La Commission nationale de l'informatique et des libertés,
Saisie, le 7 novembre 2019, par le ministre de la justice d’une demande d’avis concernant un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé DataJust ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de justice administrative, notamment son article L. 10 ;
Vu le code de l’organisation judiciaire, notamment son article L. 111-13 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 6-III ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2019-078 du 13 juin 2019 portant avis sur un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé DataJust relatif à l’indemnisation des préjudices corporels et à l’évaluation des régimes de responsabilité civile ;
Vu le dossier et ses compléments ;
Après avoir entendu Mme Christine MAUGÜE, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Émet l’avis suivant :
Le traitement DataJust vise à développer, pour une durée de deux ans, un dispositif algorithmique permettant de recenser, par type de préjudice, les montants demandés et offerts par les parties à un litige ainsi que les montants alloués aux victimes en indemnisation de leur préjudice corporel dans les décisions de justice rendues en appel par les juridictions administratives et les formations civiles des juridictions judiciaires.
La Commission relève ainsi que le dispositif envisagé reposera tout d’abord sur l’extraction, de manière automatique, des données contenues dans les décisions de justice et leur exploitation. Elle observe, qu’à terme, le traitement Datajust vise également à constituer un outil de restitution et de diffusion de ces montants relatifs à l’indemnisation du préjudice corporel des victimes.
La Commission considère que le traitement projeté, qui a notamment pour finalités le développement d’un traitement algorithmique afin d’élaborer un référentiel indicatif d’indemnisation des préjudices corporels ainsi que la réalisation d’évaluations préalables à la rédaction des normes et d’évaluations rétrospectives des politiques publiques en matière de responsabilité civile, relève du champ d’application du règlement (UE) 2016/679 du 27 avril 2016 susvisé (ci-après RGPD ). Dans la mesure où des données sensibles sont susceptibles d’être collectées et traitées, il doit faire l’objet d’un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission conformément aux dispositions des articles 6-III et 31-II de la loi du 6 janvier 1978 modifiée.
Elle observe que le présent projet de décret vise à tenir compte d’un certain nombre d’observations formulées dans le cadre de la délibération n° 2019-078 du 13 juin 2019 susvisée, en particulier s’agissant de la nécessité d’encadrer tout d’abord spécifiquement la première phase de développement de l’algorithme utilisé. La Commission relève ainsi qu’en fonction des résultats obtenus lors de cette phase de développement, il est envisagé de mettre en œuvre un second traitement, lequel aura pour finalité la mise à disposition du référentiel indicatif d’indemnisation des préjudices corporels au public.
La Commission rappelle, en tout état de cause, qu’elle devra être tenue informée et saisie, dans les conditions prévues à l’article 33-II de la loi du 6 janvier 1978 modifiée, de toute modification substantielle affectant les caractéristiques du traitement ainsi que du projet de texte encadrant la phase pérenne de ce traitement. Au même titre, elle rappelle que l’analyse d’impact qui lui a été transmise, dans les conditions prévues à l’article 62 de la loi précitée, devra faire l’objet d’une mise à jour et d’une réévaluation régulière.
Sur les conditions générales de mise en œuvre du traitement projeté
La Commission relève que le traitement projeté sera réalisé à partir de la collecte des décisions d’appel relatives à l’indemnisation des préjudices corporels des trois dernières années (2017, 2018 et 2019) présentes dans les bases de données de la Cour de cassation (JuriCA) et du Conseil d’Etat (Ariane).
Elle prend acte qu’il est également prévu, pendant la phase de développement du traitement algorithmique, d’intégrer les nouvelles décisions rendues par les juridictions d’appel en matière d’indemnisation du préjudice corporel et ce, à une fréquence trimestrielle.
De manière générale, la Commission rappelle que, compte tenu de la particulière sensibilité des informations susceptibles d’être traitées, relatives tant à des personnes majeures que mineures, ainsi que du périmètre particulièrement large du traitement projeté, une attention particulière devra être portée aux évolutions envisagées de l’algorithme et plus particulièrement à la présence d’éventuels biais (pratiques discriminatoires liées par exemple à l’origine ethnique, au genre ou encore à la situation géographique). Elle prend acte qu’il est prévu que le ministère bénéficie d’un accompagnement spécifique à ce sujet, sans toutefois que les modalités et les attendus de cet accompagnement ne soient encore précisément définis. La Commission invite ainsi le ministère à définir clairement ces modalités ainsi que les objectifs attendus par celui-ci avant toute mise en œuvre du traitement projeté et rappelle qu’une attention particulière devra être portée aux principes cardinaux de vigilance et de loyauté tout au long du développement de ce traitement. Elle demande que ces éléments soient portés à sa connaissance.
