DELIBERATION n°2014-443 du 13 novembre 2014

Délibération n° 2014-443 du 13 novembre 2014 autorisant le Conseil National des Activités Privées de Sécurité (CNAPS) à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le suivi des demandes de titres (DRACAR NG)

(demande d’autorisation n° 1800636)
La Commission nationale de l'informatique et des libertés,
Saisie par le Conseil National des Activités Privées de Sécurité (CNAPS) d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le suivi des demandes de titres (DRACAR NG) ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment son article R. 40-29 ;
Vu le code de la sécurité intérieure, notamment ses articles L. 114-1 et L. 631-1 à L. 635-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-3°;
Vu la loi n° 83-629 du 12 juillet 1983 réglementant les activités privées ;
Vu la loi n° 2011-267 du 14 mars 2011 modifiée d’orientation et de programmation pour la performance de la sécurité intérieure ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2009-137 du 9 février 2009 relatif à la carte professionnelle, à l'autorisation préalable et à l'autorisation provisoire des salariés participant aux activités privées de sécurité définies à l'article 1er, à l'article 11-8 et à l'article 20 de la loi n° 83-629 du 12 juillet 1983 ;
Vu l’arrêté du 9 février 2009 modifié portant création d'un traitement automatisé de données à caractère personnel relatif à la carte professionnelle des agents de sécurité privée dénommé « DRACAR » ;
Vu l’arrêté du 9 février 2009 modifié autorisant la création d’un traitement automatisé de données à caractère personnel dénommé « Téléc@rtepro » ;
Vu l’arrêté du 28 novembre 2008 modifié portant organisation et attribution de la direction des libertés publiques et des affaires juridiques du ministère de l’intérieur, de l’outre-mer et des collectivités territoriales ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission nationale de l’informatique et des libertés a été saisie par le Conseil National des Activités Privées de Sécurité (CNAPS) d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le suivi des demandes de titres (DRACAR NG).
Créé par la loi du 14 mars 2011 susvisée, le CNAPS est un établissement public à caractère administratif placé sous la tutelle du ministère de l’intérieur et investi d’une mission de police administrative. Il est en particulier chargé de l’agrément, du contrôle et du conseil des professions de sécurité privée. À ce titre, il exerce une partie des prérogatives antérieurement dévolues aux préfectures, lesquelles restent cependant chargées de la délivrance et du retrait de certains titres, dans le respect des conditions prévues par les dispositions du code de la sécurité intérieure.
Jusqu’à présent, le CNAPS exploitait différents traitement mis en œuvre par le ministère de l’intérieur et relevant des arrêtés du 9 février 2009 modifiés susvisés :

  • DRACAR (délivrance réglementaire des autorisations et cartes professionnelles des agents de sécurité privée) ayant pour finalité d’attribuer, si les conditions sont réunies, les numéros de titres ;
  • TELECARTE PRO qui constitue un téléservice, alimenté par DRACAR, permettant aux employeurs des sociétés de sécurité privée et des agences de recherches privées, aux clients et personnes susceptibles d’être employées par ces organismes ainsi qu’aux organismes de formation de vérifier la validité des titres délivrés.

Dans le contexte de l’attribution de ses nouvelles compétences, le CNAPS souhaite procéder à la refonte de ces outils informatiques. Ces outils permettront notamment de faciliter l’instruction des demandes de titres par les délégations territoriales installées au siège de chaque commission interrégionale ou locale d’agréments et de contrôle (CIAC-CLAC). À ce titre, le CNAPS envisage de mettre en œuvre de nouveaux traitements, lesquels ont vocation à se substituer aux traitements DRACAR et TELECARTE PRO et reposent en partie sur l’ajout de nouvelles fonctionnalités. Par ailleurs, la création d’un troisième traitement est envisagée, celui-ci devant permettre au CNAPS d’assurer la gestion de son activité contentieuse.
La Commission est ainsi amenée à examiner trois traitements, lesquels font l’objet de délibérations distinctes du même jour, étant précisé que le traitement DRACAR NG a vocation à alimenter le traitement TELESERVICES CNAPS ainsi que celui relatif à la gestion de l’activité contentieuse.
Dans le cadre des missions de police administrative dévolues au CNAPS, celui-ci peut diligenter des enquêtes afin de vérifier que le comportement des personnes physiques ou morales intéressées n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées. Le résultat de ces enquêtes, en tant qu’il est l’un des critères permettant d’assurer la délivrance des titres, est susceptible d’apparaître dans DRACAR NG.
Dès lors, à la différence du traitement DRACAR qui faisait seulement référence à la décision prise par le préfet, DRACAR NG peut comporter des données relatives à des infractions ou des condamnations.
Il y a donc lieu de faire application des dispositions prévues à l’article 25-I-3° de la loi du 6 janvier 1978 modifiée, qui soumettent à la procédure de l’autorisation par la Commission les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté.
Sur la finalité du traitement :
Le CNAPS souhaite mettre en œuvre un nouveau traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le suivi des demandes de titres (DRACAR NG).
À ce titre, la Commission relève que les demandes de titres sont adressées aux différentes délégations territoriales compétentes qui procèdent à leur instruction avant de les transmettre aux CIAC-CLAC, lesquelles décident ou non de la délivrance du titre.
Elle rappelle que cette délivrance intervient de manière dématérialisée, conformément aux dispositions du décret n° 2009-137 du 9 février 2009 susvisé.
À l’instar de DRACAR, DRACAR NG doit permettre d’attribuer, si les conditions légales sont respectées :

