La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de MM. Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, Mmes Christine MAUGÜÉ et Isabelle LATOURNARIE-WILLEMS, MM. Alain DRU et Bertrand du MARAIS, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la délibération n° SAN-2021-016 du 24 septembre 2021 adoptée par la formation restreinte à l’encontre […];
Vu les éléments transmis par […]le 18 février 2022 ;
Vu le courrier du 8 février 2023, par lequel le président de la formation restreinte a demandé au rapporteur d’intervenir à nouveau dans la procédure aux fins d’instruction de ces éléments ;
Vu la demande complémentaire de Mme Sophie LAMBREMON, commissaire rapporteure, notifiée […] le 4 avril 2023 ;
Vu le courrier du 16 juin 2023, en réponse à la demande complémentaire, transmis par […] ;
Vu les autres pièces du dossier ;
Après en avoir délibéré lors de la séance du 30 novembre 2023, a adopté la décision suivante :
I. FAITS ET PROCÉDURE
1. La décision no SAN-2021-016 du 24 septembre 2021, notifiée […] le 4 octobre 2021, a enjoint […] de :
" s’agissant du manquement relatif à la licéité du traitement :
ne traiter que les informations visées par […] et uniquement dans le cadre prévu par ce texte, et notamment veiller à l’effacement des données à caractère personnel contenues dans la rubrique " informations spéciales " et à la destruction du " fichier manuel ", à l’exception des fiches pouvant être conservées à des fins archivistiques dans l'intérêt public ou à des fins de recherche scientifique ou historique ;
s’agissant du manquement relatif à la durée de conservation des données, ne conserver des données sous une forme permettant l'identification des personnes concernées que pendant la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, par exemple en mettant en œuvre un système automatisé permettant l’effacement des données à l’expiration des durées prévues par […], en veillant en particulier à ce que ces durées de conservations courent à compter de l’établissement de chaque fiche signalétique et effacer les données dont la durée de conservation est atteinte ;
s’agissant du manquement relatif à l’exactitude des données, prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition, par exemple en mettant en place une procédure normalisée et généralisée à l’ensemble des juridictions visant à ce que toutes les décisions juridictionnelles définitives soient répercutées dans le […], et notamment :
s’agissant de l’effacement de plein droit, s’assurer que l’ensemble des décisions de relaxe, d’acquittement et de correctionnalisation, même partielles, soient répercutées dans le […] ;
s’agissant de l’effacement de principe, s’assurer que l’ensemble des décisions de non-lieu et de classement sans suite pour absence d'infraction ou insuffisance de charges ou pour auteur inconnu soient répercutées dans le […], sans décision expresse contraire du procureur de la République compétent ;
s’agissant du manquement relatif à la sécurité des données, mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque :
en imposant par exemple que l’accès au […] nécessite une connexion à l’aide de la carte-agent et d’un code PIN ;
en veillant à ne traiter de données à caractère personnel que dans les conditions sécurisées définies pour la mise en œuvre du fichier central du […] à l’issue des opérations de signalisation, notamment dans les locaux de signalisation, par exemple en donnant des instructions en ce sens aux services en charge de la collecte des données.
s’agissant du manquement relatif à l’information des personnes, s’assurer qu’une information conforme aux exigences de l’article 104 de la loi no 78-17 du 6 janvier 1978 est fournie aux personnes concernées ; "
2. Ces injonctions étaient assorties d’un délai de mise en conformité expirant le 31 octobre 2021 et par dérogation le délai de mise en conformité visant le manquement relatif à la durée de conservation des données du seul " fichier manuel " expirerait le 31 décembre 2022.
3. Le 18 février 2022, […] a adressé au président de la formation restreinte des éléments en vue de justifier sa mise en conformité, relatifs à la transmission des décisions de classement sans suite par les magistrats du parquet et l’effacement des données contenues dans le […] (ci-après " le […] "), à la mise en œuvre de mesures proscrivant la conservation des relevés signalétiques et des clichés de signalisation en dehors du […] et préconisant leur suppression ainsi qu’à la modification des mentions d’information.
4. Par courrier du 8 février 2023, le président de la formation restreinte a, sur le fondement de l’article 44 du décret n°2019-536 du 29 mai 2019, demandé à la rapporteure d’intervenir à nouveau aux fins d’instruction de ces éléments.,
5. Dans ce but, après une analyse notifiée […] le 4 avril 2023, la rapporteure a demandé […] de lui fournir, dans un délai de deux mois, des éléments d’informations complémentaires.
