La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé « Prévention des atteintes à la sécurité publique » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu le code de la sécurité intérieure, notamment ses articles R. 236-11 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2010-427 du 25 novembre 2010 portant avis sur un projet de décret en Conseil d'Etat portant modification des décrets n° 2009-1249 et n° 2009-1250 du 16 octobre 2009 portant création des traitements de données à caractère personnel respectivement relatifs à la prévention des atteintes à la sécurité publique (PASP) et aux enquêtes administratives liées à la sécurité publique (EASP) ;
Vu la délibération n° 2017-153 du 18 mai 2017 portant avis sur un projet de décret modifiant plusieurs traitements automatisés de données à caractère personnel du code de la sécurité intérieure ;
Après avoir entendu Mme Sophie LAMBREMON, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le traitement « Prévention des atteintes à la sécurité publique » (PASP), mis en œuvre par la direction générale de la police nationale, permet le recueil, la conservation ainsi que l'analyse d'informations concernant des personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique, et peut notamment porter sur des personnes susceptibles de prendre part à des activités terroristes ou d'être impliquées dans des actions de violences collectives, en particulier en milieu urbain ou à l'occasion de manifestations sportives.
La Commission rappelle que la création ce traitement est intervenue dans le cadre de la réforme des services de renseignement menée en 2008 et qu'elle a été amenée à se prononcer à plusieurs reprises sur les modalités de mise en œuvre du traitement PASP, encadrées par les articles R. 236-11 et suivants du code de la sécurité intérieure (CSI).
Le projet de décret soumis pour avis à la Commission vise à permettre de tenir compte de l'évolution de certaines pratiques dans l'utilisation de ce traitement et, ce faisant, de les régulariser. En particulier, le projet prévoit de modifier les finalités du traitement afin d'y intégrer les atteintes à la sûreté de l'Etat ainsi qu'à l'intégrité du territoire ou des institutions de la République, d'élargir les données pouvant faire l'objet d'une collecte et de notamment mentionner l'enregistrement de données provenant de fichiers tiers ainsi que d'étendre la liste des personnes susceptibles d'accéder au traitement ou d'avoir communication d'informations y étant enregistrées. Enfin, le projet de décret modifie les dispositions relatives à l'exercice des droits des personnes concernées, afin de tenir compte de l'évolution de la réglementation en matière de protection des données à caractère personnel.
La Commission prend acte des éléments transmis par le ministère selon lesquels le traitement PASP, mis en œuvre à des fins de prévention des atteintes à la sécurité publique au sens de la directive 2016/680 susvisée, intéresse également en partie la sûreté de l'Etat. Il résulte de l'évolution du cadre juridique relatif à la protection des données à caractère personnel que les dispositions applicables au traitement des données figurant au sein de ce dispositif et intéressant la sûreté de l'Etat, sont exclues du champ d'application de la directive 2016/680 et relèvent spécifiquement des articles 1 à 41 et 115 à 124 de la loi du 6 janvier 1978 modifiée. Enfin, dans la mesure où des données mentionnées au I de l'article 6 de cette même loi sont susceptibles d'être enregistrées, la modification du traitement PASP doit faire l'objet d'un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission.
Le projet de décret soumis pour avis à la Commission appelle les observations suivantes.
Sur l'extension du périmètre du traitement
En premier lieu, l'article 1er du projet de décret vise à étendre le champ des atteintes que le traitement vise à prévenir, à celles portant sur la sûreté de l'Etat. Il prévoit en outre que le traitement pourra notamment concerner des personnes susceptibles de porter atteinte à l'intégrité du territoire ou des institutions de la République.
Selon le ministère, cette modification vise à tenir compte, de manière plus précise, des missions exercées par le service central de renseignement territorial (SCRT), et notamment celles relatives à la prévention de la radicalisation et du terrorisme. La Commission considère, tant au regard de l'évolution des missions de la direction du renseignement de la préfecture de police, que de la mutation des menaces susceptibles de porter atteinte à la sûreté de l'Etat, que les modifications projetées sont justifiées.
