La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant les dispositions de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé « Gestion de l'information et Prévention des atteintes à la sécurité publique » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu le code de la sécurité intérieure, notamment ses articles R. 236-21 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2010-456 du 9 décembre 2010 portant avis sur un projet de décret en Conseil d'Etat autorisant la création du traitement de données à caractère personnel relatif à la gestion de l'information et la prévention des atteintes à la sécurité publique ;
Vu la délibération n° 2012-085 du 22 mars 2012 portant avis sur un projet de décret modifiant des décrets portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique et d'un traitement de données à caractère personnel relatif à la gestion de l'information et à la prévention des atteintes à la sécurité publique ;
Vu la délibération n° 2017-153 du 18 mai 2017 portant avis sur un projet de décret modifiant plusieurs traitements automatisés de données à caractère personnel du code de la sécurité intérieure ;
Après avoir entendu Mme Sophie LAMBREMON, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le traitement « Gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP), mis en œuvre par la direction générale de la gendarmerie nationale (DGGN), permet de recueillir, de conserver et d'analyser les informations qui concernent des personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique. Plus spécifiquement, il vise les personnes susceptibles d'être impliquées dans des actions de violences collectives, en particulier en milieu urbain ou à l'occasion de manifestations sportives.
De manière générale la Commission relève que le traitement GIPASP, sur lequel elle a été amenée à se prononcer à plusieurs reprises, présente de fortes similitudes avec le traitement « prévention des atteintes à la sécurité publique » (PASP), mis en œuvre par la direction générale de la police nationale.
Les évolutions projetées visent à modifier les finalités du traitement afin d'y intégrer les atteintes à la sûreté de l'Etat ainsi qu'à l'intégrité du territoire ou des institutions de la République, d'élargir les données pouvant faire l'objet d'une collecte et notamment de mentionner l'enregistrement de données provenant de fichiers tiers ainsi que d'étendre la liste des personnes susceptibles d'accéder au traitement ou d'avoir communication d'informations y étant enregistrées. Le projet de décret modifie également les dispositions applicables aux droits des personnes concernées, afin de tenir compte de l'évolution de la réglementation en matière de protection des données à caractère personnel.
Dans ce contexte, la Commission relève que le projet de décret soumis pour avis à la Commission vise à permettre de tenir compte de l'évolution de certaines pratiques dans l'utilisation de ce traitement et, ce faisant, de les régulariser.
Enfin, elle prend acte des éléments transmis par le ministère selon lesquels le traitement GIPASP, mis en œuvre à des fins de prévention des atteintes à la sécurité publique au sens de la directive 2016/680 susvisée, intéresse également en partie la sûreté de l'Etat. Il résulte de l'évolution du cadre juridique relatif à la protection des données à caractère personnel que les dispositions applicables au traitement des données figurant au sein de ce dispositif et intéressant la sûreté de l'Etat, sont exclues du champ d'application de la directive 2016/680 et relèvent spécifiquement des articles 1 à 41 et 115 à 124 de la loi du 6 janvier 1978 modifiée. Enfin, dans la mesure où des données mentionnées au I de l'article 6 de cette même loi sont susceptibles d'être enregistrées, la modification du traitement GIPASP doit faire l'objet d'un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission.
Le projet de décret soumis pour avis à la Commission appelle les observations suivantes.
Sur l'extension du périmètre du traitement
En premier lieu, l'article 1er du projet de décret vise à étendre le champ des atteintes que le traitement vise à prévenir, à celles portant sur la sûreté de l'Etat. Il précise par ailleurs que le traitement peut notamment porter sur des personnes susceptibles « de prendre part à des activités terroristes, ou de porter atteinte à l'intégrité du territoire ou des institutions de la République ».
La Commission prend acte des précisions apportées par le ministère selon lesquelles cette modification vise notamment à régulariser le périmètre d'emploi du traitement, et, plus généralement, s'inscrit dans l'évolution croissante de l'activité de renseignement en lien avec la prévention du terrorisme ou de la radicalisation, à la lumière d'une menace particulièrement importante. A cet égard, l'article 1er de la loi n° 2009-971 du 3 août 2009 relative à la gendarmerie nationale précise qu'elle « contribue à la mission de renseignement et d'information des autorités publiques, à la lutte contre le terrorisme, ainsi qu'à la protection des populations ». Dans ce contexte, la Commission prend acte que, selon le ministère, le traitement GIPASP constitue un outil important de recueil de renseignements.