Dans l’éventualité où, à l’issue de son développement, ce dispositif serait pérennisé – notamment à des fins de mise à disposition d’un référentiel au public – la Commission s’interroge, sur la nécessité de prévoir un encadrement législatif spécifique. Compte tenu du caractère inédit et de l’importance du dispositif envisagé, celui-ci permettrait de concilier les impératifs de bonne administration de la justice et la préservation des droits et libertés fondamentaux. La Commission relève que le fondement législatif d’un référentiel indicatif national d’indemnisation des préjudices extrapatrimoniaux a été envisagé dans le projet de réforme de la responsabilité civile rendu public le 13 mars 2017.
Dans la mesure où, à terme, le ministère entend instituer de manière pérenne un tel dispositif, la Commission avait demandé, dans sa délibération n° 2019-078 susmentionnée, qu’un bilan lui soit transmis. A cet égard, elle prend acte que le ministère s’engage à fournir à la Commission, dans un délai maximum d’un an suivant la fin de la phase de développement, un bilan qui comportera les informations suivantes :
- des éléments d’appréciation portant sur la présence d’éventuels biais de l’algorithme identifiés et les correctifs envisagés et/ou appliqués en conséquence ;
- la liste précise des catégories de données et informations identifiées comme nécessaires au regard des finalités du traitement DataJust ainsi que la nature des données auxquelles chaque catégorie de destinataires pourra accéder ;
- la description des processus de pseudonymisation supplémentaires qui seront appliqués.
La Commission demande à ce que ce bilan lui soit transmis en tout état de cause et, le cas échéant, avant toute mise en œuvre de la phase de pérennisation par un second traitement. Elle demande également que lui soient aussi communiqués, à l’occasion de ce bilan, une description détaillée des algorithmes, des méthodes mises en œuvre ainsi que les indicateurs de performance utilisés, les résultats obtenus avec ceux-ci et les modalités d’audit de l’algorithme utilisé.
Ces éléments rappelés, le projet de décret transmis appelle de la part de la Commission les observations suivantes.
Sur les finalités du traitement
L’article 1er du projet décret précise que le traitement DataJust aura pour finalité le développement d’un traitement algorithmique devant servir à :
- la réalisation d’évaluations préalables à la rédaction de normes et d’évaluations rétrospectives des politiques publiques en matière de responsabilité civile par la Direction des affaires civiles et du sceau du ministère de la justice ;
- l’élaboration d’un référentiel indicatif d’indemnisation des préjudices corporels ;
- l’information des parties et l’aide au pré-chiffrage de l’indemnisation à laquelle les victimes peuvent prétendre afin de favoriser les transactions avec les assureurs ou autres entités en charge de la liquidation des préjudices ;
- l’aide à la décision des juges appelés à statuer sur des demandes d’indemnisation des préjudices corporels.
La Commission prend acte que les finalités du traitement DataJust doivent permettre une meilleure administration de la justice et la mise à disposition des justiciables d’un outil leur permettant d’effectuer des choix de manière plus éclairée quant à la pertinence ou non d’engager un contentieux ou d’accepter ou non les offres d’indemnisation proposées par les assureurs. Elle prend également acte des précisions selon lesquelles ce dispositif ne constituera qu’un outil d’aide à la décision.
Si, de manière générale, ces finalités n’appellent pas d’observation particulière, la Commission estime néanmoins que la première finalité mériterait d’être explicitée. En effet, le ministère a indiqué que celle-ci renvoie à la possibilité de réaliser des évaluations prospectives et rétrospectives des politiques publiques, par exemple lorsqu’il est envisagé de modifier les contours d’un régime de responsabilité civile , et que les analyses réalisées dans ce cadre seraient de nature à enrichir et améliorer la qualité des études d’impact . Compte tenu de ces précisions, elle demande que le projet de décret soit modifié afin d’intégrer ces explications.
Sous cette réserve, elle estime que les finalités projetées sont déterminées, explicites et légitimes, conformément à l’article 5-1.b) du RGPD.