Elle relève néanmoins que le traitement PASP vise à prévenir des atteintes de natures très diverses qui peuvent de porter sur des agissements ou des individus n'étant pas nécessairement susceptibles de porter atteinte à la sûreté de l'Etat. Elle souligne à cet égard que le traitement n'intéresse que pour partie, et de manière résiduelle, la sûreté de l'Etat.
Dans ces conditions, la Commission estime indispensable que des mesures soient mises en œuvre afin de permettre de distinguer de manière précise les données ayant vocation à être traitées pour des finalités relevant de la sûreté de l'Etat. A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles les informations intéressant la sûreté de l'Etat seront clairement identifiées, en fonction leur motif d'enregistrement. Le ministère a par ailleurs précisé qu'il considère qu'intéresse la sûreté de l'Etat, tout ce qui a trait à la continuité et à l'intégrité des institutions de la République et de ses services publics, et par extension, à la prévention des comportements menaçant cette intégrité. Dans ce contexte, seuls ces motifs, renseignés pour chaque fiche enregistrée dans le traitement, relèveront du titre IV de la loi du 6 janvier 1978 modifiée.
En second lieu, l'article 1er du projet de décret prévoit que les personnes susceptibles d'être enregistrées dans le traitement peuvent être des personnes physiques, des personnes morales, ainsi que des groupements.
Si la Commission relève que cette distinction ne figure pas dans les dispositions en vigueur du CSI, elle prend acte des justifications apportées par le ministère sur la pertinence de la collecte de telles données au regard du risque pour la sécurité publique ou la sûreté de l'Etat que les personnes morales et les groupements peuvent représenter, ou résultant du lien entretenu avec une personne présentant elle-même un risque. Dans ce contexte, elle considère que cet élargissement n'appelle pas d'observation particulière.
Sur la collecte de données issues d'autres fichiers et les rapprochements projetés
L'article 2 du projet de décret prévoit la collecte de nouvelles catégories de données et notamment, l'enregistrement d'informations résultant de l'interrogation ou de la consultation d'autres fichiers ainsi que l'ajout de la mention de l'enregistrement de la personne concernée dans un autre traitement.
La Commission relève ainsi qu'une distinction est réalisée entre les informations enregistrées au titre d'une catégorie de données et la mention de l'inscription d'une personne au sein d'un traitement (par exemple, « personne connue au TAJ »). Elle prend acte que cette précision résulte du fait que l'inscription ou non d'une personne dans un traitement constitue une information en soi.
En premier lieu, la Commission relève que de nombreuses catégories de données telles que la « situation au regard de la réglementation de l'entrée et du séjour en France », les « armes et titres afférents », les « moyens de déplacement », les « mesures d'incarcération » ou encore les « fiches de recherche » seront alimentées manuellement par d'autres traitements. Ces fichiers sont : l'application de gestion du répertoire informatisé des propriétaires et possesseurs d'armes (AGRIPPA), l'application de gestion des dossiers de ressortissants étrangers en France (AGDREF), le traitement des données portant sur les informations passagers (système API-PNR), le système national des permis de conduire (SNPC), le système d'immatriculation des véhicules (SIV), le traitement d'antécédents judiciaires (TAJ) et le fichier des personnes recherchées (FPR), le système d'information Schengen (SIS II), le fichier des objets et des véhicules volés (FOVeS), le traitement de gestion de l'information et prévention des atteintes à la sécurité publique (GIPASP), le traitement de gestion de l'information et prévention des atteintes à la sécurité publique (GEDRET), le traitement automatisé de données à caractère personnel dénommé « FSPRT », le fichier national des interdits d'acquisition et de détention d'armes (FINIADA), le traitement relatif aux enquêtes administratives liées à la sécurité publique (EASP), le système de traitement informatisé des titres de circulation et des habilitations dans le secteur de l'aviation civile et d'un portail de dépôt de demandes dématérialisées (STITCH).