6. Par courrier du 16 juin 2023, […] a apporté les précisions demandées.
II. MOTIFS DE LA DECISION
7. Sur la licéité du traitement, la formation restreinte relève d’abord qu’il ressort des éléments fournis par […] que la modification du décret du 8 avril 1987 portant création du FAED et l’analyse d’impact relative à la protection des données correspondantes sont en cours d’instruction et de finalisation. La formation restreinte relève que […] indique que la nouvelle version du décret prévoira expressément la collecte du […]. La formation restreinte relève que la CNIL a été saisie d’une demande d’avis relative à la nouvelle version du décret et considère que la régularisation du traitement est en cours. Ensuite, la formation restreinte relève qu’il ressort des éléments fournis par […] que l’effacement de l’ensemble des fiches de signalisation papier était réalisé au 24 avril 2023. La formation restreinte considère que les mesures énoncées permettent de considérer que […] s’est conformé à l’injonction sur ce point.
8. Sur la durée de conservation des données, la formation restreinte relève que […] indique avoir mis en place un apurement semi-automatisé hebdomadaire des données dont la date de conservation est dépassée et que ce délai court désormais à compter de l’établissement de chaque fiche de signalisation. La formation restreinte relève également qu’il ressort des éléments fournis par […] que l’ensemble des signalisations dont la date d’expiration est dépassée seront supprimées à partir de la fin du troisième trimestre 2023. Elle considère que ces mesures permettent de considérer que les données à caractère personnel sont conservées uniquement pendant la durée nécessaire au regard des finalités pour lesquelles elles sont traitées.
9. Sur l’exactitude des données traitées, la formation restreinte relève qu’il ressort des éléments fournis par […] qu’un nouveau modèle de " fiche navette " a été mis en place depuis une dépêche n° […] permettant […] d’être correctement informé des décisions prises par les autorités judiciaires afin de les répercuter dans le […] et que la création d’un réseau de référents dédiés dans les parquets est prévue. Elle considère que ces mesures permettent de garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour, soient effacées ou rectifiées sans tarder.
10. Sur la sécurité des données traitées, la formation restreinte relève d’abord qu’il ressort des éléments fournis par […] que, depuis octobre 2021, il est imposé que l’accès au […] soit fait au moyen de la carte agent associée à un code PIN […]. Ensuite, la formation restreinte relève qu’il ressort des éléments fournis par […] que des instructions ont été communiquées par le service national de police scientifique, préconisant la suppression des clichés de signalisation conservés en format papier ou informatique en dehors du […] ainsi que des relevés signalétiques conservés en dehors du […]. La formation restreinte considère que ces mesures permettent de garantir un niveau de sécurité adapté au risque.
11. Sur l’information des personnes, la formation restreinte relève qu’il ressort des éléments fournis par […] qu’une instruction a été diffusée le 30 mai 2023 par la direction générale de la police nationale à l’ensemble de ses services, comportant une affiche informative à apposer dans tous les lieux accessibles au public et en particulier les lieux privatifs de liberté. La formation restreinte relève que si cette affiche reprend bien les informations figurant à l’article 104 de la loi du 6 janvier 1987 relative à l’informatique, aux fichiers et aux libertés, elle renvoie cependant à la consultation d’une rubrique intitulée " rubrique protection des données ", inexistante sur le site web […]. La formation restreinte relève néanmoins l’existence, sur ce site web, d’une rubrique intitulée " Politique de confidentialité " dont le contenu porte sur la protection des données. La formation restreinte invite donc […] à modifier l’intitulé de la rubrique relative à la protection des données visée par l’affiche informative afin qu’elle corresponde à celui mentionné sur le site internet […]. Sous réserve de cette modification, la formation restreinte considère que […] s’est conformé à l’injonction sur ce point.
12. Au regard de l’ensemble de ces éléments, la formation restreinte considère que […] a satisfait aux injonctions.
13. La présente décision sera rendue publique comme l’avait été la délibération no SAN-2021-016 du 24 septembre 2021.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide :
- de clore la procédure d’injonction ;
- de rendre publique, sur le site de la CNIL et sur le site de Légifrance, la présente délibération qui n’identifiera plus nommément […] à l’expiration d’un délai de trois mois à compter de sa publication.
Le président
Alexandre LINDEN