La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'une demande d'avis concernant un projet d'arrêté relatif à la mise en œuvre d'un traitement de données à caractère personnel dénommé « nouvelle main courante informatisée » (N-MCI) ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le code de l'action sociale et des familles, notamment son article L. 121-1-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 26 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 24 février 1995 autorisant la création dans les commissariats de police d'un traitement automatisé du registre dit de main courante ;
Vu l'arrêté du 21 janvier 2008 portant création d'un traitement automatisé de données à caractère personnel dénommé PEGASE ;
Vu la délibération n° 92-036 du 31 mars 1992 portant avis sur un traitement automatisé d'informations nominatives mis en œuvre par le ministère de l'intérieur relatif à la gestion automatisée des registres de main courante tenus par les commissariats de police ;
Vu la délibération n° 94-005 du 8 février 1994 portant avis sur un projet d'acte réglementaire présenté par le ministère de l'intérieur autorisant la création dans les commissariats de police d'un traitement automatisé du registre dit de « main courante » ;
Après avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations ;
Emet l'avis suivant :
La commission a été saisie par le ministère de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'une demande d'avis concernant un projet d'arrêté relatif à la mise en œuvre d'un traitement de données à caractère personnel dénommé « nouvelle main courante informatisée » (N-MCI).
Ce traitement a vocation à remplacer la main courante informatisée (MCI) des commissariats de police créée par l'arrêté du 24 février 1995 susvisé pris après avis de la CNIL.
Sur la finalité du traitement :
Le traitement N-MCI permettra de faciliter le traitement des déclarations des usagers et des événements traités par les services de police pour assurer une meilleure efficacité des interventions, de faciliter la direction opérationnelle des services de police et de leurs agents ainsi que le contrôle et l'évaluation de leur activité, d'améliorer la qualité de l'accueil du public et de produire des statistiques sur l'activité des services.
La commission rappelle que la multiplication des finalités d'un même traitement peut nuire à leur caractère déterminé, explicite et légitime exigé par l'article 6 (2°) de la loi du 6 janvier 1978 modifiée. Pour autant, elle prend note que, comme le traitement MCI jusqu'alors, le traitement N-MCI s'inscrit dans une finalité plus globale de suivi de l'activité des services de police.
Sur la nature des données traitées :
Le traitement N-MCI portera sur des données relatives aux agents des services de la police nationale, aux personnes ayant déposé en main courante ou étant concernées par un événement traité par les services de police et aux usagers accueillis dans les services de police. Les catégories de données traitées, précisées dans une annexe jointe au projet d'arrêté, apparaissent justifiées au regard de la finalité poursuivie par le traitement.
S'agissant spécifiquement des agents des services de la police nationale, la commission prend acte que le traitement ne portera que sur des données objectives relatives à l'activité des personnels et qu'aucune appréciation hiérarchique n'y sera enregistrée.
Concernant les usagers ayant effectué une déclaration ou étant concernés par un événement traité par les services de police, il apparaît que le projet d'arrêté ne mentionne pas explicitement dans l'annexe prévue à cet effet le traitement des données relatives au contenu des « déclarations des usagers » et des « événements traités par les services de police », alors même que ces données sont effectivement enregistrées.
La commission note par ailleurs que ces données relatives aux « déclarations » et « événements » pourront concerner un très grand nombre de situations. A cet égard, elle rappelle que la forme juridique et la rédaction du projet de texte qui lui a été soumis ne permettent pas au traitement de porter sur des données « sensibles » relevant de l'article 8 de la loi du 6 janvier 1978 modifiée, à savoir celles faisant apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou la vie sexuelle de celles-ci.
En tout état de cause, la commission prend acte qu'il sera impossible d'effectuer des recherches par mots-clefs sur le contenu des déclarations actées ou du compte rendu des événements traités.
Sur la durée de conservation des données :
Les données relatives aux personnels de la police nationale seront conservées jusqu'au terme de l'affectation de l'agent dans sa direction d'emploi, à l'exception de celles concernant le contrôle et l'évaluation de l'activité qui sont détruites au terme d'un délai de cinq ans à compter de leur enregistrement.
Les données relatives aux personnes ayant effectué une déclaration ou étant concernées par un événement traité par les services de la police nationale seront conservées durant cinq ans à compter de leur enregistrement. La commission note que cette durée se justifie notamment par l'éventuelle utilisation judiciaire de ces informations, principalement en matière correctionnelle (déclarations relatives à des faits liés à une infraction pénale, événements traités par la police nationale dont les agents sont mis en cause, etc.).
Enfin, les données qui concernent les personnes accueillies dans les services de police seront anonymisées au terme d'une durée d'une année à compter de leur enregistrement.
Sur les destinataires des données :
A l'inverse du traitement MCI qui est composé de fichiers localement mis en œuvre dans les commissariats de police, le traitement N-MCI reposera sur une centralisation des données au niveau national et sera mis en œuvre par plusieurs services centraux de la direction générale de la police nationale (DCSP, DCPAF, DCCRS) et de la préfecture de police (DSPAP, DOPC et DOSTL) dont les personnels accéderont directement au traitement.
Cette extension du nombre des destinataires et des données qui leur sont accessibles est cependant limitée par l'existence d'une politique élaborée de profils d'accès aux données. En effet, en fonction de la direction à laquelle il est rattaché, de sa position hiérarchique et de ses fonctions, un utilisateur n'accédera qu'à certaines données du traitement N-MCI en consultation, voire en modification. Ainsi, un agent de la police nationale affecté au sein d'une circonscription de sécurité publique ne pourra modifier que les informations enregistrées par sa circonscription, mais accédera en consultation aux données enregistrées par toutes les circonscriptions de la direction départementale de la sécurité publique dont il dépend, à l'exclusion de toute donnée provenant d'une autre direction départementale.
