La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des armées d'une demande d'avis concernant un projet de décret modifiant les dispositions du code de la défense relatives à la sécurité des traitements de données à caractère personnel dont la finalité est fondée sur la qualité de militaire ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu le code de la défense, notamment son article L. 4123-9-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11 ;
Vu la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale, notamment son article 117 ;
Vu la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, notamment son article 18 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2016-388 du 8 décembre 2016 portant avis sur un projet de décret portant application de l'article L. 4123-9-1 du code de la défense ;
Vu la délibération n° 2018-284 du 21 juin 2018 portant avis sur un projet de décret pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;
Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre des armées d'une demande d'avis portant sur un projet de décret modifiant les dispositions du code de la défense relatives à la sécurité des traitements de données à caractère personnel dont la finalité est fondée sur la qualité de militaire.
La loi n° 2016-731 du 3 juin 2016 susvisée a inséré un article L. 4123-9-1 au sein de la quatrième partie du code de la défense, lequel vise à définir les conditions dans lesquelles les traitements précités, automatisés ou non, peuvent être mis en œuvre. Dans sa rédaction initiale, cet article prévoyait, au titre de ces mêmes conditions, l'accomplissement d'une demande d'autorisation auprès de la Commission nationale de l'informatique et les libertés, la réalisation systématique d'une enquête administrative sur le responsable de traitement ainsi que sur les personnes ayant accès audit traitement et la possibilité d'imposer le respect de prescriptions techniques particulières. Cet article prévoyait également qu'un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés détermine ses modalités d'application.
La commission rappelle qu'elle a ainsi déjà été amenée à se prononcer sur un projet de décret portant application de l'article L. 4123-9-1 du code de la défense dans sa délibération n° 2016-388 du 8 décembre 2016. Elle relève que la présente saisine vise uniquement à tenir compte de l'évolution du cadre juridique relatif à la protection des données à caractère personnel et, en particulier, de l'entrée en vigueur du règlement général sur la protection des données à caractère personnel (RGPD).
Dans ce contexte, elle relève que la loi n° 2018-493 du 20 juin 2018 a modifié l'article L. 4123-9-1 du code de la défense lequel ne fait désormais plus référence ni au régime d'autorisation, ni à la possibilité d'imposer le respect de prescriptions techniques particulières. De la même manière, dans sa rédaction actuelle, cet article prévoit désormais la réalisation, de manière facultative, d'une enquête administrative uniquement à l'égard des personnes pouvant accéder aux données et ce, aux seules fins d'identifier si ces personnes constituent une menace pour la sécurité des militaires concernés. Il maintient également la procédure de demande d'avis auprès de la Commission nationale de l'informatique et des libertés sur le décret en Conseil d'Etat qui doit préciser ses modalités d'application. La commission rappelle que cet avis, en application de l'article 11-4° a de la loi du 6 janvier 1978 modifiée, doit être publié.
Sur le périmètre des traitements concernés :
L'article 1er du projet de décret vise à modifier l'article R. 4123-45 du code de la défense en supprimant du périmètre du dispositif concerné, les traitements qui exigeaient en plus de la collecte de données personnelles d'identification et de la collecte d'au moins une donnée révélant à sa seule lecture la qualité de militaire, la collecte d'au moins une information relative à la vie privée telle que l'adresse ou la composition de la famille.
La commission relève que sont désormais uniquement concernés les traitements dont la finalité exige, outre la collecte de données personnelles d'identification, la collecte d'au moins une donnée révélant, à sa seule lecture, la qualité de militaire. Si elle prend acte que cette nouvelle rédaction vise à rappeler qu'un responsable de traitement ne pourra conserver la mention de la qualité de militaire des personnes dont les données sont traitées que si celle-ci est strictement nécessaire à l'une des finalités poursuivie par le traitement mis en œuvre, conformément aux dispositions de l'article 5 du RGPD, la commission relève qu'elle n'apporte aucune précision sur les traitements effectivement visés. Compte tenu du nombre extrêmement important de fichiers potentiellement concernés, elle réitère les réserves formulées dans le cadre de sa précédente délibération sur ce point. La commission insiste d'autant plus sur la nécessité de clarifier les critères définissant le périmètre des traitements relevant du présent dispositif que le premier alinéa de l'article L. 4123-9-1 (I) du code de la défense vise à déterminer le régime général applicable aux traitements de données personnelles dont la finalité est fondée sur la qualité de militaire sans se limiter aux seuls traitements qui relèveraient du champ d'application du RGPD.
Sur la modification des articles R. 4123-46 à R. 4123-51 du code de la défense :
L'article 1er du projet de décret vise également à modifier les dispositions des articles R. 4123-46 à R. 4123-51 du code de la défense.