Sur les données collectées
L’article 2 du projet de décret détaille les catégories de données à caractère personnel et informations enregistrées dans le traitement DataJust . La Commission rappelle que ces données seront extraites des décisions de justice rendues en appel par les juridictions administratives et les formations civiles des juridictions judiciaires dans les seuls contentieux portant sur l’indemnisation des préjudices corporels.
Ces catégories de données sont les suivantes :
- les noms et prénoms des personnes physiques mentionnées dans les décisions de justice, à l’exception de ceux des parties ;
- les autres éléments d’identification des personnes physiques ;
- les données et informations relatives aux préjudices subis ;
- les données relatives à la vie professionnelle et à la situation financière et économique ;
- les données relatives à des infractions et condamnations pénales ;
- le numéro des décisions de justice.
A titre liminaire, la Commission relève que le projet de décret ne précise pas explicitement les catégories de personnes dont les données sont susceptibles d’être collectées. Si elle prend acte des éléments communiqués par le ministère selon lesquels il ne peut en être dressé une liste exhaustive, elle considère toutefois qu’il conviendrait de distinguer au sein de l’article 2 du projet de décret les catégories de données relatives à l’ensemble des personnes physiques de celles qui n’auront vocation à n’être collectées que pour certaines catégories de personnes physiques telles que, par exemple, les victimes ou encore les professionnels du droit.
La Commission rappelle par ailleurs qu’il est indispensable que des garanties soient mises en œuvre afin que seules les données qui ont un lien avec l’indemnisation du préjudice subi ne soient effectivement traitées et, à cet égard, elle estime qu’une vigilance particulière devra être portée aux données sensibles au sens de la loi du 6 janvier 1978 modifiée (données relatives à la santé et/ou à la vie sexuelle) qui pourront être collectées au titre de la catégorie des données et informations relatives aux préjudices subis.
En premier lieu, s’agissant de la collecte des noms et prénoms des personnes physiques mentionnées dans les décisions de justice, la Commission relève que les décisions qui seront transmises par la Cour de cassation et le Conseil d’Etat feront en principe l’objet d’une pseudonymisation partielle avant leur transmission au ministère. Les noms et prénoms des personnes physiques parties aux instances concernées seront ainsi occultés avant cette transmission et ne pourront pas faire l’objet d’un enregistrement dans le traitement.
En deuxième lieu, l’article 2 du projet de décret indique que d’autres éléments d’identification des personnes physiques pourront être collectés, notamment la date de naissance et le lien de parenté. La Commission constate que la rédaction de cet article permet la collecte d’autres données au titre de cette catégorie. Indépendamment de l’observation formulée précédemment sur la nécessité de s’assurer que seules les données strictement nécessaires aux finalités poursuivies par le traitement ne soient collectées et traitées, elle demande que le projet de décret soit explicité sur ce point et prend acte de l’engagement du ministère de modifier cette disposition afin de ne mentionner, au titre de cette catégorie, que la seule collecte de la date de naissance, du genre, du lien de parenté et du lieu de résidence.
En troisième lieu, l’article 2 du projet de décret prévoit que des données relatives à des infractions et condamnations pénales pourront être collectées.
Si la collecte de données relatives aux infractions n’appelle pas d’observation particulière au regard de la nature des informations figurant dans les décisions des juridictions, la Commission s’interroge en revanche sur la nature des données qui seront collectées au titre des données relatives aux condamnations pénales. A cet égard, elle prend acte que pourra notamment être collectée la mention des condamnations pénales, par exemple dans les affaires dans lesquelles le Fonds de garantie des victimes des actes de terrorisme et d’autres infractions (FGTI) exerce son recours subrogatoire contre le responsable des faits visés à l’article 706-3 du code de procédure pénale après une décision pénale.
La Commission observe toutefois qu’il ressort de l’analyse d’impact relative à la protection des données (AIPD) transmise que, au titre de cette catégorie générique, pourront être traitées des données qui caractérisent des fautes susceptibles de revêtir une qualification pénale, même si elles n’ont pas donné lieu à des poursuites ou des sanctions pénales, comme la caractérisation d’une faute de la part du responsable ou de la victime pouvant être pénalement sanctionnée. Il résulte de ces précisions que ne seront pas traitées des données relatives aux condamnations pénales en tant que telles, mais des données qui sont relatives aux constatations effectuées par le juge judiciaire en amont du prononcé éventuel d’une condamnation pénale et étant susceptibles de caractériser des fautes de nature civile. Si la Commission prend acte de la modification du projet de décret à intervenir afin de distinguer la collecte de données relatives à des fautes civiles susceptibles de recevoir une qualification pénale de celles relatives aux condamnations pénales, elle s’interroge toutefois sur la pertinence de faire figurer au sein de cette catégorie générique des données concernant des fautes civiles alors que celles-ci ne sont relatives ni à des infractions pénales ni à des condamnations pénales.
