(demande d’autorisation n° 1635903)
La Commission nationale de l'informatique et des libertés,
Saisie par le Conseil National des Activités Privées de Sécurité (CNAPS) d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la gestion de l’activité contentieuse ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment son article R. 40-29 ;
Vu le code de la sécurité intérieure, notamment ses articles L. 114-1 et L. 631-1 à L. 635-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-3° ;
Vu la loi n° 83-629 du 12 juillet 1983 modifiée réglementant les activités privées de sécurité ;
Vu la loi n° 95-73 du 21 janvier 1995 modifiée d'orientation et de programmation relative à la sécurité, notamment son article 17-1 ;
Vu la loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2009-137 du 9 février 2009 relatif à la carte professionnelle, à l'autorisation préalable et à l'autorisation provisoire des salariés participant aux activités privées de sécurité définies à l'article 1er de la loi n° 83-629 du 12 juillet 1983 ;
Vu le décret n° 2011-1919 du 22 décembre 2011 relatif au Conseil national des activités privées de sécurité et modifiant certains décrets portant application de la loi n° 83-629 du 12 juillet 1983 ;
Vu le décret n° 2014-901 du 18 août 2014 relatif aux activités privées de sécurité ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission nationale de l’informatique et des libertés a été saisie par le Conseil National des Activités Privées de Sécurité (CNAPS) d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la gestion de l’activité contentieuse.
Créé par la loi du 14 mars 2011 susvisée, le CNAPS est un établissement public à caractère administratif placé sous la tutelle du ministère de l’intérieur et investi d’une mission de police administrative. Il est en particulier chargé de l’agrément, du contrôle et du conseil des professions de sécurité privées. À ce titre, il exerce une partie des prérogatives antérieurement dévolues aux préfectures, lesquelles restent cependant chargées de la délivrance et du retrait de certains titres, dans le respect des conditions prévues par les dispositions du code de la sécurité intérieure.
En particulier, le CNAPS diligente des enquêtes administratives afin de vérifier que le comportement des personnes physiques ou morales intéressées n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées. Ces enquêtes peuvent révéler des inscriptions au traitement des antécédents judiciaires (TAJ) prévu à l’article 230-6 du code de procédure pénale ou au bulletin n° 2 du casier judiciaire ne permettant pas la délivrance des titres, conformément aux dispositions de l’article L. 612-20 du code de la sécurité intérieure. Les résultats issus de ces enquêtes peuvent donc amener les commissions interrégionales ou locales d’agréments et de contrôle (CIAC-CLAC) du CNAPS à prendre des décisions défavorables à l’encontre des demandeurs de titre. Ces décisions peuvent faire l’objet d’un recours de la part du demandeur.
Le traitement projeté est donc susceptible de contenir des données relatives à des infractions ou des condamnations. Dès lors, il y a lieu de faire application des dispositions prévues à l’article 25-I-3° de la loi du 6 janvier 1978 modifiée, qui soumettent à la procédure de l’autorisation par la Commission les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté.
Sur la finalité du traitement :
Le CNAPS souhaite mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion de l’activité contentieuse.
Le CNAPS est dirigé par un collège composé de représentants de l’État, d’un magistrat du parquet général de la Cour de cassation, d’un membre du Conseil d’État, de personnes issues des activités privées de sécurité et de personnalités qualifiées. Ce collège comprend en son sein une formation spécialisée, la Commission nationale d’agrément et de contrôle (CNAC), qui statue sur les recours administratifs préalables formés à l’encontre des décisions des commissions interrégionales et locales (CIAC-CLAC).
Les CIAC-CLAC peuvent délivrer, suspendre ou retirer les autorisations, agréments et cartes professionnelles des personnes souhaitant exercer ou exerçant des activités privées de sécurité. En cas d’infraction aux lois, règlements ou règles déontologiques de la profession, ces commissions peuvent également prononcer des sanctions disciplinaires (avertissement, blâme, etc.) et infliger des amendes aux entreprises et aux dirigeants non salariés.
La Commission relève que tout recours contentieux formé par une personne physique ou morale à l’encontre d’actes des CIAC-CLAC est précédé d’un recours administratif préalable devant la CNAC, à peine d’irrecevabilité du recours contentieux devant le tribunal administratif, conformément aux dispositions de l’article L. 633-3 du code de la sécurité intérieure.