  • un numéro de carte professionnelle délivrée aux personnes souhaitant être employées pour participer à une activité de surveillance, de gardiennage, de transport de fonds, de protection des personnes ;
  • un numéro d'autorisation préalable ou d'autorisation provisoire délivrée aux personnes souhaitant se former aux fins d'acquérir l'aptitude professionnelle nécessaire à l'obtention de la carte professionnelle.

Le traitement DRACAR NG poursuit ainsi des finalités identiques à celles de DRACAR. Compte tenu de ces éléments, la Commission considère que les finalités poursuivies sont déterminées, explicites et légitimes, conformément à l’article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
Les données traitées se rapportent aux personnes ayant effectué une demande de titre auprès des délégations territoriales du CNAPS. À cette fin, sont collectées directement auprès de la personne concernée :

  • des données d’identité : nom, prénom, adresse, date et lieu de naissance ;
  • le numéro unique de bénéficiaire (NUB) qui constitue une fraction du numéro de titre demandé ainsi que le numéro de titre délivré ;
  • des données relatives à la vie professionnelle : certificat de qualification professionnelle ;
  • des données relatives à la situation économique : chiffre d’affaire et extrait K-bis de la société ;
  • des données de connexion : un identifiant de connexion à la plateforme DRACAR NG.

Au regard des finalités poursuivies par le traitement et du caractère nécessairement dématérialisé de la procédure de délivrance des titres, la Commission considère que ces données n’appellent pas d’observation particulière.
Sont également amenées à figurer dans le traitement des données relatives à des infractions ou des condamnations.
En effet, conformément aux dispositions de l’article L. 114-1 du code de la sécurité intérieure, les services d’instruction des délégations territoriales du CNAPS procèdent à des enquêtes administratives (dites « enquêtes de moralité ») afin de vérifier que le comportement des personnes physiques ou morales sollicitant un titre n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées.
Ces enquêtes peuvent révéler des inscriptions au traitement des antécédents judiciaires (TAJ) prévu à l’article 230-6 du code de procédure pénale ou au bulletin n° 2 du casier judiciaire ne permettant pas la délivrance des titres, conformément aux dispositions de l’article L. 612-20 du code de la sécurité intérieure.
La Commission relève que ces données peuvent être collectées directement auprès de la personne concernée ou de manière indirecte auprès des services de police et de gendarmerie nationales. Dans ce dernier cas, l’information est cependant limitée à la seule connaissance de l’enregistrement de l’identité de la personne concernée dans le TAJ en tant que mis en cause. Lorsque l’identité apparaît comme étant connue lors de la consultation du fichier, une seconde consultation du traitement d’antécédents judiciaires est effectuée par les personnels de la police nationale spécialement habilités à cet effet et qui demandent, le cas échéant, les suites judiciaires auprès des parquets concernés.
Elle rappelle qu’un accès direct, par le CNAPS, au TAJ nécessiterait la modification des dispositions réglementaires du code de procédure pénale relatives à ce traitement, sur laquelle la Commission s’est déjà prononcée en avril 2013 mais qui n’a pas encore été prise par le pouvoir réglementaire.
En tout état de cause, la Commission rappelle qu’aucune décision ne peut être prise sur le seul fondement des résultats issus de cette consultation, conformément aux dispositions de l’article 10 de la loi du 6 janvier 1978 modifiée, rappelées notamment dans la circulaire du 23 décembre 2011 relative à l’installation du CNAPS. À cet égard, le CNAPS a prévu, avant toute décision de refus d’une demande, l’ouverture d’une phase contradictoire durant laquelle l’intéressé est mis en mesure de présenter ses observations lorsque l’enquête administrative fait apparaître des antécédents potentiellement incompatibles avec la profession envisagée.
Enfin, la Commission prend acte que, à sa demande, aucune donnée à caractère personnel comportant des appréciations sur les difficultés sociales des personnes ne sera finalement collectée afin d’assurer la gestion et le suivi des demandes de titres dans le cadre de DRACAR NG.
Au regard de ces éléments, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l’article 6-3° de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
Les données relatives à la carte professionnelle sont conservées pour une durée de cinq ans et six mois. La Commission relève que cette durée correspond à la durée de validité d’une carte professionnelle à laquelle s’ajoute la durée permettant d’instruire les demandes de renouvellement des titres.
Les données relatives au titre délivré à une personne morale sont conservées pour une durée correspondant à la durée de validité de celui-ci.
Les données de connexion sont conservées un an.
Ces durées de conservation n’appellent pas d’observation particulière.
Sur les destinataires des données :
La Commission relève que les données d’identité, le numéro unique de bénéficiaire (NUB), le numéro de titre délivré, les données relatives à la vie professionnelle ainsi que les données relatives à la situation économique des demandeurs de titres pourront être transmises aux agents du CNAPS suivants : les services instructeurs de gestion des demandes de titre ainsi que les chefs instructeurs, les services des contrôles, les chefs des délégations territoriales, les secrétaires permanents ainsi que le service des affaires juridiques du CNAPS en cas de recours administratif préalable.
Les données de connexion ne pourront être transmises qu’au responsable de la sécurité et des systèmes d’information du CNAPS, ce qui n’appelle pas d’observation particulière.
S’agissant des données relatives aux infractions et condamnations, la Commission relève que seront destinataires de ces données :