Les autres catégories de données n’appellent pas d’observation particulière de la part de la Commission.
Sous réserve de ce qui précède, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l’article 4-3° de la loi du janvier 1978 modifiée.
Sur les destinataires
L’article 3 du projet de décret énumère les destinataires qui ont accès à la totalité ou à une partie des données à caractère personnel et informations enregistrées dans le traitement, à raison de leurs attributions et dans la limite du besoin d’en connaître :
- les agents du ministère de la justice affectés au service chargé des développements informatiques du secrétariat général du ministère de la justice, individuellement désignés par le secrétaire général ;
- les agents du bureau des obligations individuellement désignés par le directeur des affaires civiles et du sceau.
La Commission prend acte que l’accès des agents du bureau des obligations au traitement est justifié par leur participation à l’élaboration de l’outil.
Elle considère que, dès lors que la phase de développement du traitement algorithmique le permettra, le ministère devrait déterminer plus précisément les données nécessaires à chaque catégorie de destinataires afin d’éviter la mise en place d’un accès général et indifférencié à l’ensemble des données enregistrées dans le traitement au profit de l’ensemble des destinataires identifiés. En effet, les catégories de destinataires ayant vocation à être étendues lors de la phase de pérennisation du dispositif, une détermination plus précise des données nécessaires aux catégories de destinataires devra être réalisée dans le projet de texte relatif à cette phase.
Sur la durée de conservation des données
L’article 4 du projet de décret prévoit que les données seront conservées pour la durée nécessaire au développement de l’algorithme. Au terme de cette durée, elles seront effacées de manière sécurisée.
La Commission relève que cette disposition prévoit que, en tout état de cause, la durée de conservation des données ne pourra excéder deux ans à compter de la publication du présent décret.
En outre, elle prend acte que le ministère envisage la possibilité d’effacer des données avant l’écoulement complet de cette durée dans le cas où celles-ci ne seraient d’aucun intérêt pour le développement de l’algorithme.
Dans ces conditions, la Commission considère que la durée de conservation des données apparaît proportionnée au regard des finalités assignées au traitement.
L’article 5 du projet de décret prévoit que les opérations de mise à jour, de suppression et de consultation feront l’objet d’un enregistrement comportant l’identification de l’utilisateur, la date, l’heure et la nature de l’intervention dans le traitement. Ces informations seront conservées pendant une durée de deux ans, ce qui n’appelle pas d’observation particulière de la Commission.
Sur les droits des personnes concernées
En premier lieu, s’agissant de l’information des personnes concernées, la Commission relève que le ministère entend faire application de l’article 14-5.b) du RGPD qui prévoit la possibilité de déroger à ce droit dès lors que la fourniture de telles informations exigerait des efforts disproportionnés. Si elle prend acte qu’une information individuelle des personnes concernées exigerait des efforts disproportionnés en raison de la pseudonymisation des noms et prénoms des parties, elle observe qu’il est prévu qu’une information générale soit réalisée par l’intermédiaire du site du ministère de la justice. Elle considère que le projet de décret devrait être modifié afin de préciser qu’une information générale sera délivrée par le ministère.
La Commission rappelle, dans la mesure où le traitement a notamment vocation à concerner des personnes mineures, que cette information doit être adaptée et délivrée en des termes clairs et simples, que ces derniers peuvent aisément comprendre, conformément à l’article 12-1° du RGPD. Elle prend acte de l’engagement du ministère de délivrer une information spécifique à cette catégorie de personnes.
En outre, s’agissant des nouvelles décisions qui seront rendues par les juridictions durant la phase de développement du traitement l’algorithmique, si une information individuelle a priori des personnes potentiellement concernées ne paraît pas envisageable en raison notamment du grand nombre de décisions qui pourraient être concernées, elle prend acte que le ministère envisage de préciser des instructions à tous les greffes sur les informations à insérer dans des documents transmis a priori aux justiciables.