En second lieu, l'article 2 du projet de décret prévoit que pourra faire l'objet d'une collecte dans le traitement « l'indication de l'enregistrement ou non de la personne dans les traitements suivants […] » :
- le traitement d'antécédents judiciaire (TAJ) ;
- le système d'information Schengen (N-SIS II) ;
- le traitement « gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP) ;
- le fichier des personnes recherchées (FPR) ;
- le traitement automatisé de données à caractère personnel dénommé « FSPRT » ;
- le fichier des objets et des véhicules volés (FOVeS).
A titre liminaire, la Commission prend acte des précisions apportées par le ministère, selon lesquelles l'accès aux fichiers consultés se fait par des agents du renseignement territorial expressément et individuellement habilités, et ce en fonction de la thématique visée. L'ensemble de ces fichiers n'est pas interconnecté avec le traitement PASP, et les résultats de l'interrogation de ces fichiers ne peuvent faire l'objet d'une requête au sein du traitement.
De manière générale, elle rappelle qu'il importe de s'assurer que seuls les traitements comportant des données pertinentes, adéquates et nécessaires au regard des finalités du traitement PASP soient consultés. De la même manière, la Commission estime qu'une attention particulière devra impérativement être portée aux modalités de collecte des données, qui sont susceptibles d'entraîner des risques particuliers pour les personnes concernées, tenant par exemple à la collecte erronée de données les concernant et ce, en raison de leur enregistrement manuel dans le traitement.
En outre, elle considère que, compte tenu du caractère particulièrement sensible de certains de ces traitements, a fortiori ceux dispensés de publication ou intéressant la sûreté de l'Etat, des mesures devront impérativement être développées afin d'assurer la mise à jour effective des données ainsi conservées.
Sans remettre en cause la nécessité de collecter des données permettant la prévention des atteintes à la sécurité publique, la sûreté de l'Etat, ou encore le suivi de personnes susceptibles de prendre part à des activités terroristes et, à cette fin, de consulter les traitements ainsi visés, la Commission considère qu'il aurait été hautement souhaitable de modifier les actes réglementaires encadrant les fichiers concernés afin de mentionner explicitement qu'ils peuvent faire l'objet d'un rapprochement avec le traitement PASP.
De la même manière, si toutes les catégories qui ont vocation à être alimentées par ces traitements sont mentionnées de manière exhaustive à l'article 2 du projet de décret, la Commission estime que le projet d'acte aurait pu également mentionner explicitement les fichiers effectivement consultés permettant d'alimenter ces catégories. Dans la mesure où les traitements concernés ont été identifiés de manière exhaustive et afin d'éviter, en pratique, l'utilisation d'autres traitements, elle invite le ministère à compléter le projet de décret sur ce point.
Sur la collecte de données relatives aux victimes et aux personnes en contact régulier et non fortuit avec la personne ou le groupement suivi
A titre liminaire, la Commission relève que l'article R. 236-12 du CSI prévoit d'ores et déjà la collecte de données relatives aux « personnes entretenant ou ayant entretenu des relations directes et non fortuites avec l'intéressé ». L'article 2 du projet de décret entend préciser les données pouvant être collectées à ce titre et limiter les hypothèses dans lesquelles elles pourront faire l'objet d'un enregistrement.
L'article 2 du projet de décret prévoit en outre que des données relatives aux victimes des agissements de la personne susceptible de porter atteinte à la sécurité publique ou la sûreté de l'Etat, pourront, dans certains cas limitativement prévus, faire l'objet d'une collecte au sein du traitement.
