La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'information sur les armes » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu la directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017 modifiant la directive 91/477/CEE du Conseil relative au contrôle de l'acquisition et de la détention d'armes ;
Vu le code de la santé publique, notamment son article L. 1110-4 ;
Vu le code de la sécurité intérieure ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 87 et suivants ;
Vu le décret n° 2017-102 du 27 janvier 2017 portant création d'un service à compétence nationale dénommé « Service central des armes » ;
Vu le décret n° 2018-542 du 29 juin 2018 relatif au régime de la fabrication, du commerce, de l'acquisition et de la détention des armes ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 15 novembre 2007 portant création de l'application de gestion du répertoire informatisé des propriétaires et possesseurs d'armes ;
Vu la délibération n° 2006-231 du 17 octobre 2006 portant avis sur le projet de décret en Conseil d'Etat portant création de l'application de gestion du répertoire informatisé des propriétaires et possesseurs d'armes ;
Après avoir entendu Mme Sophie LAMBREMON, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La directive européenne 2017/853 du 17 mai 2017 susvisée modifie la réglementation relative au contrôle de l'acquisition et de la détention d'armes dans un objectif de lutte contre l'utilisation abusive des armes à feu à des fins criminelles. A ce titre, elle fixe des mesures qui visent à encadrer les régimes légaux d'acquisition et de détention des armes à feu, en durcissant notamment les règles applicables pour les armes considérées comme les plus dangereuses, en sécurisant les conditions de vente des armes à feu ainsi qu'en imposant une traçabilité renforcée de celles-ci.
La Commission relève que c'est dans ce contexte qu'elle a été saisie pour avis, sur le fondement de l'article 89 de la loi du 6 janvier 1978 modifiée, d'un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'information sur les armes », ci-après dénommé « SIA ». Ce traitement, mis en œuvre par le service central des armes (SCA) et pour lequel une analyse d'impact sur la vie privée (AIPD) a été transmise, a vocation à constituer l'outil central du contrôle des armes légales en France en s'inscrivant dans une stratégie de renforcement de la sécurité publique, de lutte contre la fraude et de modernisation de l'action de l'Etat.
Elle observe que le « SIA » a vocation à remplacer, à terme, l'application de gestion du répertoire informatisé des propriétaires et possesseurs d'armes (AGRIPPA) sur laquelle la Commission s'est déjà prononcée dans sa délibération du 17 octobre 2006 susvisée. A cet égard, la Commission prend acte des précisions apportées par le ministère selon lesquelles l'ensemble des données enregistrées dans AGRIPPA sera intégré dans le traitement « SIA », permettant, sur la base du nom, du prénom et de la date de naissance de la personne, d'enrichir et de mettre à jour les données la concernant dans « SIA ». A ce titre, elle rappelle que si l'exigence de mise à jour et d'exactitude des données constitue une obligation dont il est essentiel d'assurer le respect, elle ne saurait justifier la conservation pour une durée illimitée des données issues d'AGRIPPA dans le traitement « SIA ».
Compte tenu des finalités poursuivies par le traitement « SIA », qui intéresse la sécurité publique et est pour partie mis en œuvre à des fins de prévention et de constatation d'infractions pénales au sens de la directive 2016/680 du 27 avril 2016 susvisée, la Commission considère qu'il relève à la fois du champ du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de la directive précitée.
Sur les finalités du traitement :
La Commission relève que les différentes finalités mentionnées à l'article 1er du projet de décret doivent permettre d'assurer la gestion et le suivi de l'ensemble des titres, autorisations et avis délivrés en matière d'armes ainsi que d'offrir à certains usagers la possibilité de procéder par voie électronique à des formalités relatives aux armes auprès de l'autorité administrative, au moyen d'un compte individualisé. Si la Commission relève que seules les démarches relatives à la fabrication, au commerce et à l'intermédiation sont concernées par la dématérialisation des formalités, elle prend toutefois acte que cette possibilité a vocation à être, à terme, ouverte à l'ensemble des détenteurs d'armes.