Elle prend acte que le traitement projeté aura pour objet d’assurer le suivi de l’activité contentieuse du CNAPS dans le cadre de l’ensemble des recours qui peuvent être exercés à l’encontre des décisions prises par les CIAC-CLAC, par la CNAC et par les juridictions administratives.
Ce traitement permettra également de s’assurer de la cohérence et de la coordination de l’instruction des demandes de titres au niveau territorial. En effet, la Commission relève que les demandeurs de titres n’étant nullement limités quant au nombre de demandes déposées, le CNAPS doit pouvoir tenir compte des décisions rendues en matière contentieuse afin d’autoriser ou de refuser la délivrance de nouveaux titres.
Par ailleurs, le traitement projeté permettra l’élaboration de statistiques portant notamment sur le nombre de recours administratifs préalables, de recours contentieux ou encore de référés suspension introduits. La Commission rappelle qu’un traitement ultérieur de données à des fins statistiques est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et procédures prévus par la loi du 6 janvier 1978 modifiée et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées, conformément aux dispositions de l’article 6-2° de la loi du 6 janvier 1978 modifiée. Elle prend acte que ce traitement statistique ne contient aucune donnée à caractère personnel.
Compte tenu de ces éléments, la Commission considère que les finalités poursuivies sont déterminées, explicites et légitimes, conformément à l’article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
Les données traitées se rapportent uniquement aux personnes ayant introduit un recours contentieux à l’encontre d’une décision prise par les CIAC-CLAC, la CNAC ou par les juridictions administratives. À cette fin, sont notamment collectées :
- des données d’identité : nom, prénom, adresse, date et lieu de naissance ;
- la situation familiale ;
- des données relatives à la vie professionnelle : curriculum vitae, situation professionnelle, scolarité, formation, distinction ;
- des données relatives à la situation économique (revenus).
La Commission relève que l’ensemble des informations précitées sont collectées directement auprès de la personne concernée, par le biais des informations renseignées dans le traitement DRACAR NG, lequel fait l’objet d’une délibération du même jour.
Sont également amenées à figurer dans le traitement des données relatives à des infractions ou des condamnations.
En effet, conformément aux dispositions de l’article L. 114-1 du code de la sécurité intérieure, les services d’instruction des délégations territoriales du CNAPS procèdent à des enquêtes administratives (dites « enquêtes de moralité ») afin de vérifier que le comportement des personnes physiques ou morales sollicitant un titre n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées.
Ces enquêtes peuvent révéler des inscriptions au traitement des antécédents judiciaires (TAJ) prévu à l’article 230-6 du code de procédure pénale ou au bulletin n° 2 du casier judiciaire ne permettant pas la délivrance des titres, conformément aux dispositions de l’article L. 612-20 du code de la sécurité intérieure.
La Commission rappelle que, en tout état de cause, aucune décision ne peut être prise sur le seul fondement des résultats issus de la consultation du TAJ, conformément aux dispositions de l’article 10 de la loi du 6 janvier 1978 modifiée, rappelées notamment dans la circulaire du 23 décembre 2011 relative à l’installation du CNAPS. À cet égard, le CNAPS a prévu, avant toute décision de refus d’une demande, l’ouverture d’une phase contradictoire durant laquelle l’intéressé est mis en mesure de présenter ses observations lorsque l’enquête administrative fait apparaître des antécédents potentiellement incompatibles avec la profession envisagée.
La Commission observe que, dans le cadre des contentieux qui le concernent, le CNAPS doit pouvoir disposer des informations issues de cette consultation dans la mesure où elles sont à même d’expliquer la décision prise par les CIAC-CLAC, la CNAC ou encore par les juridictions administratives.
Elle relève que la gestion effective du contentieux implique de disposer de l’ensemble des informations relatives aux personnes ayant introduit un recours, dans la mesure où l’analyse de ces données peut permettre d’expliquer les décisions prises par les organes du CNAPS ou encore par les juridictions administratives.
La Commission considère dès lors que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l’article 6-3° de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
Ces données sont conservées dans une base d’archives courantes (base active) le temps du contentieux, jusqu’à la notification de la décision de la juridiction compétente.
Les données sont ensuite conservées dans une base d’archives intermédiaires (base inactive) pendant une durée de deux ans à compter de la notification de la décision de la juridiction saisie avant de faire l’objet d’une suppression définitive.
La Commission prend acte que, durant cette période de deux ans supplémentaires, ces données ne seront accessibles qu’aux personnes du service des affaires juridiques du CNAPS dûment habilitées à en connaître pour l’exercice de leur mission.
