(Demande d’autorisation n° 1589696)
La Commission nationale de l'informatique et des libertés,
Saisie par le Défenseur des droits d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le traitement des courriers et des dossiers de réclamations, l’élaboration de statistiques sur l'activité des services et les types de dossiers traités, le pilotage et le suivi individuel de l'activité des agents et délégués du Défenseur des droits ;
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi organique n° 2011-333 du 29 mars 2011 relative au Défenseur des droits ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8, 9-1°, 25-I-1°, 25-I-3° et 25-I-7° ;
Vu la loi n° 2011-334 du 29 mars 2011 relative au Défenseur des droits ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Gaëtan GORCE, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission a été saisie par le Défenseur des droits d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le traitement des courriers et des dossiers de réclamations, l’élaboration de statistiques sur l'activité des services et les types de dossiers traités, le pilotage et le suivi individuel de l'activité des agents et délégués du Défenseur des droits.
Créé par la loi constitutionnelle n° 2008-724 du 23 juillet 2008 de modernisation des institutions de la Ve République, le Défenseur des droits a été institué par les lois organique et ordinaire susvisées du 29 mars 2011.
Cette nouvelle autorité constitutionnelle et indépendante a fusionné le Médiateur de la République, le Défenseur des enfants, la Haute autorité de lutte contre les discriminations et pour l'égalité (HALDE) ainsi que la Commission nationale de déontologie de la sécurité (CNDS). L'étendue de son champ de compétence matériel est fonction du regroupement organique qui a été opéré sous son chef, entre les quatre autorités administratives indépendantes préalablement compétentes dans un domaine spécialisé.
Ainsi, en application de l’article 4 de la loi organique du 29 mars 2011, le Défenseur des droits est chargé :
« 1° De défendre les droits et libertés dans le cadre des relations avec les administrations de l'Etat, les collectivités territoriales, les établissements publics et les organismes investis d'une mission de service public ;
2° De défendre et de promouvoir l'intérêt supérieur et les droits de l'enfant consacrés par la loi ou par un engagement international régulièrement ratifié ou approuvé par la France ;
3° De lutter contre les discriminations, directes ou indirectes, prohibées par la loi ou par un engagement international régulièrement ratifié ou approuvé par la France ainsi que de promouvoir l'égalité ;
4° De veiller au respect de la déontologie par les personnes exerçant des activités de sécurité sur le territoire de la République ».
Le traitement envisagé, dénommé AGORA, a pour finalité la gestion et le traitement des courriers et des dossiers de réclamations, l’élaboration de statistiques sur l'activité des services et les types de dossiers traités, le pilotage et le suivi individuel de l'activité des agents et délégués du Défenseur des droits. Il constitue ainsi la traduction « logicielle » de la création du Défenseur des droits en réalisant la fusion des traitements qui existaient au sein de chacune des quatre autorités qui ont précédé la création du Défenseur des droits.
Le traitement projeté porte notamment sur des données relatives à des infractions, condamnations et mesures de sûreté, des données sensibles au sens de l’article 8 de la loi du 6 janvier 1978 modifiée ainsi que des données comportant des appréciations sur les difficultés sociales des personnes. La Commission estime qu’il y a lieu de faire application des articles 9 et 25-I-3°, 8-IV et 25-I-1° ainsi que 25-I-7° de cette même loi et que ce traitement doit dès lors faire l’objet d’une autorisation de la Commission.
A titre général, la Commission souligne le caractère sensible des données traitées par le Défenseur des droits, conformément aux missions qui lui sont assignées, et relève que le nombre d’agents accédant directement à ces données est important. Elle appelle dès lors l’attention du Défenseur des droits sur l’impérieuse nécessité de s’assurer que ses personnels n’accèdent qu’aux données strictement nécessaires à l’exercice de leurs attributions, dans la limite du besoin d’en connaitre.
Sur la finalité du traitement :
Il est assigné trois finalités au traitement envisagé :

• la gestion et le traitement des courriers et des dossiers de réclamations. Le traitement envisagé permettra ainsi le suivi de l'ensemble des étapes du traitement, c’est-à-dire l'examen de la recevabilité, les actes d'instruction et toutes les interventions réalisées ;
• l’élaboration de statistiques sur l'activité des services et les types de dossiers traités ;

La Commission estime que ces finalités sont déterminées, explicites et légitimes, conformément à l’article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
La collecte des données intervient directement auprès de la personne concernée qui saisit le Défenseur des droits, de manière déclarative.