Elle observe que ces finalités s'inscrivent dans le cadre des mesures prévues par la directive 2017/853 du 17 mai 2017 susvisée qui instaure des règles communes en matière de marquage et d'enregistrement des armes à feu, de manière à renforcer leur traçabilité, mieux contrôler leur circulation et qui impose, notamment à chaque Etat membre de l'Union européenne, la création d'un fichier comprenant toutes les informations nécessaires pour tracer et identifier les armes à feu.
Elle relève également que la création d'un outil central du contrôle des armes légales en France doit permettre de réduire le nombre de sollicitations des préfectures tout en fiabilisant les données qui y sont enregistrées. La Commission prend ainsi acte des précisions apportées par le ministère selon lequel l'automatisation des processus de contrôle doit permettre la mise à jour régulière et systématique des données enregistrées et opérer un contrôle récurrent sur ces dernières.
Dans ces conditions, la Commission estime que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes, conformément aux articles 5-1-b du RGPD et 4-2° de la loi du 6 janvier 1978 modifiée.
Sur la collecte des données d'identification des personnes, des armes et de leurs éléments :
Le projet de décret introduit un article R. 312-85 au code de la sécurité intérieure (CSI), qui prévoit que différentes catégories de données peuvent faire l'objet d'un enregistrement dans le traitement « SIA ». La Commission relève que ces catégories portent respectivement sur les données d'identification des acquéreurs et détenteurs d'armes, des personnes se livrant à la fabrication, au commerce ou à l'intermédiation d'armes, les données d'identification des armes et celles relatives à la délivrance des titres afférents.
Si elle estime que la plupart des données enregistrées au sein de ces catégories n'appellent pas d'observation particulière au regard des finalités poursuivies par le traitement, la Commission entend toutefois formuler les observations suivantes sur certaines de ces données.
En premier lieu, elle relève que le projet de décret prévoit que la photographie de la personne pourra être collectée en cas de demande d'une carte européenne d'arme à feu. A cet égard, la Commission prend acte des précisions apportées par le ministère selon lesquelles aucun dispositif de reconnaissance faciale ne sera mis en œuvre sur la base de la photographie collectée, qui fera l'objet d'une suppression à l'expiration de la durée de validité de la carte (soit cinq ans).
Elle prend également acte de l'absence d'interconnexion ou d'alimentation d'un autre fichier dans le cadre de la délivrance de cette carte. Dans ces conditions, la Commission estime que les mesures mises en œuvre par le ministère sont de nature à permettre de garantir la proportionnalité de la collecte de cette donnée.
En deuxième lieu, le projet de décret prévoit que les « certificats médicaux mentionnés aux articles L. 312-4, L. 312-4-1, L. 312-6 et R. 312-66-5 » du CSI pourront faire l'objet d'un enregistrement dans le traitement. Si la production et la collecte d'un tel document, conformément aux dispositions précitées, n'appelle pas d'observation particulière, la Commission invite le ministère à limiter l'accès à ces certificats aux seules personnes ayant strictement besoin d'en connaître au regard de leurs missions.
En troisième lieu, la Commission relève que l'avis du maire, sollicité conformément à l'article R. 313-10 du CSI, pourra faire l'objet d'un enregistrement dans le traitement « SIA ». Elle observe que cet avis sera uniquement recueilli dans l'hypothèse d'une demande d'autorisation d'ouverture de commerce de détail d'armes de munitions et de leurs éléments.
Dans ces conditions, elle rappelle l'importance d'assurer une stricte confidentialité de l'avis ainsi recueilli au regard des données à caractère personnel qu'il est susceptible de contenir et prend acte des précisions apportées par le ministère selon lesquelles l'accès ou la communication de ce document sera limité aux seuls agents du SCA et des préfectures, ce qu'elle considère de nature à limiter les risques potentiels d'atteinte aux droits et libertés des personnes concernées.
Sur les données et informations issues de l'enquête administrative prévue à l'article R. 114-5 du code de la sécurité intérieure :
A titre liminaire, la Commission rappelle que les enquêtes administratives réalisées sur le fondement de l'article R. 114-5 du CSI sont diligentées soit par l'autorité préfectorale, soit par le service national des enquêtes administratives de sécurité (SNEAS). Elle prend acte des précisons apportées par le ministère selon lesquelles il est envisagé, à terme, de transférer les enquêtes administratives que réalisent les préfectures au SNEAS.