Le projet de décret dresse de manière exhaustive la liste des données susceptibles d'être enregistrées dans le traitement. A cet égard, la Commission prend acte des précisions apportées par le ministère selon lesquelles chaque information sera collectée dans la stricte mesure où elle est nécessaire au suivi de la personne et plus particulièrement à la motivation de l'inscription dans le traitement de la personne faisant l'objet d'un suivi. Le ministère a par ailleurs précisé que la pertinence de la collecte de ces données résultera uniquement du motif de suivi de la personne et non du fait que la personne concernée puisse elle-même constituer un risque d'atteinte à la sécurité publique ou à la sûreté de l'Etat. Enfin, les informations relatives à ces personnes seront mentionnées dans les notes d'information annexées aux « fiches des individus » et ne feront pas l'objet de fiches propres.
La Commission prend acte que le projet de décret limite expressément à certaines catégories d'informations la collecte de données relatives à ces personnes, et que par ailleurs, une recherche au sein du traitement sur la base de ces données ou de l'identité de ces personnes n'est pas possible.
Dans ce contexte, elle considère qu'il est indispensable que les critères relatifs à la nécessité de la collecte de ces catégories de données, tels que décrits par le ministère, soient strictement respectés. Dans ces conditions uniquement, la Commission estime que la collecte de ces informations est légitime, au regard des finalités du traitement, et conformément à l'article 4-3° de la loi du 6 janvier 1978 modifiée. Elle rappelle en outre qu'elle pourra être amenée à contrôler le respect de ces modalités de mise en œuvre.
Dans la mesure où ces données ont vocation à être conservées pour la même durée que les informations relatives à la personne faisant l'objet d'un suivi, elle souligne l'importance d'assurer un contrôle strict de ces durées et, plus spécifiquement, dans l'hypothèse de la collecte d'informations relatives à des mineurs. Elle rappelle à cet égard l'importance de la mission exercée par le référent national qui, conformément aux dispositions de l'article R. 236-15 du CSI assure le contrôle de l'effacement des données, au terme du délai de trois ans pour les données concernant les mineurs ainsi que de la pertinence de la conservation de ces données.
Elle rappelle en outre l'obligation faite au directeur général de la police nationale de présenter chaque année à la Commission un rapport sur ses activités de vérification, de mise à jour et d'effacement des données enregistrées dans le traitement, notamment celles relatives aux mineurs. La Commission considère que ces garanties sont des mesures importantes permettant de concourir au respect des principes relatifs à la protection des données.
Sur la possibilité d'effectuer une recherche à partir de la photographie
L'article 2 du projet de décret prévoit qu'une recherche peut être effectuée à partir des photographies relatives aux individus, enregistrées dans le traitement.
A cet égard, la Commission relève qu'en l'état des développements communiqués par le ministère, l'interrogation par la photographie doit constituer une nouvelle possibilité d'interrogation du traitement (à l'instar du nom), qui n'a pas vocation à se substituer aux modes de consultation du traitement actuellement mis en œuvre. Elle prend acte des précisions apportées selon lesquelles ce dispositif doit uniquement permettre l'interrogation du traitement PASP aux fins de déterminer si la personne dont la photographie est soumise figure déjà dans le traitement, ne constituant ainsi qu'une aide à l'identification de la personne.
Le résultat de l'interrogation sera recoupé avec d'autres éléments en possession du service, permettant de confirmer l'identité de l'individu (comme par exemple les signes physiques particuliers connus) et pourra servir de base à une recherche plus poussée des agents du renseignement territorial. Un résultat positif ne suffira en aucune manière à lui seul à fonder une décision à l'égard de la personne, et aucune conséquence directe n'affectera la personne concernée.
Elle souligne en outre que le projet de décret exclut explicitement cette possibilité s'agissant des personnes entretenant ou ayant entretenu un lien avec les personnes susceptibles de porter atteinte à la sécurité publique ou la sûreté de l'Etat, ainsi que les victimes, le traitement ne le permettant pas.
