DELIBERATION n°2012-161 du 24 mai 2012

Délibération n° 2012-161 du 24 mai 2012 autorisant la Croix-Rouge Française à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité le rétablissement des liens familiaux

(Demande d’autorisation n° 1523263)
La Commission nationale de l’informatique et des libertés,
Saisie par la Croix-Rouge Française d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité le rétablissement des liens familiaux.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8-IV, 25-I-1°, 25-I-7°, 69-1° et 69-2°;
Vu le décret n°52-253 du 28 février 1952 portant publication de la Convention relative au traitement des prisonniers de guerre, de la Convention relative à la protection des personnes civiles en temps de guerre, de la Convention pour l’amélioration du sort des blessés, des malades et des naufragés des forces armées sur mer, de la Convention pour l’amélioration du sort des blessés et des malades dans les forces armées en campagne, signées à Genève le 12 août 1949 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Philippe GOSSELIN, commissaire et après avoir entendu les observations de Mme Catherine POZZO DI BORGO, commissaire adjointe du Gouvernement ;
Formule les observations suivantes :
La Commission a été saisie par la Croix-Rouge Française d’une demande d’autorisation pour un traitement de données à caractère personnel ayant pour finalité le rétablissement des liens familiaux entre des personnes séparées par un conflit, une catastrophe ou un déplacement de population.
La Commission considère qu’il y a lieu de faire application des dispositions des articles 8-IV et 25-I-1° de la loi du 6 janvier 1978 modifiée, qui soumettent à autorisation les traitements justifiés par l’intérêt public comportant des données sensibles. Elle estime qu’il y a également lieu de faire application des dispositions de l’article 25-I-7° de la loi pour ce qui concerne les traitements comportant des données permettant d’apprécier les difficultés sociales des personnes.
Sur le responsable de traitement :
Créée en 1864, la Croix-Rouge Française est une association à but non lucratif régie par la loi du 1er juillet 1901 qui a été reconnue d’utilité publique en 1945.
Elle fait partie du Mouvement international de la Croix-Rouge et du Croissant-Rouge (MICR) qui est composé :

  • du Comité international de la Croix-Rouge (CICR) ;
  • de la Fédération internationale des Sociétés de la Croix-Rouge et du Croissant-Rouge (FISCR), elle-même composée des Sociétés Nationales de la Croix-Rouge et du Croissant-Rouge.

Sur la finalité du traitement :
Le rétablissement des liens familiaux (RLF) fait partie des missions historiques de la Croix-Rouge Française. Cette mission nécessite de conduire, notamment dans des situations de conflit armé, de violence, de catastrophe naturelle ou de migrations internationales, des actions visant à :

  • éviter les séparations et les disparitions ;
  • rétablir et maintenir les contacts familiaux ;
  • clarifier le sort des personnes portées disparues.

Gratuit et accessible à tous, ce service trouve notamment son fondement juridique dans les quatre Conventions de Genève de 1949 et dans les Protocoles additionnels de 1977. Le Protocole additionnel 1 précise dans son article 74 que : « Les Hautes Parties contractantes et les Parties au conflit faciliteront dans toute la mesure du possible le regroupement des familles dispersées en raison de conflits armés et encourageront notamment l’action des organisations humanitaires qui se consacrent à cette tâche conformément aux dispositions des Conventions et du présent protocole ». Les Conventions de Genève ont été ratifiées par la France et publiées par le Décret n°52-253 du 28 février 1952.
Au regard de ce qui précède et dans la mesure où le service RLF participe à la préservation du droit au respect de la vie privée et de la vie familiale au sens de la Convention Européenne des Droits de l’Homme, la Commission considère que la mission de la Croix-Rouge Française est d’intérêt public.
Dans le cadre du service RLF, la Croix-Rouge Française traite deux types de demandes :

  • les demandes entrantes, émanant d’une société nationale de la Croix-Rouge autre que la Croix-Rouge Française ou du CICR concernant une personne située sur le territoire français ;
  • les demandes sortantes, émanant d’une personne vivant sur le territoire français concernant une personne située à l’étranger.

