaintes et signalements déposés par des victimes majeures et capables et dirigés contre un auteur inconnu.
Elle prend acte que l'accès aux formulaires de plainte, après un premier questionnaire d'orientation permettant de s'assurer que les conditions pour recourir au dispositif THESEE sont bien remplies, sera conditionné par l'identification et l'authentification de l'usager via le dispositif FranceConnect, sur lequel la Commission s'est prononcée à plusieurs reprises.
En ce qui concerne la possibilité de réaliser un signalement, la Commission prend acte que l'usager bénéficiera de trois possibilités : procéder à un signalement de manière anonyme, déclarer son identité ou s'authentifier via la solution FranceConnect.
Elle rappelle enfin que la victime disposera toujours de la possibilité de se déplacer au commissariat de police ou à la brigade de gendarmerie pour y déposer plainte. Dans cette hypothèse, le procès-verbal est signé électroniquement et des données issues de ce procès-verbal pourront par la suite être transmises à la cellule THESEE afin de permettre l'analyse et le recoupement de ces données avec celles enregistrées dans le traitement.
La Commission relève que la phase de validation des plaintes et signalements par des agents de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) doit permettre d'écarter de l'outil d'analyse les données issues de formulaires remplis de manière incorrecte, de plaintes ou signalements ne comportant pas les éléments constitutifs d'une infraction pénale éligible au dispositif THESEE ou d'une déclaration déjà effectuée par l'usager.
Elle relève également que le traitement projeté doit permettre :


- de centraliser sur une plateforme nationale l'ensemble des plaintes concernant les infractions précitées, qu'elles aient été déposées en ligne au moyen du téléservice, ou auprès des services territoriaux de police ou de gendarmerie, ainsi que les signalements réalisés par le biais du téléservice avant de conduire à leur exploitation et à un recoupement des données ainsi collectées par les enquêteurs spécialisés de l'OCLCTIC ;
- aux autorités judiciaires compétentes d'informer les victimes des suites réservées à leur plainte dans le cadre de la communication électronique en matière pénale prévue à l'article 803-1 du CPP, contribuant ainsi à simplifier les relations entre les usagers et les autorités judiciaires ;
- de disposer de données statistiques relatives aux e-escroqueries permettant d'orienter la stratégie de lutte contre ces infractions.


