Délibération n° 2012-085 du 22 mars 2012 portant avis sur un projet de décret modifiant des décrets portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique et d'un traitement de données à caractère personnel relatif à la gestion de l'information et à la prévention des atteintes à la sécurité publique (demande d'avis n° AV 12005915)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'une demande d'avis concernant un projet de décret portant modification des décrets portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique et d'un traitement de données à caractère personnel relatif à la gestion de l'information et à la prévention des atteintes à la sécurité publique ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26 et 30 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2009-1249 du 16 octobre 2009 modifié portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique ;
Vu le décret n° 2011-340 du 29 mars 2011 portant création d'un traitement de données à caractère personnel relatif à la gestion de l'information et la prévention des atteintes à la sécurité publique ;
Vu la délibération n° 2009-355 du 11 juin 2009 portant avis sur un projet de décret en Conseil d'Etat portant création de l'application relative à la prévention des atteintes à la sécurité publique ;
Vu la délibération n° 2010-456 du 9 décembre 2010 portant avis sur un projet de décret en Conseil d'Etat autorisant la création du traitement de données à caractère personnel relatif à la gestion de l'information et la prévention des atteintes à la sécurité publique ;
Après avoir entendu M. Jean-Marie COTTERET, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre de l'intérieur, de l'outre-mer, des collectivités locales et de l'immigration d'un projet de décret portant modification des décrets portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique et d'un traitement de données à caractère personnel relatif à la gestion de l'information et à la prévention des atteintes à la sécurité publique.
Ce projet de décret vise ainsi à modifier les dispositions du décret n° 2009-1249 du 16 octobre 2009 modifié relatif au traitement PASP mis en œuvre par la direction générale de la police nationale et du décret n° 2011-340 du 29 mars 2011, relatif au traitement GIPASP mis en œuvre par la direction générale de la gendarmerie nationale. La modification envisagée concerne les « origines géographiques » des personnes concernées : il s'agit de mentionner ces données aux articles 2 des deux décrets, relatifs aux données enregistrées dans ces traitements, et non à leurs articles 3 qui concernent plus spécifiquement les données dites sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée.
Ces traitements intéressant la sécurité publique ont été créés par décret en Conseil d'Etat pris après avis de la commission, en application des dispositions du II de l'article 26 de la loi du 6 janvier 1978 modifiée. La modification des décrets n° 2009-1249 du 16 octobre 2009 modifié et n° 2011-340 du 29 mars 2011 doit dès lors, en application des dispositions des articles 26 et 30 de la même loi, faire l'objet d'un décret en Conseil d'Etat pris après avis publié et motivé de la commission.