Les données du traitement projeté sont tout d’abord relatives au requérant (nom, prénom, adresse, date et lieu de naissance, adresse électronique, numéro de téléphone). Ces données n’appellent pas d’observation particulière.
Le Défenseur des droits, autorité publique, pourra être amené, dans le cadre de ses attributions, à traiter des données relatives aux infractions, condamnations et mesures de sûreté, conformément à l’article 9-1° de la loi du 6 janvier 1978 modifiée. En effet, dans l’exercice de ses missions de défense des droits de l'enfant et de contrôle du respect des règles de bonne conduite par les personnes exerçant des activités de sécurité sur le territoire de la République, le Défenseur des droits est amené à avoir connaissance d’antécédents judiciaires ou disciplinaires des personnes concernées.
En outre, le Défenseur des droits pourra être amené, toujours dans l’exercice de ses fonctions, à traiter des données comportant des appréciations sur les difficultés sociales des personnes.
Enfin, des données de santé et, plus généralement, l’ensemble des données sensibles relevant de l’article 8 de la loi « Informatique et Libertés », pourront être traitées par le Défenseur des droits, dans le cadre de ses attributions. En effet, le Défenseur des droits est chargé de lutter contre les discriminations dans le domaine de l’emploi, du logement, de l’éducation et de l’accès aux biens et services, sur la base de dix-neuf critères prohibés par la loi. Or, les données relevant de l’article 8 précité constituent des critères de discrimination au sens du code pénal (article 225-1 du code pénal), pour lesquels le Défenseur des droits est compétent. Ces dossiers seront donc qualifiés sur la base de ces critères de discrimination, à partir desquels il sera possible d’effectuer des recherches. Les données de santé seront néanmoins accessibles uniquement au seul « pôle santé » du Défenseur.
En outre, des données relatives aux agents du siège et aux délégués du Défenseur des droits (identité, fonction, dossiers attribués, actions sur les dossiers, statistiques d’activité) en charge de l’instruction des réclamations pourront être collectées, de même que des données relatives à la personne mise en cause et, le cas échéant, aux témoins et aux autres tiers impliqués dans le traitement de la réclamation (médiateur, avocat, etc.). Les données concernant ces personnes ne seront pas systématiquement collectées et seront enregistrées dans la seule hypothèse où elles sont nécessaires à l’instruction du dossier.
En application de l’article 38 de la loi organique n° 2011-333 du 29 mars 2011 relative au Défenseur des droits, le Défenseur des droits, ses adjoints, les autres membres des collèges, les délégués et l'ensemble des agents placés sous son autorité sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont connaissance en raison de leurs fonctions, sous réserve des éléments nécessaires à l'établissement des avis, recommandations, injonctions et rapports prévus par la présente loi organique.
La Commission considère que le traitement de ces données est adéquat, pertinent et non excessif au regard de la finalité poursuivie, dès lors qu’elles s’avèrent nécessaires au traitement du dossier de réclamation concerné.
Sur la durée de conservation des données :
Les données seront conservées dans une base active pendant une période de six ans à compter de la clôture du dossier, notamment aux fins de consultation des précédents.
A l’expiration de ce délai de six ans, les données seront basculées dans une base inactive, au sein de laquelle elles seront conservées six ans, en lecture seule avec accès tracés et limités. L’accès à cette base inactive sera réservé au directeur des systèmes d’information, aux directeurs des départements d’instruction, au chef du pôle informatique, au responsable de la recevabilité et aux administrateurs de la base, aux seules fins d’avoir accès aux précédents des dossiers, et pour des besoins statistiques.
Préalablement à la mise en œuvre effective de la base inactive, la Commission souhaite être tenue informée des conditions exactes de son fonctionnement, ainsi que du devenir des données à l’expiration de la durée de conservation de six ans au sein de cette base (suppression, anonymisation, archivage, etc.).
Sur les destinataires des données :
Les personnes ayant directement accès aux données enregistrées dans le traitement sont les seuls agents et délégués du Défenseur des droits, lesquels sont astreints au secret professionnel en application de l’article 38 de la loi organique du 29 mars 2011 susvisée.