En premier lieu, l'article R. 312-85-V, introduit dans le CSI par le projet de décret, prévoit que pourra figurer dans le traitement, l'indication de l'enregistrement de la personne concernée dans le fichier national des interdits d'acquisition et de détention d'armes (FINIADA). A cet égard, il est précisé que cette consultation automatique est réalisée aux seules fins de vérifier si l'identité de la personne concernée y est enregistrée. La Commission prend acte que cette consultation, qui résultera en un « hit » positif ou négatif, ne pourra générer automatiquement une décision administrative, des vérifications complémentaires étant systématiquement effectuées afin d'apprécier la situation de la personne concernée.
En deuxième lieu, ce même article prévoit que le résultat de l'interrogation du bulletin numéro 2 (B2) du casier judiciaire (néant ou positif) pourra figurer dans le traitement. La Commission relève que, dès lors qu'il comporterait une ou plusieurs condamnations incapacitantes en matière de police des armes, le B2 fera l'objet d'un enregistrement manuel dans le traitement. Elle prend par ailleurs acte que, si le casier judiciaire est automatiquement interrogé par le traitement « SIA », aucune donnée issue du B2 n'est retranscrite de manière automatisée dans le traitement. Le service du casier judiciaire, à la suite d'un « hit », adresse une copie du B2 par courrier à l'agent en charge de l'instruction.
Si la Commission estime que l'enregistrement du B2 apparaît justifié dès lors qu'y figure une condamnation incapacitante en matière d'armes, elle s'interroge toutefois sur l'enregistrement de la mention « positif » s'agissant du B2, sans distinction quant à la condamnation qui y serait inscrite, dans la mesure où une telle condamnation serait susceptible de ne pas être de nature à faire obstacle à la demande d'autorisation de la personne en matière d'arme. Elle prend acte que seules les mentions « néant » ou « positif au titre d'une ou plusieurs condamnations incapacitantes en matière de police des armes » seront enregistrées dans le traitement et, qu'à sa demande, le projet de décret ainsi que l'AIPD ont été modifiés afin de le mentionner expressément.
En troisième lieu, pourra figurer dans le traitement au titre des données et informations issues de l'enquête administrative, l'existence d'une mesure d'hospitalisation sans consentement, d'une mesure de protection juridique en application de l'article 425 du code civil, et d'une interdiction d'exercer une activité commerciale.
A cet égard, la Commission prend acte que ces informations ne seront pas directement issues de traitements automatisés de données à caractère personnel mais de l'interrogation par l'agent de préfecture : de l'agence régionale de santé (ARS), du greffe du tribunal judiciaire et du casier judiciaire national. Elle relève en outre que cette indication sera retranscrite dans le traitement « SIA » sous la forme d'une case à cocher en cas de tutelle ou de curatelle et par l'intermédiaire du B2 s'agissant de l'interdiction d'exercer une activité commerciale.
La Commission rappelle que la mention de l'existence d'une mesure d'hospitalisation sans consentement revêt un caractère sensible. Elle constitue une donnée de santé au sens de la réglementation applicable en matière de protection des données personnelles, qui doit faire l'objet d'une vigilance renforcée. Toute information qui serait couverte par le secret médical devrait, en outre, bénéficier, sauf disposition contraire, de la protection prévue à l'article L. 1110-4 du code de la santé publique.
A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles au titre de cette catégorie, seule une mention « connu » ou « inconnu », sous la forme d'une case à cocher, sera renseignée dans le traitement « SIA » par l'agent de préfecture suite à la sollicitation de l'ARS.
La Commission s'interroge néanmoins sur la possibilité pour les agents de préfecture et du service central des armes d'accéder à cette donnée, notamment au regard des dispositions des articles L. 312-6 et R. 312-8 du CSI, qui semblent limiter l'accès à cette information au seul représentant de l'Etat dans le département.