En premier lieu, la commission rappelle que, dans sa rédaction initiale, l'article L. 4123-9-1 du code de la défense prévoyait que les traitements dont la finalité est fondée sur la qualité de militaire fassent l'objet d'une demande d'autorisation qui lui serait adressée. Il prévoyait également que préalablement à son autorisation, la Commission nationale de l'informatique et des libertés puisse recueillir l'avis du ministre compétent, cet avis étant rendu à la suite d'une enquête administrative. L'article R. 4123-46 du code de la défense se rapportait ainsi aux conditions dans lesquelles cet avis était rendu.
Or, la commission relève que, dans sa rédaction actuelle, l'article L. 4123-9-1 du code de la défense prévoit que les responsables de traitements informent le ministre compétent de la mise en œuvre des traitements comportant la qualité de militaire. Il prévoit également qu'une enquête administrative peut être réalisée à l'égard des seules personnes accédant aux données à caractère personnel de militaires. Dans ces conditions, l'article R. 4123-46 tel qu'envisagé par le présent projet de décret vise à préciser les contours de cette obligation d'information.
La commission relève ainsi qu'il est prévu qu'une information soit adressée sans délai à la direction du renseignement et de la sécurité de la défense (DRSD) par le responsable de traitement. La commission observe que la DRSD constitue « le service de renseignement dont dispose le ministère de la défense pour assumer ses responsabilités en matière de sécurité du personnel, des informations, du matériel et des installations sensibles » conformément aux dispositions de l'article D. 3126-5 du code de la défense. Elle relève également que si, au regard des missions confiées à la DRSD, le principe d'une information adressée par le responsable de traitement n'appelle pas d'observation particulière, aucune précision ne permet de déterminer le personnel qui en sera effectivement destinataire. La commission considère dès lors que le projet de décret devrait être modifié afin qu'il soit fait mention du fait que seules les personnes chargées du recueil de ces informations, au regard de leurs missions et dans la limite du besoin d'en connaitre, peuvent être informées par les responsables de traitement de la mise en œuvre d'un traitement de données personnelles dont la finalité est fondée sur la qualité de militaire.
La commission relève par ailleurs que cette information à la DRSD devra s'accompagner d'une description des principales caractéristiques du traitement projeté à savoir, les finalités poursuivies, les catégories de données collectées, les éventuels destinataires des données collectées, les mesures techniques et organisationnelles envisagées ainsi que le nombre de personne accédant aux données collectées relatives à des militaires, ce qui n'appelle pas d'observation particulière. Elle considère toutefois que cette information devrait être complétée du nom du service auprès duquel les personnes concernées sont susceptibles d'exercer leurs droits et estime que le projet de décret devrait être complété en ce sens.
En deuxième lieu, il est prévu que les personnes accédant aux données à caractère personnel de militaires sont informées de la possibilité de faire l'objet d'une enquête administrative par la DRSD et, à ce titre, de la consultation possible par des agents spécialement habilités et individuellement désignés de traitements de données relevant de l'article 26 de la loi du 6 janvier 1978 modifiée (nouvel article R. 4123-47 du code de la défense).
La commission rappelle que, dans sa rédaction actuelle, l'article L. 4123-9-1 du code de la défense énonce que « les personnes accédant aux données à caractère personnel de militaires peuvent faire l'objet d'une enquête administrative aux seules fins d'identifier si elles constituent une menace pour la sécurité des militaires concernés ». Elle relève ainsi que, contrairement aux dispositions initialement applicables, il n'est pas précisé si l'enquête administrative dont il est question sera nécessairement diligentée préalablement à cet accès ni les raisons qui pourraient conduire à la réalisation d'une telle enquête. La commission considère que le projet de décret devrait être modifié en ce sens.
Le nouvel article R. 4123-47 du code de la défense prévoit également que « la direction du renseignement et de la sécurité de la défense informe sans délai le responsable de traitement lorsque l'enquête administrative révèle l'existence d'une menace pour la sécurité des militaires concernés. Lorsque l'enquête administrative révèle l'existence d'une telle menace, le responsable de traitement justifie sans délai auprès de la direction du renseignement et de la sécurité de la défense qu'il a pris les mesures nécessaires afin que la personne concernée n'ait plus accès aux données à caractère personnel ». Cette modification n'appelle pas d'observation particulière.
En troisième lieu, le présent projet de décret prévoit qu'en cas de divulgation ou d'accès non autorisé à des traitements contenant des données parmi lesquelles figurent la mention de qualité de militaire, le responsable de traitement avertit sans délai la DRSD afin que les services compétents du ministère de la défense évaluent si la notification de cette divulgation ou de cet accès non autorisé est susceptible de représenter un risque pour la sécurité nationale, la défense ou la sécurité publique (nouvel article R. 4123-48 du code de la défense).