La commission prend acte que, dans chaque direction centrale mettant en œuvre le traitement, certains agents de la police nationale accéderont à l'ensemble des données traitées au sein de leur direction au niveau national, en application du principe de visibilité hiérarchique, à des fins de production statistique.
En revanche, la commission relève qu'il était initialement prévu de permettre à l'Office central pour la répression de l'immigration irrégulière et de l'emploi des étrangers sans titre (OCRIEST) d'accéder avec une visibilité nationale à certaines données dans le cadre de ses missions de coordination du recueil et de la centralisation du renseignement et de la lutte contre le crime organisé. La commission prend acte qu'à sa demande, et conformément aux finalités précitées du traitement, un tel accès ne sera finalement pas mis en œuvre.
Par ailleurs, le projet d'arrêté prévoit que les agents de la police nationale n'accédant pas directement au traitement ainsi que les militaires de la gendarmerie nationale justifiant d'un besoin d'en connaître pourront être destinataires des données. La communication des données devra alors être précédée d'une demande expresse hiérarchiquement validée précisant l'identité du consultant, l'objet et les motifs de la consultation.
De la même manière, dans le cadre de la prise en charge des personnes en difficulté, les intervenants sociaux affectés au sein des commissariats de police, dans les conditions prévues par l'article L. 121-1-1 du code de l'action sociale et des familles, pourront être destinataires des données sans accéder directement au traitement.
Sur l'information des personnes :
Les personnes dont les données sont traitées seront informées dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée.
A ce titre, les personnels de la police nationale se verront informés par voie d'affichage dans les locaux des services de police, un document mentionnant cette information pouvant en outre leur être remis sur simple demande.
Les personnes accueillies dans un service de police seront destinataires d'une information délivrée par voie d'affichage dans les parties accessibles au public des locaux des services de police. En outre, s'agissant spécifiquement des personnes déposant en main courante, une mention d'information sera insérée sur le récépissé qui leur est remis.
Enfin, les personnes concernées par un événement traité par les services de police seront destinataires d'une information orale, un document mentionnant cette information pouvant en outre leur être remis sur simple demande. La commission considère que l'effectivité de cette information orale pourrait s'avérer aléatoire dans le cadre du traitement des événements par les agents de la police nationale, notamment dans le cadre de leurs interventions quotidiennes. Par conséquent, elle recommande une vigilance accrue quant à l'effectivité de l'information par affichage dans les parties accessibles au public des locaux de la police nationale.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les personnes dont les données sont traitées pourront exercer leurs droits d'accès et de rectification directement auprès des services de la police nationale, conformément à l'alinéa 4 de l'article 41 de la loi du 6 janvier 1978 modifiée.
Le projet d'arrêté précise que les agents de la police nationale devront saisir leur service d'affectation alors que les autres personnes (personnes déposant en main courante, personnes concernées par un événement traité par les services de la police nationale, personnes accueillies dans un service de la police nationale) devront formuler leur demande auprès du service de police compétent. La commission prend acte que ce service est, plus précisément, celui qui a reçu la personne ou traité l'événement.
En tout état de cause, la commission prend acte que, indépendamment des règles régissant le droit d'accès aux données, toute personne déposant en main courante pourra obtenir copie de sa déposition sur simple demande.
Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au traitement N-MCI.
Sur les interconnexions, rapprochements et autres mises en relation :
La commission prend acte que, dans le cadre de la gestion des événements traités par les services de police, le traitement N-MCI sera interconnecté avec le traitement PEGASE (pilotage des événements, gestion de l'activité et sécurisation des équipages). Ce traitement, régi par l'arrêté du 21 janvier 2008 susvisé, est mis en œuvre au sein des centres d'information et de commandement de la police nationale, notamment pour gérer les sollicitations téléphoniques (appels du « 17 ») et la transmission des missions sur les terminaux embarqués dans les véhicules de patrouille géolocalisés.
La commission considère que cette interconnexion est justifiée par les finalités de ces traitements et que ses conditions techniques de mise en œuvre sont satisfaisantes.
Sur la sécurité des données et la traçabilité des actions :
Le traitement N-MCI sera déployé sur le réseau privatif du ministère de l'intérieur. Les communications entre les postes de travail et le serveur hébergeant cette application garantissent la confidentialité des opérations. L'accès au traitement suppose l'identification préalable de l'utilisateur par son matricule, puis son authentification par la saisie d'un mot de passe. La commission prend acte que le ministère a récemment diffusé dans ses services des directives relatives à la robustesse des mots de passe et au verrouillage automatique des postes informatiques. Elle recommande cependant un blocage du compte de l'utilisateur après un certain nombre de tentatives de connexion à partir de codes d'accès erronés.
Concernant la traçabilité des actions, le projet d'arrêté indique que les consultations font l'objet d'un enregistrement comportant l'identification du consultant, la date et l'heure de la consultation, ces informations étant conservées durant trois ans. La commission souligne l'importance de ces mesures de traçabilité des consultations. Elle note cependant que ces mesures ne permettent pas de conserver des informations relatives à l'objet des consultations ainsi qu'aux éventuelles actions de modification ou d'impression.
S'agissant des consultations indirectes par les agents de la police nationale n'accédant pas directement au traitement, par les militaires de la gendarmerie nationale et par les travailleurs sociaux affectés dans les commissariats de police, la commission prend acte que chaque communication d'information dans ce cadre fera l'objet d'une journalisation mentionnant la date de transmission, le destinataire des données et les motifs de la demande. La commission recommande en outre la conservation de l'objet de la demande et que l'ensemble de ces informations soit conservé durant trois ans.Liens relatifs
Le président,
A. Türk