Sans remettre en cause la pertinence de ces éléments, elle relève néanmoins que le traitement GIPASP vise à prévenir des atteintes de natures très diverses qui peuvent dès lors porter sur des agissements ou des individus n'étant pas nécessairement susceptibles de porter atteinte à la sûreté de l'Etat. Dans ce contexte, elle souligne que le traitement n'intéresse que pour partie la sûreté de l'Etat.
Compte tenu de ce qui précède, et dans ce contexte de fichier mixte relevant à la fois des titres III et IV de la loi du 6 janvier 1978 modifiée, la Commission estime indispensable que des mesures soient mises en œuvre afin de permettre de distinguer de manière précise les données ayant vocation à être traitées pour des finalités relevant de la sûreté de l'Etat. A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles un mécanisme de mots-clefs (dits tags) a vocation à être associé aux titres de certaines fiches, en reprenant les grandes thématiques suivies par la DGGN, permettant de discriminer les fiches relevant des différents régimes.
En second lieu, l'article 1er du projet de décret prévoit que les personnes susceptibles d'être enregistrées dans le traitement peuvent être des personnes physiques, des personnes morales, ainsi que des groupements.
Si la Commission relève que cette distinction ne figure pas dans les dispositions en vigueur du code de la sécurité intérieure (CSI), elle prend acte des justifications apportées par le ministère sur la pertinence de la collecte de telles données au regard du risque pour la sécurité publique ou la sûreté de l'Etat que les personnes morales ou groupements peuvent représenter, ou résultant du lien entretenu avec une personne présentant elle-même un risque. Elle relève en outre qu'ils feront l'objet d'une fiche spécifique au sein du traitement distincte de celles relatives aux personnes physiques. Dans ce contexte, elle considère que cet élargissement n'appelle pas d'observation particulière.
Sur la collecte de données issues d'autres fichiers et les rapprochements projetés
L'article 2 du projet de décret prévoit la collecte de nouvelles catégories de données et, notamment, l'enregistrement d'informations résultant de l'interrogation ou de la consultation d'autres fichiers ainsi que l'ajout de la mention de l'enregistrement de la personne concernée dans un autre traitement.
La Commission relève ainsi qu'une distinction est réalisée entre les informations enregistrées au titre d'une catégorie de données et la mention de l'inscription d'une personne au sein d'un traitement (par exemple, « personne connue au TAJ »). Elle prend acte que cette précision résulte du fait que l'inscription ou non d'une personne dans un traitement constitue une information en soi.
En premier lieu, la Commission relève que de nombreuses catégories de données telles que la « situation au regard de la réglementation de l'entrée et du séjour en France », les « armes et titres afférents », les « moyens de déplacement », les « mesures d'incarcération » ou encore les « fiches de recherche » seront alimentées manuellement par d'autres traitements. Ces fichiers sont : l'application de gestion du répertoire informatisé des propriétaires et possesseurs d'armes (AGRIPPA), l'application de gestion des dossiers de ressortissants étrangers en France (AGDREF), le traitement automatisé de données à caractère personnel relatif aux étrangers sollicitant la délivrance d'un visa dénommé « VISABIO », le traitement relatif aux passeports et aux cartes nationales d'identité (TES), le système national des permis de conduire (SNPC), le système d'immatriculation des véhicules (SIV), le traitement d'antécédents judiciaires (TAJ), le fichier des personnes recherchées (FPR), le fichier des objets et des véhicules volés (FOVeS), le traitement automatisé de données à caractère personnel dénommé « FSPRT », le système de traitement informatisé des titres de circulation et des habilitations dans le secteur de l'aviation civile et d'un portail de dépôt de demandes dématérialisées (STITCH).
En second lieu, l'article 2 du projet de décret prévoit que pourra faire l'objet d'une collecte dans le traitement « l'indication de l'enregistrement ou non de la personne dans les traitements suivants […] » :
- le traitement d'antécédents judiciaire (TAJ) ;
- le système informatique national N-SIS II mentionné aux articles R. 231-5 et suivants du CSI ;
- le traitement « prévention des atteintes à la sécurité publique » (PASP) mentionné aux articles R. 236-11 et suivants du CSI ;
- le fichier des personnes recherchées (FPR) ;
- le traitement automatisé de données à caractère personnel dénommé « FSPRT » ;
- le fichier des objets et des véhicules volés (FOVeS).