Enfin, elle rappelle qu'il appartient au responsable de traitement, a fortiori dans cette hypothèse, compte tenu des enjeux importants pour les personnes concernées, de s'assurer de l'exactitude des données qui sont enregistrées dans le « SIA » ainsi que de leur mise à jour.
En quatrième lieu, l'article R. 312-85-V précité prévoit que figure au sein du traitement « l'avis du service national des enquêtes administratives de sécurité » ainsi que les « rapports des services de police ou de gendarmerie ».
A cet égard, la Commission prend acte que s'agissant de l'avis du SNEAS, le traitement d'automatisation de la consultation centralisée de renseignements et de données (ACCReD) ne fera pas l'objet d'une interrogation directe par le traitement « SIA ». Elle relève en outre que les éléments motivant l'avis du SNEAS font l'objet d'une collecte au sein de traitement dans l'unique hypothèse d'un avis négatif.
S'agissant des rapports des services de police ou de gendarmerie, la Commission prend acte qu'un rapport ou un avis circonstancié peut être adressé par ces services à l'agent de préfecture à la suite de l'enquête qui a été diligentée. Elle considère que la collecte de ces informations, limitée au seul « avis issu de l'enquête administrative diligentée par les services de police ou de gendarmerie », n'appelle pas d'observation particulière.
De manière générale, si l'enregistrement de données dans le traitement au titre des enquêtes administratives diligentées n'appelle pas d'observation particulière au regard des finalités poursuivies par le traitement, la Commission est particulièrement réservée quant à la communication de ces informations à des agents autres que ceux en charge de l'instruction des demandes, compte tenu des données que ces documents sont susceptibles de contenir, a fortiori pour des besoins de simple suivi. Elle rappelle en conséquence la nécessité de s'assurer que seules les données strictement nécessaires à l'appréciation objective de la situation de la personne concernée sont transmises et ce, dans la limite du besoin d'en connaître de chaque agent.
Sur les interconnexions, rapprochements et mises en relation :
L'article R. 312-87 du CSI, tel qu'introduit par le projet de décret, prévoit que le traitement « SIA » peut « procéder à la consultation automatique et, le cas échéant, simultanée de traitements de données à caractère personnel ».
A titre liminaire, en ce qui concerne l'interrogation et la mise en relation avec d'autres traitements de données à caractère personnel, la Commission rappelle - de manière générale - qu'il importe de s'assurer que seuls les traitements comportant des données pertinentes, adéquates et nécessaires au regard de l'objet et des enjeux spécifiques de la délivrance du titre sollicité sont consultés. De la même manière, elle estime qu'une attention particulière doit être portée aux traitements pouvant faire l'objet d'une consultation automatisée systématique et/ou régulière.
Ces éléments généraux rappelés, la Commission relève que, outre la consultation du FINIADA et du casier judiciaire national pour les finalités précédemment mentionnées et dont la consultation automatique est expressément prévue par le projet de décret, d'autres traitements peuvent faire l'objet d'une consultation, aux fins de vérifier la validité de titres ou des informations transmises par les personnes concernées.
En premier lieu, l'article R. 312-87 du CSI prévoit que le fichier national de contrôle de la validité des titres (DOCVERIF) est consulté aux seules fins de vérifier la validité des titres d'identité. A cet égard, la Commission relève que seules les mentions « valide », « invalide » ou « inconnu » pourront être renseignées dans le traitement et que l'éventuel motif d'invalidité du titre n'est pas transmis au « SIA ».
En deuxième lieu, ce même article précise qu'aux fins de contrôler la validité des informations transmises par les personnes, le traitement « SIA » peut procéder à la consultation des différents systèmes de traitement des fédérations françaises de tir, de ball-trap, de tir à balle, de ski, et de chasse. Aux mêmes fins, la Base Adresse Nationale (BAN) ainsi que l'API entreprise peuvent être consultés. A cet égard, le Commission prend acte que cette interrogation a vocation à contrôler la validité des documents transmis d'une part, et éventuellement enrichir les informations communiquées d'autre part (par exemple l'adresse du siège social).