Si la Commission prend acte de l'ensemble des précisions apportées par le ministère, elle relève cependant que cette fonctionnalité n'est pas encore développée dans l'application, et qu'elle ne constitue qu'un projet. Sans remettre en cause le principe de la mise en œuvre d'un tel dispositif, elle s'interroge, en l'absence de précisions sur ce point, sur les caractéristiques techniques du futur dispositif et sur les données qui seront nécessaires à son fonctionnement. Elle estime notamment que, dans le cas où le dispositif utiliserait un gabarit biométrique, celui-ci constituerait en lui-même une donnée relevant d'une catégorie distincte de celles listées dans le projet de décret. Dans cette hypothèse, le déploiement de ce mode d'interrogation du fichier nécessiterait donc la modification de l'article R. 236-12 du code de la sécurité intérieure, après saisine de la Commission, dans les conditions prévues à l'article 31 de la loi du 6 janvier 1978 modifiée.
En tout état de cause, elle demande à être rendue destinataire de tout élément permettant d'apprécier les modalités, notamment techniques, de mise en œuvre de cette fonctionnalité, ainsi que l'analyse d'impact relative à la vie privée des données mise à jour et ce, avant sa mise en œuvre effective. Elle rappelle qu'elle ne manquera pas de faire usage, le cas échéant, de ses pouvoirs de contrôle, en application de l'article 19 de la loi du 6 janvier 1978 modifiée.
Sur les droits des personnes concernées
En premier lieu, l'article 8 du projet de décret précise que les droits des personnes s'exercent de manière différente selon que les données intéressent ou non la sûreté de l'Etat. Le caractère de fichier mixte, relevant concurremment des titres III et IV de la loi du 6 janvier 1978 modifiée, entraîne une complexité particulière des modalités d'exercice des droits. Or la Commission rappelle que l'exercice des droits des personnes, et notamment la possibilité de demander à accéder aux données les concernant, constitue une garantie importante en vue de prévenir des atteintes à leur vie privée.
En l'espèce, d'une part, pour les données considérées comme intéressant la sûreté de l'Etat, les droits d'accès, de rectification et d'effacement des données enregistrées s'exercent auprès de la Commission, dans les conditions prévues à l'article 118 de la loi du 6 janvier 1978 modifiée.
D'autre part, pour les autres données, les droits d'information, d'accès, de rectification, d'effacement et à la limitation s'exercent directement auprès de la direction générale de la police nationale.
La Commission relève que ces droits peuvent faire l'objet de restrictions, afin d'éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, d'éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ou de protéger la sécurité publique et la sécurité nationale, en application des 2° et 3° des II et III de l'article 107 de la loi du 6 janvier 1978 modifiée. Compte tenu de la finalité du traitement, la limitation de ces droits, qui s'exercent dans cette hypothèse auprès de la Commission dans les conditions prévues à l'article 108 de la même loi, n'appelle pas d'observation particulière.
En revanche, la Commission estime que les dispositions projetées ne permettent pas de rattacher de manière exclusive les données concernées à la finalité pour laquelle elles sont traitées. Dès lors, ces dispositions ne permettent pas aux personnes concernées de déterminer avec certitude les modalités selon lesquelles elles peuvent exercer leurs droits.
A cet égard, elle prend acte de ce que le ministère l'a assurée que les données relevant du régime spécifique des traitements intéressant la sûreté de l'Etat seront identifiées comme telle dans le fichier. La Commission considère que la mise en œuvre de marqueurs spécifiques, ou d'un dispositif équivalent, doit permettre de déterminer précisément les données considérées comme intéressant la sûreté de l'Etat, sur la base de critères précis. Une telle identification est de nature à permettre au responsable de traitement saisi d'une demande d'exercice des droits sur le fondement du titre III de la loi du 6 janvier 1978 modifiée de n'exclure de sa réponse que les données identifiées par avance, et sur la base de critères précis, comme relevant du régime du titre IV. Dès lors qu'il s'agit d'une modalité essentielle de l'exercice des droits en présence d'un fichier relevant à la fois du titre III et du titre IV de la loi, la Commission estime que le décret devrait préciser que les données relevant du titre IV sont identifiées comme telle dans le fichier.