Pour mener cette mission, la Croix-Rouge Française doit être en mesure de collecter et de traiter de nombreuses informations sur les personnes portées disparues, décédées ou vulnérables (enfants séparés de leurs familles ou personnes privées de liberté, par exemple), mais également sur les personnes formulant les demandes de recherche (demandeurs).
Une fois que la personne recherchée a été retrouvée, les coordonnées de cette dernière sont transmises à la Croix-Rouge Française (pour les demandes sortantes) ou à la société nationale concernée (pour les demandes entrantes), qui les communique alors au demandeur, sous réserve de l’accord exprès de la personne recherchée.
La Commission considère la finalité poursuivie comme déterminée, explicite et légitime.
Sur la nature des données traitées :
Les données suivantes sont collectées au moyen d’un formulaire de demande de recherche, établi par le CICR et utilisé par l’ensemble du réseau du MICR :

  • données relatives à l’identification :
  • de la personne recherchée : nom complet, autres noms, noms complets du père et de la mère, nationalité, sexe, date de naissance ou âge, lieu de naissance, origine ethnique, dernière adresse connue, numéros de téléphone et de fax, adresse électronique ;
  • de la personne accompagnant la personne recherchée : nom complet, date de naissance, sexe, lien de parenté avec la personne recherchée ;
  • du demandeur : nom complet, autres noms, noms complets du père et de la mère, nationalité, sexe, date de naissance ou âge, lieu de naissance, origine ethnique, adresse postale détaillée, numéros de téléphone et de fax, adresse électronique, lien de parenté avec la personne recherchée ;
  • des personnes susceptibles de fournir des informations : noms et adresse ;
  • contexte de la demande : date et nature des dernières nouvelles de la personne recherchée, circonstances exactes ayant entraîné la rupture de contact, autres informations qui pourraient aider les recherches.

Pour les demandes sortantes, ces données sont collectées par la Croix-Rouge Française et transmises au CICR ou à la société nationale de la Croix-Rouge concernée. Elles sont, en revanche, collectées par la société nationale de la Croix-Rouge qui les transmet à la Croix-Rouge Française pour ce qui concerne les demandes entrantes.
Les données suivantes peuvent également être collectées et traitées dans le cadre des recherches effectuées en France (demandes entrantes) :

  • données relatives à l’identification : photographies de la personne recherchée, adresse électronique ;
  • données relatives à la vie personnelle : situation familiale, lieux fréquemment fréquentés ;
  • données relatives à la vie professionnelle : CV, situation professionnelle, scolarité, formation, distinction, employeurs ;
  • informations d’ordre économique et financier : revenus, situation financière ;
  • données comportant des appréciations sur les difficultés sociales des personnes : situation de précarité ou de fragilité sociale, accès à des prestations sociales, assistants sociaux ;
  • données de santé : pathologie affection, antécédents familiaux, données relatives aux soins, situations ou comportements à risques, groupe sanguin, signes particuliers, lieux d’hospitalisation ;
  • autres données sensibles : origines raciales ou ethniques, opinions politiques, opinions religieuses, appartenance syndicale, vie sexuelle.

La Commission estime que ces données sont pertinentes au regard de la finalité poursuivie.
Par ailleurs, la Commission relève que, si la Croix-Rouge Française est susceptible, dans le cadre du service de rétablissement des liens familiaux, de recevoir communication de documents comportant d’autres informations telles que le NIR ou relatives aux infractions et condamnations, le traitement autorisé ne peut porter sur de telles données.
Sur la durée de conservation des données :
Les données sont conservées pour une durée de deux ans à compter de la fin de la dernière opération enregistrée, puis elles sont archivées.
La Commission considère que cette durée de conservation est pertinente au regard de la finalité poursuivie par le traitement.
Sur les destinataires des données :
Pour les demandes entrantes, sont destinataires des données :