En troisième lieu, le projet de décret prévoit que « le traitement de données à caractère personnel relatif à la gestion des demandes d'autorisation de flux transfrontalier d'armes, munition et de leurs éléments peut procéder à la consultation automatique du traitement mentionné à l'article R. 312-84 du CSI ». A cet égard, la Commission prend acte que cette interrogation sera réalisée afin de déterminer le classement des armes faisant l'objet d'une demande d'autorisation au moyen du référentiel général des armes.
Sans remettre en cause la nécessité de consulter ou d'interroger l'ensemble des traitements visés par le projet de décret, la Commission rappelle que, compte tenu du caractère particulièrement sensible de certains de ces traitements et des enjeux importants pour les personnes concernées résultant de cette interrogation, des garanties particulières devront être mises en œuvre pour que l'automatisation de ces consultations ne conduise pas à ce que des avis ou des décisions résultent de la seule inscription d'une personne dans un traitement de données à caractère personnel. A cet égard, elle prend acte que des vérifications complémentaires seront réalisées en cas de réponse positive (« hit »).
En tout état de cause, la Commission regrette vivement que le ministère n'entende pas modifier les actes règlementaires encadrant les fichiers interrogés et qui relèvent de sa compétence, afin de mentionner explicitement qu'ils peuvent faire l'objet d'une interrogation par le traitement « SIA ».
Sur le criblage régulier des personnes enregistrées dans le traitement :
La Commission relève que le ministère entend interroger de manière régulière la quasi-totalité des traitements avec lesquels le traitement « SIA » est interconnecté ou qu'il est susceptible d'interroger. A cet égard un contrôle continu doit être réalisé une fois par an à des fins de criblage. La Commission prend acte des précisions apportées selon lesquelles ce contrôle s'effectue « par tranche » sur l'ensemble de l'année.
Sans remettre en cause les justifications permettant de procéder au criblage des personnes enregistrées dans le traitement, ni sa nécessité, au regard de la réglementation applicable et notamment de la directive 2017/853 précitée, la Commission estime que le projet de décret devrait être complété afin de mentionner expressément le criblage qui sera réalisé.
Sur la durée de conservation des données :
L'article R. 312-88 du CSI, tel que modifié par le projet de décret, prévoit des durées de conservation des données différenciées pour chaque catégorie d'information, attachées à la nature de la donnée enregistrée dans le traitement.
En premier lieu, l'article précité du CSI précise que les données et informations relatives aux armes et éléments d'armes ainsi que la plupart des données d'identification des usagers (soit le nom, le prénom, le nom d'usage, la date de naissance, l'adresse postale et le lieu de naissance) sont conservées trente ans à compter de leur destruction. Compte tenu des obligations fixées notamment par la directive 2017/853 susvisée, la Commission estime que la durée ainsi retenue n'appelle pas d'observation.
L'article R. 312-88 du CSI précise par ailleurs que les autres données d'identification (soit le sexe, la date de décès, la nationalité, l'adresse électronique, le téléphone), en sus de celles précitées et considérées comme nécessaires à l'existence d'un compte en vue de la réalisation des démarches administratives relatives aux armes sont conservées « jusqu'à la clôture du compte individualisé ou, à défaut, pendant une durée maximale d'un an à compter de la date de décès du détenteur ».
La Commission observe qu'en l'absence de généralisation du compte individualisé permettant de procéder, par voie électronique, à des formalités relatives aux armes auprès de l'autorité administrative, ces données sont susceptibles d'être conservées dans de nombreux cas pendant une durée maximale d'un an à compter de la date de décès du détenteur de ce compte, alors même que la dématérialisation des formalités au moyen d'un compte individualisé ne constitue que l'une des finalités poursuivies par le traitement projeté. Au regard de ces éléments et en l'absence de précisions permettant de justifier d'une telle conservation, la Commission émet des réserves quant à la possibilité de conserver « les autres données à caractère personnel et informations » selon les modalités prévues à l'article R. 312-88 du CSI. De manière plus générale, elle s'interroge, sur l'opportunité de déterminer la durée de conservation de ces données en la corrélant à la durée d'ouverture du compte individualisé.