En tout état de cause, elle considère qu'en l'absence de dispositions ou de mesures permettant une identification objective des données exclues du droit d'accès direct, l'application des dispositions du titre III de la loi du 6 janvier 1978 modifiée doit prévaloir. Elle souligne par ailleurs que, s'agissant des victimes ainsi que des personnes entretenant ou ayant entretenu des relations avec les personnes suivies, les modalités du traitement rendent en pratique l'exercice de leurs droits particulièrement ardu. En effet, dans la mesure où les informations les concernant sont contenues dans des notes d'informations pour lesquelles la recherche « plein texte » est impossible, s'agissant par exemple des victimes, la détermination, en amont, de l'auteur de l'atteinte dont le demandeur a été victime, est un préalable à l'exercice de ces droits. Compte tenu de ces éléments, la Commission prend acte de l'engagement du ministère, à sa demande, d'initier une réflexion sur l'effectivité de l'exercice de ces droits. Elle considère en effet comme indispensable que ces personnes puissent exercer leurs droits de manière effective, conformément aux dispositions applicables.
En deuxième lieu, l'article 8 du projet de décret prévoit que le droit d'opposition ne s'applique pas au présent traitement, ce qui n'appelle pas d'observation.
En troisième lieu, il est souligné que la juridiction compétente pour traiter du contentieux lié à l'exercice des droits diffèrent selon que les données intéressent ou non la sûreté de l'Etat. L'article 7 du projet de décret modifie à ce titre les dispositions de l'article R. 841-2 du CSI afin de prévoir la compétence du Conseil d'Etat, pour les données intéressant la sûreté de l'Etat. S'agissant des autres données, et sans que le texte n'ait à le prévoir, la compétence revient au tribunal administratif de Paris. La Commission appelle l'attention du ministère sur la complexité de cette répartition et estime qu'une réflexion d'ensemble pourrait être menée afin de clarifier la répartition du contentieux entre le Conseil d'Etat et le tribunal administratif de Paris.
Sur les modifications apportées aux autres conditions de mise en œuvre du traitement
Sur les données collectées
A titre liminaire, la Commission relève que la rédaction de certaines catégories de données est particulièrement large. Si elle ne remet pas en cause la difficulté de préciser de manière exhaustive l'ensemble des données pouvant être collectées à ce titre, au regard notamment des nécessités opérationnelles propres à chaque situation, elle estime toutefois qu'à certains égards, le projet de décret pourrait être précisé afin de délimiter de manière plus fine ce que recoupent ces catégories.
En premier lieu, l'article 3 du projet de décret prévoit que des « données de santé révélant une dangerosité ou une vulnérabilité particulière » peuvent faire l'objet d'une collecte. A ce titre, des données portant sur des « troubles psychologiques ou psychiatriques connus ou signalés dans le mesure où ces données sont strictement nécessaires à l'évaluation de la dangerosité » peuvent faire l'objet d'une collecte.
A cet égard, la Commission prend acte que les informations ainsi collectées se limitent à la description des troubles et de l'éventuel suivi psychiatrique d'une personne, à l'exclusion de toute donnée fournie par un professionnel de santé soumis au secret médical. Elles sont à ce titre le plus souvent fournies par les proches, la famille ou l'intéressé lui-même.
Elle rappelle néanmoins que la mention de ces informations revêt un caractère sensible. En effet, ces informations constituent des données de santé au sens de la réglementation applicable en matière de protection des données à caractère personnel, qui doivent faire l'objet d'une vigilance renforcée. Si la collecte de ces données n'appelle pas d'observation particulière, elle souligne que toute information qui serait couverte par le secret médical devrait, en outre, bénéficier, sauf disposition contraire, de la protection prévue à l'article L. 1110-4 du code de la santé publique.