Sur les destinataires des données :
La Commission prend acte que les données collectées ne feront l’objet d’aucune transmission externe. Par ailleurs, elle relève que l’activité contentieuse du CNAPS est centralisée et traitée par le service des affaires juridiques de l’établissement, à l’exclusion des personnels des délégations territoriales.
Seuls les agents du service des affaires juridiques ainsi que le secrétaire général et le directeur auront dès lors accès aux informations contenues dans le traitement projeté.
Au regard de la finalité du traitement, la Commission considère que ces destinataires n’appellent pas d’observation particulière.
Sur les droits des personnes :
L’information des personnes concernées par le traitement est réalisée par le biais des mentions légales figurant sur le formulaire de demande de titres, conformément à l’article 32 de la loi du 6 janvier 1978 modifiée.
Les droits d’accès, de rectification et d’opposition pour motifs légitimes s’exercent directement auprès du CNAPS.
La Commission estime que ces modalités d’information et d’exercice des droits sont satisfaisantes.
Sur la sécurité des données et la traçabilité des actions :
La Commission rappelle tout d’abord qu’étant un établissement public sous tutelle du ministère de l’intérieur, le CNAPS est soumis à la politique de sécurité des systèmes d’information de l’État (PSSIE). Aussi, la Commission recommande que les mesures nécessaires d’ajustement de la sécurité soient entreprises dès maintenant afin que la mise en conformité à cette politique soit effectuée dans les délais impartis par les textes en vigueur.
Par ailleurs, elle relève que les données pourront être stockées selon deux modalités distinctes : d’une part, dans un fichier bureautique de type tableur et, d’autre part, dans une base de données dédiée et accessible au travers d’une application web.
En ce qui concerne la première modalité de stockage, la Commission recommande que soit activée une fonction de chiffrement symétrique intégrée nativement dans le logiciel de traitement, que le mot de passe de déchiffrement soit conforme aux recommandations de l’éditeur et qu’il ne soit connu que des seules personnes habilitées.
Elle recommande également, afin d’assurer une traçabilité des accès à ces données, que, d’une part, les mots de passe associés aux comptes de connexion sur le système d’information soient conformes à ses recommandations (minimum de huit caractères, parmi majuscule, minuscule, chiffre et lettre ; régulièrement renouvelé ; fonction de verrouillage et d’alerte en cas de tentative d’usurpation d’identité) et que, d’autre part, la fonction d’audit intégrée à l’application métier soit activée pour le répertoire réseau contenant le fichier en question.
En ce qui concerne la deuxième modalité de stockage, la Commission note que l’application métier utilisée sera déployée au sein d’un serveur dédié et que l’authentification sera basée sur un annuaire central. Elle relève également que des mesures visant à assurer la traçabilité des actions seront mises en œuvre. Une grille d’habilitation configurée au sein de l’application permettra d’assurer l’accès aux données stockées selon le principe du besoin d’en connaître.
La Commission recommande que des mesures visant à assurer la confidentialité des données relatives aux infractions et condamnations soient également mises en œuvre vis-à-vis des administrateurs techniques de la solution métier utilisée. Ces mesures seront de nature à assurer l’accès aux données précédemment citées aux seules personnes autorisées à en avoir connaissance.
Elle relève enfin que plusieurs mesures visent à assurer la disponibilité des données, garantissant ainsi le bon fonctionnement du service.
En ce qui concerne les interactions éventuelles entre les deux espaces de stockage, la Commission rappelle que les modalités de transfert des données d’un espace à l’autre ne devront pas remettre en cause la sécurité définie au sein de chaque espace. Ainsi, la confidentialité, l’intégrité et la disponibilité des données transférées devront être assurées et ce à tout moment.
Elle rappelle également que les mesures de sécurité d’hébergement doivent être définies et mises en œuvre en adéquation avec les niveaux de confidentialité, d’intégrité et de disponibilité attendus.
Sous ces réserves, la Commission estime que les mesures de sécurité mises en œuvre sot satisfaisantes au regard des obligations de l’article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle cependant que ces mesures doivent faire l’objet d’une mise à jour au regard de la réévaluation régulière des risques.
Dans ces conditions, la Commission autorise le Conseil National des Activités Privées de Sécurité à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la gestion de l’activité contentieuse.
La Présidente
I. FALQUE-PIERROTIN