Les personnels auxquels des informations peuvent être communiquées sont les suivants :
-les collèges du Défenseur des Droits (le collège Déontologie de la sécurité, le collège Défense et promotion des droits de l’enfant, et le collège Lutte contre les discriminations et promotion de l’égalité) ;
-l’autorité investie du pouvoir disciplinaire, concernant des faits dont elle a connaissance et qui lui paraissent de nature à justifier une sanction, conformément à l’article 29 de la loi organique n° 2011-333 du 29 mars 2011 relative au Défenseur des droits ;
-le parquet, en application de l’article 33 de la même loi organique ;
-les juridictions (si le Défenseur des droits présente des observations devant elles, en application de l’article 33 de la loi du 29 mars 2011 précitée).
La Commission rappelle que le Défenseur des droits doit veiller, en application de l’article 34 de la loi du 6 janvier 1978 modifiée, à ne communiquer aux destinataires que les informations qui leur sont strictement nécessaires et dans le cadre défini par la loi organique. Par ailleurs, elle recommande que les modalités de transmission des données permettent de garantir leur confidentialité (envoi par porteur ou envoi chiffré par exemple).
Ces destinataires sont légitimes à recevoir communication des données enregistrées dans le traitement.
Sur les droits des personnes :
L’information des personnes concernées par le traitement est réalisée par des mentions légales figurant sur le formulaire en ligne de saisine de l’institution.
Dans la mesure où il est également possible de saisir le Défenseur des droits par courrier postal, le droit d’information devra aussi être réalisé dans le premier courrier de réponse.
Sous cette réserve, la Commission estime que les modalités sont conformes à l’article 32 de la loi du 6 janvier 1978 modifiée.
Les droits d’accès, de rectification et d’opposition pour motif légitime s’exercent de manière directe auprès du Défenseur des droits, lequel a mis en place une procédure centralisant le traitement de ces demandes auprès d’un seul service (protection-donnees@defenseurdesdroits.fr).

Sur la sécurité des données et la traçabilité des actions :
Des profils d’habilitation ont été définis et les agents sont soumis au secret professionnel dans le cadre du traitement des dossiers dont ils sont attributaires, notamment lorsque ceux-ci traitent de données fiscales ou de santé.
Les délégués du Défenseur des droits disposent d’un accès plus restreint que les agents du Défenseur des droits. En effet, ils accèdent en écriture à leurs propres dossiers et en consultation aux dossiers transmis au siège. En revanche, pour les autres dossiers, les délégués ne disposent que d’un outil de recherche des doublons et n’accèdent qu’au résumé de ces dossiers.
Le contrôle d’accès à l’application et aux données s’effectue par l’utilisation d’un identifiant et d’un mot de passe. A cet égard, la Commission rappelle qu’elle recommande d’utiliser des mots de passe d’une longueur minimale de huit caractères, comportant trois types de caractères parmi les minuscules, majuscules, chiffres et caractères spéciaux. Le mot de passe doit être modifié par l’utilisateur dès la première connexion, puis renouvelé régulièrement avec une fréquence ne dépassant pas une année. Enfin, les mots de passe ne doivent pas être conservés en clair dans un fichier ou une base de données. La Commission recommande ainsi de conserver le résultat de la fonction de hachage HMAC à clé secrète sur le mot de passe.
La Commission rappelle également que lorsqu’il y a une erreur pendant le processus d’authentification, la provenance de l’erreur d’authentification (identifiant inconnu ou mot de passe erroné) ne doit pas être affichée à l’utilisateur, seul le fait qu’une erreur d’authentification s’est produite devant être signalé.
L’ensemble des actions sont tracées (connexion, consultation, création, mise à jour et suppression). La Commission rappelle que le responsable de traitement doit définir une durée de conservation des traces et recommande un effacement automatisé au-delà de la durée de conservation.
Concernant la sécurité des échanges de données, la Commission relève que les échanges s’effectuent par un réseau privé virtuel.
Les données sont sauvegardées toutes les semaines sur bandes magnétiques placées dans un coffre ignifugé et ne sont pas externalisées. Les sauvegardes ne sont pas chiffrées. La Commission recommande que les sauvegardes de données soient chiffrées.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Dans ces conditions, la Commission autorise le Défenseur des droits à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la gestion et le traitement des courriers et des dossiers de réclamations, l’élaboration de statistiques sur l'activité des services et les types de dossiers traités, le pilotage et le suivi individuel de l'activité des agents du Défenseur des droits.
La Présidente
Isabelle FALQUE-PIERROTIN