En deuxième lieu, l'article 2 du projet de décret prévoit que les « identifiants utilisés sur les réseaux sociaux » ou les « activités sur les réseaux sociaux » peuvent faire l'objet d'une collecte au sein traitement.
A cet égard, la Commission prend acte des précisions apportées par le ministère selon lesquelles l'ensemble des réseaux sociaux est concerné dans le cadre de recherches en source ouverte, et que les données sont à ce titre collectées sur des pages ou des comptes ouverts, à l'exclusion de toute interaction avec la personne concernée. Par ailleurs, les « identifiants utilisés » correspondent par exemple au pseudonyme de la personne concernée, à l'exclusion du mot de passe associé. Elle relève en outre que des données sont également susceptibles d'être collectées dans les conditions prévues à l'article L. 863-1 du CSI.
Le ministère a par ailleurs précisé que les informations collectées porteront principalement sur les commentaires postés sur les réseaux sociaux et les photos ou illustrations mises en ligne, ces éléments étant considérés comme pertinents dans le cadre de la prévention des atteintes à la sécurité publique ou la sûreté de l'Etat. A cet égard, la Commission rappelle que, s'agissant de la collecte de photographies, en l'absence de précisions sur ce point, tout dispositif de recherche à partir de ces éléments, devra être exclu.
Enfin, elle souligne que si des données concernant d'autres personnes peuvent être collectées à ce titre, elle prend acte qu'elle ne pourront faire l'objet d'un enregistrement que dans l'hypothèse où leur mention est indispensable pour caractériser une atteinte à la sécurité publique ou à la sûreté de l'Etat, et dans la limite de ce que prévoit le projet de décret s'agissant de la collecte de données relatives aux victimes ou aux personnes entretenant un lien avec la personne ou le groupement suivi.
Sans remettre en cause les précisions apportées par le ministère, la Commission estime que les dispositions du projet de décret ne permettent pas une compréhension claire et précise de la nature des données susceptibles d'être enregistrées à ce titre, ni des modalités de cette collecte, pouvant par exemple renvoyer à des réalités différentes selon la politique de confidentialité du réseau concerné. Elle demande à ce que le projet de décret soit précisé en ce sens, et considère qu'il devrait également exclure explicitement la possibilité d'une collecte automatisée de ces données.
Sous ces réserves, la Commission considère que la collecte de ces données est pertinente au regard des finalités du traitement, et conformément à l'article 4-3° de la loi du 6 janvier 1978 modifiée.
En troisième lieu, l'article 2 du projet de décret prévoit que les « agissements susceptibles de recevoir une qualification pénale », les « suites judiciaires » ainsi que les « antécédents judiciaires (nature des faits et date) » pourront faire l'objet d'un enregistrement au sein du traitement.
La Commission prend acte des précisions apportées par le ministère selon lesquelles les informations susceptibles d'être collectées à ce titre pourront porter par exemple sur des agressions indépendamment de toute plainte ou enquête pénale, sur des faits, ou pourront permettre de savoir si la personne concernée fait l'objet d'un suivi judiciaire.
A cet égard, la Commission rappelle que la collecte de données relatives aux catégories précitées ne pourra en aucun cas porter sur des jugements ou des arrêts de condamnation, conformément aux dispositions de l'article 777-3 du code de procédure pénale.
Sur les destinataires
L'article 6 du projet de décret prévoit d'étendre la liste des personnes pouvant avoir communication d'informations enregistrées dans le traitement. Il prévoit que, dans la limite du besoin d'en connaitre, peuvent être destinataires des données enregistrées dans le traitement :
- les personnes ayant autorité sur les services ou unité ayant accès aux données enregistrées dans le traitement, conformément aux dispositions en vigueur de l'article R. 236-16 du CSI ;
- les procureurs de la République ;
- les agents d'un service de la police nationale ou d'une unité de gendarmerie nationale chargés d'une mission de renseignement et les agents des services mentionnés aux articles R. 811-1 et R. 811-2 du CSI, sur autorisation expresse ;
- les personnels de la police nationale ou les militaires de la gendarmerie nationale qui ne sont pas chargés d'une mission de renseignement sur demande expresse, précisant l'identité du demandeur, l'objet et les motifs de la consultation.