Compte tenu de ces éléments, la Commission considère que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes, conformément à l'article 4-2° de la loi du 6 janvier 1978 modifiée.
Sur les données collectées :
En premier lieu, s'agissant des faits susceptibles d'orienter l'enquête, la Commission prend acte que seules les données transmises par les victimes dans le cadre de leur plainte ou de leur signalement seront enregistrées dans le traitement THESEE et que, par conséquent, aucune donnée issue des investigations des enquêteurs n'alimentera ce dernier.
La Commission relève que l'article 2 du projet d'arrêté prévoit, parmi les données collectées relatives à la personne mise en cause, ou relatives à une personne en contact avec cette dernière, l'enregistrement de données telles que les noms, prénoms, pseudonymes, adresses électroniques, adresse postale, numéros de téléphone, nom des profils sur les réseaux sociaux. Dans la mesure où la finalité première du traitement THESEE est de permettre des recoupements de plaintes et de signalements contre des auteurs inconnus, afin de faciliter l'identification de ces derniers, elle rappelle l'importance de s'assurer que les enquêteurs amenés à intervenir au stade de la validation des informations transmises par les victimes ne procèderont aucunement à l'enregistrement, dans THESEE, de données relatives à un auteur d'infraction précisément identifié.
En second lieu, la Commission relève que le recueil des catégories d'informations et données mentionnées par le projet d'arrêté sera réalisé au moyen de questionnaires comportant des champs libres. Elle relève à cet égard qu'aucun dispositif de filtre n'est prévu pour empêcher la transmission ou supprimer les éventuelles données non pertinentes ou sensibles qu'une victime présumée aurait mentionnées dans ces champs ou aurait communiquées par le biais d'autres éléments recueillis via le téléservice, tels que les images de discussions ou d'échanges électroniques.
La Commission observe tout d'abord que les données ainsi recueillies sont susceptibles de concerner tant les personnes mises en cause que les victimes effectuant une plainte ou un signalement et prend acte de l'engagement du ministère de faire figurer une mention spécifique dans le questionnaire proposé afin d'inviter la personne à ne pas inscrire de données sensibles dans le champ libre.
Si elle prend par ailleurs acte des justifications apportées selon lesquelles l'absence de filtre doit permettre de ne pas dénaturer, modifier ou supprimer les déclarations qu'une victime potentielle souhaiterait porter à la connaissance de la justice, la Commission souligne qu'au regard du dispositif projeté, il n'est pas possible d'exclure que des données sensibles au sens de l'article 6 de la loi du 6 janvier 1978 modifiée soient collectées. Elle rappelle que dans une telle hypothèse, il conviendrait de faire application des dispositions des articles 31 et 88 de cette même loi qui subordonnent la mise en œuvre des traitements portant sur ces données spécifiques à une autorisation par décret en Conseil d'Etat pris après avis de la Commission, et cela uniquement en cas de nécessité absolue et sous réserve des garanties appropriées pour les droits et libertés de la personne concernée.
Compte tenu de ce qui précède et à défaut de modification de la nature de l'acte réglementaire, la Commission rappelle que le ministère devra mettre en place des procédures de filtrage permettant de prévenir efficacement l'enregistrement de telles données.
Sous ces réserves, la Commission considère que les catégories de données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur les durées de conservation des données :
L'article 3 du projet d'arrêté précise que les données et informations enregistrées dans le traitement sont conservées pendant six ans à compter de leur enregistrement.
La Commission prend acte des justifications apportées par le ministère selon lequel cette durée doit permettre de couvrir les investigations menées pendant toute la durée de prescription de l'action publique en matière correctionnelle, qui est également de six ans en vertu de l'article L. 8 du CPP.
Elle relève que si les plaintes ou les signalements effectués, soit via le téléservice, soit, s'agissant des plaintes, auprès des services de police ou de gendarmerie, n'entrent pas dans le champ d'application du dispositif, les données ne seront pas enregistrées dans l'outil d'analyse du traitement THESEE et le signalant ou plaignant sera avisé du motif de ce rejet.
La Commission relève que les données et informations relatives à la plainte ou au signalement rejeté seront néanmoins conservées dans les logiciels de rédaction de procédures (LRP) et prend acte, à cet égard, des précisions apportées par le ministère selon lequel la conservation de telles données et informations doit permettre de pouvoir justifier si nécessaire le rejet effectué. Dans la mesure où la conservation de ces données a pour seule finalité de permettre de justifier du rejet d'une plainte ou d'un signalement, elle rappelle que la durée de conservation de ces données doit être fixée de manière proportionnée à cette finalité.
En ce qui concerne la durée de conservation des données dans les LRP, le ministère a indiqué que celle-ci est fixée par l'acte réglementaire autorisant la création de chaque traitement concerné. S'agissant du LRPPN, l'article 3 du décret n° 2011-110 du 27 janvier 2011 susvisé fixe la durée de conservation des données à cinq ans, à compter de la date de la transmission de la procédure à l'autorité judiciaire ou administrative compétente. S'agissant du logiciel de rédaction des procédures de la gendarmerie nationale (LRPGN), l'article 3 du décret n° 2011-111 du 27 janvier 2011 susvisé précise que les données sont conservées jusqu'à la clôture de la procédure et sa transmission à l'autorité judiciaire ou administrative compétente. La Commission rappelle l'importance de s'assurer que les données ainsi recueillies ne seront pas conservées au-delà de la durée prévue par les dispositions encadrant les LRP.
24. L'article 5 du projet d'arrêté prévoit également que les traces relatives aux créations, consultations, mises à jour et suppressions de données sont associées à l'identifiant de l'auteur de l'action ainsi que la date, heure et objet de l'objet de l'opération. Ces données sont également conservées pendant une durée de six ans.
Si, compte tenu de ce qui précède, la durée de conservation des données dans le traitement THESEE n'appelle pas d'observations particulières, la Commission rappelle qu'en ce qui concerne la durée de conservation des données de journalisation, la collecte de ces données a pour seule finalité la détection et/ou la prévention d'opérations illégitimes sur les données. La durée de stockage de ces traces doit ainsi être fixée de manière proportionnée à cette unique finalité, ces données de traçabilité ne devant par ailleurs en aucun cas permettre d'avoir des informations sur des données dont la durée de conservation est dépassée.
Sur les autres conditions de mise en œuvre du traitement :
Sur les interconnexions mises en œuvre
La Commission rappelle que la validation d'une plainte constitue le point de départ de la procédure, ce qui se traduit par la rédaction d'un procès-verbal de réception de plainte sur les LRP de la police et de la gendarmerie nationales autorisés par les arrêtés du 27 janvier 2011 susvisés. La rédaction du procès-verbal de réception de plainte requiert l'interconnexion avec les logiciels susmentionnés.
Elle relève que l'interconnexion du traitement THESEE avec les traitements LRP permettra la transmission à la cellule THESEE des procès-verbaux de plainte rédigés par les services territoriaux, lorsque les plaignants se sont déplacés pour déposer plainte. Dans ce contexte, la Commission rappelle que les responsables des traitements interconnectés à THESEE devront faire évoluer les traitements et leur documentation en conséquence.
Sur les transferts de données vers des Etats n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des Etats n'appartenant pas à l'Union européenne
Il résulte de l'AIPD transmise que des transferts de données vers des Etats n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des Etats n'appartenant pas à l'Union européenne pourront être réalisés, de manière non automatisée, dans le cadre de la coopération internationale en matière de police judiciaire, en application de l'article L. 235-1 du code de sécurité intérieure. La Commission rappelle à ce titre que les transferts de données vers ces Etats ne pourront être opérés que sous réserve du respect des dispositions énoncées aux articles 112 à 114 de la loi du 6 janvier 1978 modifiée.
Sur les accédants et les destinataires
L'article 4 du projet d'arrêté détaille la liste des accédants et des destinataires du traitement THESEE.
La Commission relève que pourront accéder aux données :