En deuxième lieu, l'alinéa 3 de l'article R. 312-88 du CSI prévoit que les certificats médicaux, ainsi que les données et informations issues de l'enquête administrative prévue à l'article R. 114-5 du CSI sont conservés pendant une durée maximale d'un an à compter de la notification des décisions relatives à la délivrance des titres d'acquisition, de détention, de port, de fabrication, de commerce et d'intermédiation des armes, des munitions et de leurs éléments.
Le projet de décret prévoit en outre que les données relatives à la délivrance des titres (soit par exemple le numéro de document présenté, le justificatif d'identité, les pièces justificatives fournies, ou encore l'avis du maire) sont conservées pendant une durée maximale d'un an à compter de la date de fin de validité des titres d'acquisition, de détention, de port, de fabrication, de commerce et d'intermédiation des armes, des munitions et de leurs éléments.
Sous ces réserves, la Commission considère que les durées ainsi retenues sont conformes aux dispositions des articles 5-1-e du RGPD et 4-5° de la loi du 6 janvier 1978 modifiée.
Sur les destinataires :
Le projet de décret introduit dans le CSI l'article R. 312-86 qui prévoit que peuvent avoir accès, aux seules fins de consultation, à tout ou partie des données enregistrées dans le traitement : les agents des douanes, les agents du contrôle général des armées (CGA) et de la direction générale de l'armement du ministère de la défense (DGA), les agents de la direction générale de la sécurité extérieure (DGSE) et de la direction du renseignement et de la sécurité de la défense (DRSD), ainsi que les agents de la direction générale de la sécurité intérieure (DGSI).
Sans remettre en cause la nécessité pour l'ensemble de ces agents d'avoir connaissance d'informations issues du traitement « SIA », la Commission s'interroge sur les raisons ayant conduit le ministère à permettre à ces agents d'accéder directement aux données enregistrées dans le traitement et non de les rendre uniquement destinataires des seules données qui leur sont nécessaires, compte tenu de leurs missions, d'une part, et des finalités poursuivies par le traitement « SIA », d'autre part.
Plus précisément, concernant les agents de la DGSE, la Commission prend acte des éléments transmis par le ministère selon lesquels ces agents ont vocation à accéder aux données du traitement « SIA » dans le cadre des enquêtes administratives qu'ils réalisent, alors même qu'il a précisé que la réalisation d'enquêtes administratives relatives aux personnes concernées par le « SIA » ne constitue pas une finalité en soi du traitement. Dans ce contexte, elle s'interroge sur la possibilité pour les agents de la DGSE d'accéder directement aux données enregistrées dans celui-ci à des fins de réalisation de ces enquêtes.
Par ailleurs, s'agissant de l'accès direct des agents de la DGSI aux données du traitement « SIA », si la Commission prend acte des éléments fournis par le ministère selon lesquels il présente un « intérêt majeur pour évaluer le profil d'un individu », l'acquisition d'une arme pouvant « révéler un attrait pour la violence ou encore indiquer la mise en œuvre ou l'accélération d'actes préparatoires à un passage à l'acte », elle relève également que le traitement poursuit un objectif global de traçabilité des armes à feu dont le prisme n'est pas, selon le ministère, celui du suivi de l'individu. Au regard de ces précisions, la Commission s'interroge sur la possibilité pour les agents de la DGSI d'accéder directement aux informations enregistrées dans le traitement aux fins de suivi des personnes, d'une part, et de renseignement, d'autre part.
Sur les droits des personnes concernées :
L'article R. 312-90 du CSI, tel qu'introduit par le projet de décret, prévoit que « le droit d'opposition ne s'applique pas au présent traitement », ce qui n'appelle pas d'observation. Il précise par ailleurs que « conformément aux articles 13 à 16 et 18 du [RGPD] et aux articles 104 à 106 de la loi du 6 janvier 1978 précitée les droits d'informations, d'accès, de rectification et à la limitation s'exercent auprès du service central des armes ou du préfet territorialement compétent, en fonction de leurs attributions respectives ».