Si la possibilité de transmettre les informations issues du traitement à l'ensemble de ces personnes est justifiée au regard, tant des missions de ces services, que des finalités du traitement PASP, la Commission estime cependant que le projet de décret aurait pu détailler de manière plus précise les données qui peuvent leur être effectivement transmises et notamment s'agissant de celles relatives aux victimes. A cet égard, le ministère a précisé que le gestionnaire du traitement ne transmet pas de données n'étant pas en lien avec la demande formulée, dans le strict respect du droit d'en connaitre (conduisant à l'absence de communication de données relatives aux victimes par exemple), et s'engage à mentionner ce point dans la doctrine d'emploi du traitement.
Enfin, elle considère, s'agissant des personnels de la police nationale ou des militaires de la gendarmerie nationale qui ne sont pas chargés d'une mission de renseignement, que l'usage du terme « consultation » figurant dans le projet du décret semble induire qu'ils disposent d'un accès direct au traitement. Elle prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.
Sur les mesures de sécurité
La Commission relève que la mise en production du traitement est réalisée dans un environnement sécurisé. Elle considère toutefois que, compte tenu de la nature des données, et pour des raisons de défense en profondeur, des mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité doivent être mise en œuvre, tant au niveau des bases de données actives, des communications, des données de journalisation, que des sauvegardes. De plus, pour garantir le cloisonnement mis en place entre le réseau d'exploitation de PASP et de l'internet, la Commission recommande l'arrêt de l'utilisation de postes d'administrateurs accédant à la fois au réseau d'administration du traitement et à l'Internet, compte tenu du risque que cet usage est susceptible de représenter.
En ce qui concerne les modalités d'authentification, la Commission prend acte de l'utilisation d'une carte agent associée à un code PIN ainsi que de l'engagement du ministère d'assurer un niveau de sécurité répondant aux normes ou aux référentiels d'une authentification forte. Elle recommande en outre, le suivi de sa délibération 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.
Elle prend également acte des mesure de contrôle qualité des données menées par la DDVT et la DRPP sur leurs fiches respectives.
L'article 7 du projet de décret prévoit que « les opérations de collecte, de modification, de consultation, de communication, de transfert, d'interconnexion et de suppression des données à caractère personnel et informations font l'objet d'un enregistrement », et que « ces données sont conservées pendant un délai de six ans ».
A titre liminaire, la Commission souligne que dans la mesure où le traitement ne fait pas l'objet d'interconnexions mais de rapprochements uniquement, dans les conditions précédemment développées, le ministère s'est engagé à modifier les dispositions du projet de décret en ce sens, et ce, aux fins de clarté du dispositif.
En ce qui concerne la durée de conservation des données de journalisation, la Commission rappelle que la collecte de ces données a pour seule finalité la détection et/ou la prévention d'opérations illégitimes sur les données. La durée de stockage de ces traces doit être fixée de manière proportionnée à cette unique finalité. De plus, elle souligne que ces données ne doivent en aucun cas permettre d'avoir des informations sur des données dont la durée de conservation est dépassée.
Enfin, la Commission prend acte de la mise en œuvre de mesures permettant d'assurer l'intégrité des données du traitement. Elle recommande à cet égard qu'une empreinte des données du traitement avec une fonction de hachage conforme à l'annexe B1 du référentiel général de sécurité soit utilisée.
Les autres mesures de sécurité n'appellent pas d'observations de la part de la Commission.Liens relatifs
La présidente,
M.-L. Denis