- les agents de l'OCLCTIC ;
- les magistrats du ministère public du lieu de traitement automatisé des informations nominatives pour les recherches relatives aux infractions concernées et les agents des services judiciaires agissant sous leur autorité.


Elle relève que figurent parmi les destinataires les personnes suivantes :


- les agents des services de la police nationale et les militaires de la gendarmerie nationale exerçant des missions de police judiciaire ;
- les magistrats du ministère public autres que ceux ayant accès au traitement, les magistrats chargés de l'instruction et les agents des services judiciaires agissant sous leur autorité pour les recherches relatives aux infractions et procédures dont ils sont saisis ;
- les organismes de coopération internationale en matière de police judiciaire et les services de police étrangers ;
- le service statistique ministériel de la sécurité intérieure.


Ces catégories de personnes habilitées à accéder aux données et ces destinataires n'appellent pas d'observations particulières de la Commission au regard de la finalité poursuivie par le traitement projeté.
Sur les droits des personnes
La Commission relève que les informations figurant au I ainsi qu'aux 1°, 2° et 3° du II de l'article 104 de loi du 6 janvier 1978 modifiée seront mises à la disposition de la personne concernée via un affichage sur le portail de déclaration du site web « service-public.fr », ainsi que par un courrier électronique envoyé à l'issue de la plainte ou du signalement.
L'article 6 du projet d'arrêté prévoit par ailleurs que le droit d'accès prévu à l'article 105 de la loi du 6 janvier 1978 modifiée s'exerce auprès de la direction centrale de la police judiciaire (DCPJ).
En ce qui concerne les droits de rectification, d'effacement et à la limitation des données prévus à l'article 106 de la loi du 6 janvier 1978 modifiée, le gestionnaire du traitement se réserve le droit de ne pas informer le demandeur de son refus de rectifier, d'effacer ou de limiter les données le concernant afin d'éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, ou encore d'éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière, ou à l'exécution de sanctions pénales, motifs prévus au 1° et 2° de l'article 107 de la loi du 6 janvier 1978.
L'article 6 du projet d'arrêté prévoit enfin que le droit d'opposition ne s'applique pas au traitement, dans les conditions prévues à l'article 110 de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données :
La Commission observe que les échanges entre l'usager et le site web « service-public.fr » bénéficieront de la sécurité apportée par le site web précité, notamment s'agissant du chiffrement entre le poste de l'usager et le site, ainsi que de l'authentification du responsable de traitement. Les échanges entre le site, mis en œuvre par la direction de l'information légale et administrative (DILA) et les serveurs de l'OCLCTIC s'effectueront par le biais du réseau interministériel de l'Etat (RIE) et bénéficieront de la sécurité apportée par ce dernier.
Elle rappelle que le téléservice envisagé est soumis aux prescriptions prévues par l'ordonnance n° 2005-1516 du 8 décembre 2005, qui crée le référentiel général de sécurité (RGS), ainsi que par le décret n° 2010-112 du 2 février 2010.
Les autres mesures de sécurité n'appellent pas d'observations particulières.


La présidente,

Marie-Laure Denis