En second lieu, l’article 6 du projet de décret prévoit que les droits d’accès, de rectification et à la limitation s’exercent auprès du ministère de la justice dans les conditions prévues respectivement aux articles 15, 16 et 18 du même règlement .
S’agissant de l’exercice de ces droits, la Commission prend acte des précisions apportées par le ministère selon lesquelles, pour les personnes parties au litige dont l’identité a été pseudonymisée avant la transmission de la décision au ministère, l’exercice des droits ne pourra se faire que par la communication, par la personne concernée, du numéro de la décision dont elle a fait l’objet.
Elle relève par ailleurs que le projet de décret prévoit que le droit d’opposition ne s’appliquera pas au traitement DataJust en application de l’article 23 du RGPD et ce, afin de garantir l’objectif général d’intérêt général d’accessibilité du droit. Compte tenu de cette précision, la limitation prévue n’appelle pas d’observation particulière de la part de la Commission.
Concernant les mesures de sécurité décrites dans l’analyse d’impact, la Commission note que des profils d'habilitation sont prévus afin de gérer pour chaque utilisateur les fonctions autorisées ou les catégories d'informations accessibles. Elle rappelle que les permissions d'accès doivent être supprimées pour tout utilisateur n'étant plus habilité et qu’une revue globale des habilitations doit également être opérée à fréquence régulière.
La Commission prend acte que le ministère prévoit la mise en œuvre d’une politique de mot de passe conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.
Elle relève également que le traitement DataJust est déployé au sein du réseau privé virtuel justice (RPVJ) du ministère et hébergée sur des serveurs de celui-ci et que des mesures sont prévues pour assurer son cloisonnement. Ce réseau fait l’objet de mesures de filtrage ayant pour but de restreindre l’émission et la réception des flux réseau aux machines identifiées et autorisées.
La Commission observe qu’il est prévu que les données stockées soient chiffrées. A ce sujet, elle rappelle la nécessité d’utiliser des algorithmes et des procédures de gestion de clés conformes à l'annexe B1 du référentiel général de sécurité.
En ce qui concerne les mécanismes de pseudonymisation mis en œuvre, ceux-ci étant amenés à évoluer en fonction des données qui seront considérées pertinentes pour permettre la réalisation du traitement tout en satisfaisant à l’exigence de minimisation des données, la Commission rappelle qu’il conviendra de documenter les modifications apportées à ces outils et à les présenter dans le bilan qui lui sera fourni à l’issue de la phase de développement du traitement DataJust .
La Commission prend également acte qu’une journalisation des opérations de consultation, création et modification des données est mise en place. A cet égard, elle recommande que des mesures soient mises en œuvre pour assurer l’intégrité des traces et que tout administrateur en mesure de consulter les traces des accès n’accède pas aux données de DataJust .
S’agissant du recours aux services de sous-traitants amenés à traiter des données à caractère personnel, la Commission observe que le ministère a prévu d’encadrer les opérations confiées à ceux-ci au moyen d'un contrat fixant des objectifs de sécurité et s'assurant que ceux-ci disposent des compétences et des capacités nécessaires à leur atteinte. Le contrat précise également que le sous-traitant ne peut agir que sur ordre et pour le compte du responsable de traitement, et détaille les modalités de restitution ou de destruction des données à l'issue du contrat.
Enfin, la Commission estime qu’il apparaît indispensable que le niveau de sécurité prévu soit suffisamment élevé pour limiter la vraisemblance d’occurrence d’un incident. Cela inclut, notamment, la rédaction et la mise en œuvre d’une politique de mise à jour efficace des solutions utilisées a minima en ce qui concerne les mises à jour de sécurité et la mise en œuvre de mesures compensatoires pour éviter qu’un poste de travail ayant des droits administrateur ne puisse être utilisé comme vecteur d’attaque de la base de données.
Sous réserve de la prise en compte des précédentes remarques et de leur correcte mise en œuvre, la Commission considère que les mesures de sécurité choisies par le responsable de traitement sont conformes à l’exigence de sécurité prévue par les articles 5-1.f) et 32 du RGPD. La Commission rappelle en tout état de cause que cette obligation nécessite la mise à jour de l’AIPD et de ses mesures de sécurité de façon régulière afin de prendre en compte l’évolution de l’état de l’art.
La Présidente
M.-L. DENIS