A titre liminaire, la Commission prend acte des précisions apportées par le ministère selon lesquelles il n'y a pas d'interconnexion automatisée entre ces traitements et que seuls les agents expressément et individuellement habilités pour la consultation de ces fichiers enregistrent dans le traitement GIPASP les données visées.
En premier lieu et de manière générale, elle rappelle qu'il importe de s'assurer que seuls les traitements comportant des données pertinentes, adéquates et nécessaires au regard des finalités du traitement GIPASP soient consultés, et ce, dans le respect des dispositions applicables aux fichiers rapprochés. Plus particulièrement, concernant le traitement TES, elle estime qu'une vigilance particulière devra être mise en œuvre, compte tenu notamment de la nature et du volume de données y étant enregistrées.
De la même manière, la Commission estime qu'une attention particulière devra être portée aux modalités de collecte des données, qui sont susceptibles d'entraîner des risques particuliers pour les personnes concernées, tenant par exemple à la collecte erronée de données les concernant et ce, en raison de leur enregistrement manuel dans le traitement. Le ministère a précisé que ce point fera l'objet d'un rappel au sein de la doctrine d'emploi relative au traitement.
En deuxième lieu, elle considère que compte tenu du caractère particulièrement sensible de certains de ces traitements, a fortiori ceux dispensés de publication ou intéressant la sûreté de l'Etat, des mesures devront impérativement être mises en œuvre afin d'assurer la mise à jour effective des données ainsi conservées.
En troisième lieu, sans remettre en cause la nécessité de collecter des données permettant la prévention des atteintes à la sécurité publique, la sûreté de l'Etat, ou encore le suivi de personnes susceptibles de prendre part à des activités terroristes et, à cette fin, de consulter les traitements ainsi visés, la Commission considère qu'il aurait été hautement souhaitable de modifier les actes réglementaires encadrant les fichiers concernés afin de mentionner explicitement qu'ils peuvent faire l'objet d'un rapprochement avec le traitement GIPASP.
De la même manière, si toutes les catégories qui ont vocation à être alimentées par ces traitements sont mentionnées de manière exhaustive à l'article 2 du projet de décret, la Commission estime que le projet d'acte aurait pu également mentionner explicitement les fichiers effectivement consultés permettant d'alimenter ces catégories. Dans la mesure où les traitements concernés ont été identifiés de manière exhaustive et afin d'éviter, en pratique, l'utilisation d'autres traitements, elle invite le ministère à compléter le projet de décret sur ce point.
Sur la collecte de données relatives aux victimes et aux personnes en contact régulier et non fortuit avec la personne ou le groupement suivi
A titre liminaire, la Commission relève que l'article R. 236-22 du CSI prévoit d'ores et déjà la collecte de données relatives aux « personnes entretenant ou ayant entretenu des relations directes et non fortuites avec l'intéressé ». L'article 2 du projet de décret entend dès lors préciser les données pouvant être collectées à ce titre et limiter les hypothèses dans lesquelles elles pourront faire l'objet d'un enregistrement.
L'article 2 du projet de décret prévoit en outre que des données relatives aux victimes des agissements de la personne susceptible de porter atteinte à la sécurité publique ou la sûreté de l'Etat, pourront, dans certains cas limitativement prévus, faire l'objet d'une collecte au sein du traitement.
Le projet de décret dresse de manière exhaustive la liste des données susceptibles d'être enregistrées dans le traitement. A cet égard, la Commission prend acte des précisions apportées par le ministère selon lesquelles chaque information sera collectée dans la stricte mesure où elle est nécessaire au suivi de la personne et, plus particulièrement, à la motivation de l'inscription dans le traitement de la personne faisant l'objet d'un suivi.
La Commission prend acte que le projet de décret limite expressément à certaines catégories d'informations la collecte de données relatives à ces personnes. Le ministère a par ailleurs précisé que ces informations seront mentionnées dans le corps de fiches de renseignements. Ainsi les victimes ne pourront faire l'objet d'une fiche spécifique. Dans ce contexte, il a été en outre précisé que la doctrine imposera spécifiquement de ne faire mention que des informations nécessaires, en précisant explicitement le motif de leur enregistrement. Enfin, il est pris acte de ce que ces données ne pourront faire l'objet de criblage dans le cadre de la réalisation d'enquêtes administratives par exemple.