Ce même article prévoit que la Commission nationale de l'informatique et des libertés est tenue informée de cette évaluation des risques par le délégué à la protection des données du ministère de la défense.
La commission relève que cette modification vise à tenir compte de la nouvelle rédaction de l'article L. 4123-9-1 du code de la défense qui énonce que « sans préjudice du 1 de l'article 33 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, en cas de divulgation ou d'accès non autorisé à des données des traitements mentionnés au I du présent article, le responsable du traitement avertit sans délai le ministre compétent ». Elle rappelle en effet que, dans sa rédaction initiale cet article prévoyait une information sans délai de la Commission nationale de l'informatique et des libertés par le responsable de traitement, laquelle procédait à l'information du ministre compétent.
La commission relève qu'il est désormais prévu qu'en sus du respect des règles de droit commun prévues à l'article 33 du RGPD, relatif à la notification à l'autorité de contrôle d'une violation de données à caractère personnel, le responsable de traitement informe la DRSD d'une divulgation ou d'un accès non autorisé à des traitements dont la finalité est fondée sur la qualité de militaire. Elle relève également que cet article ne prévoit plus l'obligation d'information du ministre compétent par la Commission nationale de l'informatique et des libertés lorsque cette dernière sera informée, directement par le responsable du traitement, d'une divulgation ou d'un accès non autorisé à des données des traitements.
La commission relève également que l'article R. 4123-48 tel qu'envisagé par le projet de décret prévoit que les services compétents du ministère de la défense évaluent si la notification de la divulgation ou de l'accès non autorisé est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. A cet égard, elle rappelle que ce critère doit faire l'objet d'une interprétation stricte, afin de limiter aux seuls cas nécessaires, l'absence d'information des personnes concernées.
La commission relève que les traitements de données à caractère personnel dont la finalité est fondée sur la qualité de militaire ne sont pas, en tant que tels, autorisés à déroger au droit à la communication d'une violation de données. Elle rappelle en effet que les dispositions de l'article 91-2-1 du décret n° 2005-1309 du 20 octobre 2005 susvisé prévoient que sont autorisés à déroger au droit à la communication d'une violation de données, dans les conditions prévues au III de l'article 40 de la loi du 6 janvier 1978 tel que modifié par l'article 24 de la loi n° 2018-493 du 20 juin 2018, « les traitements comportant des données à caractère personnel susceptibles de permettre, directement ou indirectement, d'identifier des personnes dont l'anonymat est protégé au titre de l'article 39 sexies de la loi du 29 juillet 1881 sur la liberté de la presse ». La commission rappelle que figurent parmi ces personnes les seuls militaires appartenant à des services ou unités désignés par arrêté du ministre intéressé et dont les missions exigent, pour des raisons de sécurité, le respect de l'anonymat.
Dans ces conditions, la commission considère qu'afin d'assurer une meilleure lisibilité du dispositif prévu, le projet de décret pourrait utilement préciser le périmètre de cette dérogation au droit à la communication d'une violation de même que son articulation avec les différentes dispositions précitées ainsi que les critères permettant de caractériser un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
Enfin, la commission relève qu'il est prévu qu'elle soit tenue informée de l'évaluation des risques qui sera effectuée par le délégué à la protection des données du ministère de la défense, sans autre précision. Elle prend acte que, à sa demande, le projet de décret sera modifié afin de prévoir expressément que cette information est effectuée sans délai par le délégué à la protection des données. La commission considère toutefois que cette information devra par ailleurs s'accompagner de la transmission de tout document utile afin de lui permettre d'apprécier l'évaluation des risques réalisée par le délégué à la protection des données. Elle demande que le présent projet de décret soit modifié en ce sens.
Sur la date d'entrée en vigueur du présent projet de décret :
La commission relève qu'il est prévu que les dispositions du présent projet de décret entrent en vigueur au 1er avril 2019. Elle rappelle que, jusqu'à la modification des dispositions réglementaires du code de la défense, les dispositions telles qu'actuellement prévues à l'article R. 4123-51, demeurent applicables et ce, sans préjudice notamment de l'application des dispositions résultant du RGPD.
Il résulte en particulier de ce qui précède que, dans l'attente de l'entrée en vigueur des dispositions prévues par le présent projet de décret, la commission continuera d'informer le ministre compétent lorsqu'elle sera informée, directement par le responsable du traitement ou dans le cadre de ses contrôles, d'une divulgation ou d'un accès non autorisé à traitements de données personnelles dont la finalité est fondée sur la qualité de militaire. Le cas échéant, elle rappellera également au responsable de traitement son obligation légale d'informer le ministre compétent au cas où celui-ci ne l'aurait pas été, conformément aux dispositions de l'article L. 4123-9-1 du code de la défense.Liens relatifs
Pour la présidente :
Le vice-président délégué,
M.-F. Mazars