La Commission relève que ces droits peuvent faire l'objet de restrictions, afin d'éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, ou d'éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ou de protéger la sécurité publique. Compte tenu de la finalité du traitement, la limitation de ces droits, qui s'exercent dans cette hypothèse auprès de la Commission dans les conditions prévues aux articles 108 et 118 de la même loi, n'appelle pas d'observation particulière.
Si la Commission considère que les modalités d'exercice de ces droits n'appellent pas d'observation particulière, elle regrette que l'information délivrée aux personnes concernées ne puisse être réalisée directement auprès de ces dernières mais intervienne au travers des conditions générales d'utilisation au moment de la connexion au portail ainsi que par le biais du site internet du ministère de l'intérieur.
Sur les mesures de sécurité :
La Commission prend acte des précisions apportées par le ministère concernant les briques techniques utilisées, ainsi que des mesures organisationnelles de patch management permettant d'utiliser les versions les plus à jour. Elle rappelle cependant que les systèmes choisis sont en milieu de cycle de vie et devront faire l'objet d'une mise à jour à moyen terme.
La Commission relève que les mesures d'authentification sont conformes à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe, en termes de longueur, de complexité, ainsi que de limitation de fréquence pour les utilisateurs. Elle prend par ailleurs acte de l'utilisation additionnelle et systématique d'une « carte agent », permettant d'adapter le niveau d'exigence à la sensibilité des données.
Les données stockées sont chiffrées avec des algorithmes et des procédures de gestion de clés conformes à l'annexe B1 du référentiel général de sécurité. La Commission prend acte du fait que les échanges relatifs aux sauvegardes auront intégralement lieu sur des réseaux privés maitrisés par le responsable de traitement.
En ce qui concerne les interfaçages avec les services tiers, la Commission rappelle la nécessité de mettre en œuvre des conditions de sécurité effective, de haut niveau et de nature à garantir la confidentialité des données lors de l'interfaçage avec des systèmes d'information extérieurs. Ces conditions doivent reposer sur des moyens permettant d'assurer l'authentification des tiers, la confidentialité et l'intégrité des informations échangées.
La Commission prend acte que l'interdiction « de sélectionner dans le traitement une catégorie particulière de personnes à partir de ces seules données » prévue à l'article R. 312-85-V du CSI est techniquement transcrite par l'absence d'outils d'interrogation de la base de donnée permettant cet usage mis à disposition des agents.
S'agissant des données de traçabilité, le projet de décret prévoit qu'elles font l'objet d'une conservation pour une durée de six ans. A cet égard, la Commission rappelle que la collecte de ces données a pour seule finalité la détection et/ou la prévention d'opérations illégitimes sur les données. Dès lors, elles ne doivent en aucun cas permettre d'accéder à des informations dont la durée de conservation est dépassée.
En conséquence, les données de traçabilité ne doivent pas inclure, même partiellement des informations sur des données stockées. En tout état de cause, les éventuelles opérations illégitimes ne pourront être poursuivies une fois les données du traitement supprimées, les données de traçabilité devenant inutiles une fois celles-ci supprimées.
La Commission relève que la gravité des risques d'accès illégitime et de modification non désirée des données est considérée par le ministère comme importante. A ce titre, elle rappelle, compte tenu de ce risque, que les données de journalisation doivent être stockées sur un matériel sur lequel les administrateurs ayant un accès fonctionnel au système n'ont pas de droits afin de remplir leur office en termes de détection ou de prévention d'opérations illégitimes. La Commission recommande par ailleurs qu'un contrôle d'intégrité soit opéré sur les données stockées, par exemple en calculant une empreinte des données avec une fonction de hachage conforme à l'annexe B1 du référentiel général de sécurité.
Les autres mesures de sécurité n'appellent pas de remarques de la Commission. Elle rappelle toutefois que les exigences de sécurité prévues aux articles 5-1-f et 32 du RGPD et 99 de la loi du 6 janvier 1978 modifiée nécessitent la mise à jour de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.Liens relatifs
La présidente,
M.-L. Denis