  • les services instructeurs des délégations territoriales compétentes en tant qu’ils reçoivent et instruisent les demandes de titres ;
  • les secrétaires permanents des CIAC-CLAC compétentes qui participent à la rédaction des délibérations relatives aux demandes de titres ;
  • la Commission Nationale d’Agrément et de Contrôle (CNAC) ;
  • le service des affaires juridiques en cas de recours administratifs contre les décisions des CIAC-CLAC.

Elle relève enfin que les agents dûment habilités du bureau des polices administratives de la Direction des Libertés Publiques et des Affaires Juridiques (DLPAJ) du ministère de l’intérieur disposeront d’un accès direct, en mode consultation, au traitement DRACAR NG, en fonction de leur besoin d’en connaître. Il est de même des agents habilités des préfectures, aux fins d’exercice de leur mission de police administrative dans le cadre des activités de sécurité privée.
Sur les droits des personnes :
L’information des personnes concernées par le traitement est réalisée par le biais des mentions légales figurant sur le formulaire de demande de titres, conformément à l’article 32 de la loi du 6 janvier 1978 modifiée.
Les droits d’accès, de rectification et d’opposition pour motifs légitimes s’exercent directement auprès du CNAPS.
La Commission estime que ces modalités d’information et d’exercice des droits sont satisfaisantes.
Sur la sécurité des données et la traçabilité des actions :
La Commission rappelle tout d’abord qu’étant un établissement public sous tutelle du ministère de l’intérieur, le CNAPS est soumis à la politique de sécurité des systèmes d’information de l’État (PSSIE). Aussi, la Commission recommande que les mesures nécessaires d’ajustement de la sécurité soient entreprises dès maintenant afin que la mise en conformité à cette politique soit effectuée dans les délais impartis par les textes en vigueur.
Par ailleurs, elle prend acte que ce traitement sera hébergé dans un centre de données du ministère de l’intérieur dont les mesures de sécurité physique et logique sont de nature à assurer la confidentialité et l’intégrité des données à caractère personnel traitées. Ces mesures garantissent également la haute disponibilité des données et assurent ainsi le bon fonctionnement du service.
La Commission prend acte que l’accès au système d’information est contrôlé par une authentification forte via l’utilisation des cartes agents du ministère de l’intérieur. Elle note qu’une procédure de connexion particulière est prévue en cas de perte de la carte par un agent et que cette procédure spécifique est encadrée par des mesures de détection et de notification. Ces modalités relatives à l’authentification n’appellent aucune remarque.
En ce qui concerne les fonctions d’export au format PDF, la Commission recommande la mise en œuvre de mesures tendant à assurer une traçabilité des données pouvant être copiées par ce vecteur en dehors du présent système d’information.
La Commission estime que les mesures de sécurité mises en œuvre sont satisfaisantes au regard des obligations de l’article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle cependant que ces mesures doivent faire l’objet d’une mise à jour au regard de la réévaluation régulière des risques.
Dans ces conditions, la Commission autorise le Conseil National des Activités Privées de Sécurité (CNAPS) à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la gestion et le suivi des demandes de titres (DRACAR NG).
La Présidente
I. FALQUE-PIERROTIN

Retourner en haut de la page