La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 25-I (3°) et 25-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Vu la délibération n° 2008-491 du 11 décembre 2008 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion précontentieuse des infractions constatées par les commerçants sur les lieux de vente ;
Après avoir entendu M. Peyrat, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Conformément à la décision du Conseil constitutionnel du 29 juillet 2004, seules les victimes d'infractions susceptibles de faire valoir leurs droits devant une juridiction peuvent procéder à la collecte des données relatives à ces infractions.
Il en résulte que les commerçants peuvent conserver les informations collectées à l'occasion d'infractions pénales lorsque des personnes sont prises sur le fait afin d'envisager l'opportunité et le suivi d'un dépôt de plainte.
Saisie des traitements considérés, la commission est appelée à faire application de l'article 25-I (3°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation « les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ».
Elle peut, en outre, en application de l'article 25-II de la loi du 6 janvier 1978 susvisée, adopter une décision unique d'autorisation pour des traitements répondant aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques. Dès lors, le responsable de traitement qui met en œuvre un traitement de données à caractère personnel ayant pour finalité la gestion du contentieux ou du précontentieux tenu, dans le respect des dispositions de cette décision unique, d'adresser à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation.
Décide que les responsables de traitements qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.
Pour le président et par délégation :
Le vice-président délégué,
E. de Givry