La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 25-I (3°) et 25-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Après avoir entendu M. Peyrat, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Conformément à la décision du Conseil constitutionnel du 29 juillet 2004, seules les victimes d'infractions susceptibles de faire valoir leurs droits devant une juridiction peuvent procéder à la collecte des données relatives à ces infractions.
Il en résulte que les commerçants peuvent conserver les informations collectées à l'occasion d'infractions pénales lorsque des personnes sont prises sur le fait afin d'envisager l'opportunité et le suivi d'un dépôt de plainte.
Saisie des traitements considérés, la commission est appelée à faire application de l'article 25-I (3°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation « les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées » ;
Elle peut, en outre, en application de l'article 25-II de la loi du 6 janvier 1978 susvisée, adopter une décision unique d'autorisation pour des traitements répondant aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques. Dès lors, le responsable de traitement qui met en œuvre un traitement de données à caractère personnel ayant pour finalité la gestion du contentieux ou du précontentieux est tenu, dans le respect des dispositions de cette décision unique, d'adresser à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation.
Décide que les responsables de traitements qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.
Fait à Paris, le 11 décembre 2008.
Le président,
A. Türk