  • Rappels sur les traitements PASP et GIPASP


    La Commission rappelle que la création du traitement PASP est intervenue dans le cadre de la réforme des services de renseignement menée en 2008. En effet, à l'issue du retrait, le 19 novembre 2008, du traitement EDVIGE créé par le décret n° 2008-632 du 27 juin 2008, la commission avait été saisie le 19 septembre 2008 d'un nouveau projet de décret portant création de l'application EDVIRSP. Souhaitant répondre à certaines des réserves et observations de la commission, le ministère a finalement présenté deux projets de décret remplaçant le projet de décret EDVIRSP, relatifs aux traitements PASP et EASP, lesquels ont fait respectivement l'objet des décrets n° 2009-1249 du 16 octobre 2009 et n° 2009-1250 du 16 octobre 2009, pris avec avis de la commission.
    La finalité du traitement PASP, mis en œuvre par la direction générale de la police nationale, est de recueillir et d'analyser des données à caractère personnel concernant des personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique. Il s'agit ainsi d'un traitement ne comportant qu'une finalité de renseignement, dont les données peuvent en outre être consultées dans le cadre des enquêtes administratives prévues par le premier et le troisième alinéa de l'article 17-1 de la loi du 21 janvier 1995 modifiée.
    Dans le cadre de sa mission de renseignement, la gendarmerie nationale s'est dotée par la suite d'un traitement similaire à celui mis en œuvre par la police nationale. Le décret n° 2011-340 du 29 mars 2011 portant création du traitement GIPASP présente ainsi de très fortes similitudes avec le décret concernant le traitement PASP, le ministère de l'intérieur ayant souhaité disposer d'un cadre juridique identique pour ces deux traitements visant à prévenir les atteintes à la sécurité publique, notamment les actions de violence collectives, en particulier en milieu urbain ou à l'occasion de manifestations sportives.
    Sur les modifications envisagées et la notion d'origine géographique :
    La commission rappelle que l'interdiction de traiter des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée s'applique aux traitements PASP et GIPASP, comme le prévoit le premier alinéa de l'article 3 des deux décrets concernés. Ce n'est que par dérogation que la collecte, la conservation et le traitement de certaines de ces données sont autorisés, dans la seule mesure où de telles données sont nécessaires aux finalités de ces traitements et sous certaines conditions. La commission rappelle à cet égard que les données dites sensibles, contrairement aux autres données enregistrées dans les traitements, ne peuvent être utilisées pour sélectionner une catégorie particulière de personnes.
    Aux termes de l'article 3 des deux décrets concernés, les « activités publiques » politiques, philosophiques, religieuses ou syndicales, et non les opinions des personnes concernées, peuvent être enregistrées dans les traitements PASP et GIPASP. En ce qui concerne les données susceptibles de laisser apparaître, directement ou indirectement, l'origine raciale ou ethnique, réelle ou supposée, des personnes concernées, elles sont limitées aux seuls « signes physiques particuliers et objectifs comme élément de signalement des personnes » et aux informations relatives à leur « origine géographique ».
    C'est sur ce dernier point que le ministère de l'intérieur envisage de modifier les décrets n° 2009-1249 et n° 2011-340. En effet, le ministère indique que les informations relatives à l'origine géographique se limitent à l'indication de la provenance des personnes concernées, comme leur quartier de résidence ou leur lieu de naissance. Il estime dès lors que ces données ne relèvent pas de l'article 8 de la loi du 6 janvier 1978 modifiée et prévoit donc de mentionner cette catégorie de données à caractère personnel à l'article 2 des décrets concernés, relatif aux données enregistrées dans ces traitements, et non à leur article 3 qui concerne uniquement les données dites sensibles.
    Dans ses avis concernant la création des traitements PASP et GIPASP, la commission a souhaité que les informations enregistrées au titre de la catégorie « origine géographique » soient précisées. Dans son avis du 11 juin 2009 relatif au traitement PASP relevant que ces informations constituaient une nouvelle catégorie juridique de données, la commission a estimé qu'elles devraient être de nature factuelle et objective, conformément à la jurisprudence du Conseil constitutionnel, telle qu'elle résulte de la décision n° 2007-557 DC du 15 novembre 2007 (loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile).
    Le ministère de l'intérieur a donné suite à cette recommandation. Dans une circulaire du 2 novembre 2009 du directeur général de la police nationale relative aux conséquences des décrets du 16 octobre 2009 (création des traitements PASP et EASP), il a ainsi été précisé que l'origine géographique « ne peut être qu'une donnée factuelle et objective, destinée en particulier à qualifier le principe de cohésion d'une bande criminelle (quartier où cette bande est implantée, appartenance ou "territoire” dont elle se réclame) ». Dans son avis du 9 décembre 2010 concernant la création du traitement GIPASP, la commission a donc pris acte des données enregistrées au titre de la notion d'origine géographique.
    Dans ces conditions, la commission considère que l'indication de l'origine géographique des personnes concernées doit se limiter au lieu de naissance, au quartier de résidence et au territoire d'activité de la bande.
    Elle estime que la modification ainsi entendue, projetée par le ministère de l'intérieur, permettra de préciser davantage le statut des données relatives à l'origine géographique enregistrées dans les traitements PASP et GIPASP. Elle prend acte de la mention aux articles 2 des deux décrets concernés de cette catégorie de données, qui ne sauraient donc faire apparaître, directement ou indirectement, les origines raciales ou ethniques, réelles ou supposées, des personnes concernées.
    Sur le contrôle des traitements PASP et GIPASP :
    Dans ses précédents avis concernant les traitements PASP et GIPASP, la commission a tout particulièrement insisté sur les modalités de contrôle de la mise en œuvre de ces deux traitements. A cet égard, elle relève que les procédures garantissant que les données enregistrées dans ces traitements sont en permanence exactes, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées n'ont pas été définies en partenariat avec la commission, contrairement aux engagements pris par le ministère en 2009 s'agissant du traitement PASP et en 2010 concernant le traitement GIPASP.
    En outre, la commission souligne que le directeur général de la police nationale ne lui a pas encore présenté le rapport annuel portant sur ses activités de vérification, de mise à jour et d'effacement des données enregistrées dans le traitement PASP, notamment celles relatives aux mineurs, pourtant expressément prévu à l'article 10 du décret n° 2009-1249 du 16 octobre 2009 modifié. Elle rappelle que les mêmes dispositions figurent également (à l'exception de la mention concernant les mineurs) à l'article 10 du décret n° 2009-1250 du 16 octobre 2009 modifié relatif au traitement EASP.
    La commission demande donc au ministère de l'intérieur de lui présenter dans les meilleurs délais ces rapports annuels, dont l'élaboration apparaît nécessaire, tant pour le ministère que pour la commission, afin de s'assurer de l'exactitude des informations enregistrées dans ces traitements. Elle rappelle enfin que l'article 10 du décret n° 2011-340 du 29 mars 2011 relatif au traitement GIPASP contient les mêmes dispositions concernant la présentation d'un rapport annuel.


La présidente,
I. Falque-Pierrotin

Extrait du Journal officiel électronique authentifié PDF - 212,7 Ko
Retourner en haut de la page