  • les personnels et bénévoles habilités de la Croix-Rouge Française ;
  • le ministère de la santé et l’OFPRA, le cas échéant : les nom, prénom, date et lieu de naissance, et extrait de naissance de la personne recherchée ;
  • la société nationale de la Croix-Rouge et la délégation du CICR concernée : les coordonnées de la personne recherchée (qui sont ensuite communiquées au demandeur sous réserve de l’accord de la personne recherchée) ou l’acte de décès et le lieu de sépulture de la personne recherchée, le cas échéant.

Pour les demandes sortantes, sont destinataires des données :

  • les personnels et bénévoles habilités de la société nationale de la Croix-Rouge et de la délégation du CICR concernée ;
  • le demandeur en France : les coordonnées de la personne recherchée sous réserve de l’accord de cette dernière ou l’acte de décès et le lieu de sépulture de la personne recherchée, le cas échéant.

La Commission prend acte de ce que les données de santé sont uniquement accessibles par six personnes au sein de la Croix-Rouge Française.
La Commission considère ces destinataires comme légitimes.
Sur l'information et les droits des personnes :
Le formulaire de demande de recherche permet de recueillir des informations sur plusieurs catégories de personnes, qui sont informées conformément à l’article 32-I de la loi du 6 janvier 1978 modifiée de la façon suivante :

  • la personne recherchée : lorsqu’elle est recherchée en France (demande entrante), la personne est informée par l’envoi d’un courrier dès qu’elle est retrouvée ;
  • le demandeur : lorsque la demande a été formulée en France (demande sortante), la personne est informée via le courrier accompagnant le formulaire de demande de recherche ;
  • les personnes susceptibles de fournir des informations : ces personnes sont informées par voie orale au moment où elles sont effectivement contactées.

Ces personnes peuvent exercer leurs droits d’accès et de rectification par voie postale auprès du service juridique de la Croix-Rouge Française, - 98, rue Didot, 75694 PARIS cedex 14.
La Commission estime que ces modalités d’information et d’exercice des droits sont suffisantes.
Sur les transferts de données :
Les données peuvent être transférées aux délégations du CICR ou aux sociétés nationales de la Croix-Rouge situées hors de l’Union européenne, dans la mesure où ces transferts sont nécessaires à la sauvegarde de la vie humaine et de l’intérêt public, conformément aux articles 69-1° et 69-2° de la loi du 6 janvier 1978 modifiée.
Sur la sécurité :
La Commission observe que les modalités d’authentification des utilisateurs sur la plateforme d’échange de données avec les sociétés nationales de la Croix-Rouge respectent ses recommandations en la matière. Des profils d’habilitation permettant de gérer les autorisations d’accès sont également mis en place, et une procédure de revue régulière de ces profils permet d’assurer leur mise à jour régulière.
Cette plateforme dispose également de fonctionnalités de journalisation permettant de tracer l’accès aux données, tant en consultation qu’en modification. Ces données sont conservées pendant 6 mois.
La plateforme étant accessible via Internet, toutes les données échangées depuis la plateforme sont chiffrées en utilisant le protocole https, afin d’en assurer la confidentialité.
Les sauvegardes sont stockées chiffrées chez le prestataire et les supports de stockage mis au rebut sont physiquement détruits.
La Commission considère que ces mesures sont satisfaisantes. Cependant, elle rappelle qu’il appartient à la Croix-Rouge Française de s’assurer du bien-fondé des demandes qu’elle reçoit et de l’utillisation légitime du dispositif.
Dans ces conditions, la Commission autorise la Croix-Rouge Française à mettre en place un traitement de données à caractère personnel ayant pour finalité le rétablissement des liens familiaux.
La Présidente
Isabelle FALQUE-PIERROTIN

Retourner en haut de la page