Dans ce contexte, la Commission considère qu'il est indispensable que les critères relatifs à la nécessité de la collecte de données relatives à ces catégories de données, tels que décrits par le ministère, soient strictement respectés. Dans ces conditions uniquement, la Commission estime que la collecte de ces informations est légitime, au regard des finalités du traitement, et conformément à l'article 4-3° de la loi du 6 janvier 1978 modifiée. Elle rappelle en outre qu'elle pourra être amenée à contrôler le respect de ces modalités de mise en œuvre.
Dans la mesure où ces données ont vocation à être conservées pour la même durée que les informations relatives à la personne faisant l'objet d'un suivi, elle souligne l'importance d'assurer un contrôle strict de ces durées, et plus spécifiquement dans l'hypothèse de la collecte d'informations relatives à des mineurs. Elle rappelle à cet égard l'obligation faite au directeur général de la gendarmerie nationale de présenter chaque année à la Commission un rapport sur ses activités de vérification, de mise à jour et d'effacement des données enregistrées dans le traitement, et notamment, celles relatives aux mineurs. La Commission considère que cette garantie est une mesure importante permettant de concourir au respect des principes relatifs à la protection des données.
Sur la possibilité d'effectuer une recherche à partir de la photographie
L'article 2 du projet de décret prévoit la possibilité d'effectuer une recherche à partir des photographies enregistrées dans le traitement.
A cet égard, la Commission relève qu'en l'état des développements communiqués par le ministère, l'interrogation par la photographie doit constituer une nouvelle possibilité d'interrogation du traitement (à l'instar du nom), qui n'a pas vocation à se substituer aux modes de consultation du traitement actuellement mis en œuvre. Elle prend acte des précisions apportées selon lesquelles ce dispositif doit uniquement permettre l'interrogation du traitement GIPASP aux fins de déterminer si la personne dont la photographie est soumise figure déjà dans le traitement, ne constituant ainsi qu'une aide à l'identification de la personne. A cet égard, elle prend également acte que d'autres applications ne pourront pas faire l'objet d'une interrogation à partir de cette photographie.
Le ministère a par ailleurs précisé que le résultat de l'interrogation sera recoupé avec d'autres éléments en possession du service permettant de confirmer l'identité de l'individu (comme par exemple les signes physiques particuliers connus) et pourra servir de base à une recherche plus poussée des personnels de la gendarmerie nationale. Un résultat positif ne suffira en aucune manière à lui seul à fonder une décision à l'égard de la personne, et aucune conséquence directe n'affectera la personne concernée.
Elle constate en outre que le projet de décret exclut explicitement cette possibilité s'agissant des personnes entretenant ou ayant entretenu un lien avec les personnes susceptibles de porter atteinte à la sécurité publique ou la sûreté de l'Etat, ainsi que les victimes, le traitement ne le permettant pas.
Si la Commission prend acte de l'ensemble des précisions apportées par le ministère, elle relève cependant que cette fonctionnalité n'est pas encore développée dans l'application et qu'elle ne constitue qu'un projet. Sans remettre en cause le principe de la mise en œuvre d'un tel dispositif, elle s'interroge, en l'absence de précisions sur ce point, sur les caractéristiques techniques du futur dispositif et sur les données qui seront nécessaires à son fonctionnement. Elle estime notamment que, dans le cas où le dispositif utiliserait un gabarit biométrique, celui-ci constituerait en lui-même une donnée relevant d'une catégorie distincte de celles listées dans le projet de décret. Dans cette hypothèse, le déploiement de ce mode d'interrogation du fichier nécessiterait donc la modification de l'article R. 236-22 du code de la sécurité intérieure, après saisine de la Commission, dans les conditions prévues à l'article 31 de la loi du 6 janvier 1978 modifiée.
En tout état de cause, elle demande à être rendue destinataire de tout élément permettant d'apprécier les modalités, notamment techniques, de mise en œuvre de cette fonctionnalité, ainsi que l'analyse d'impact relative à la vie privée des données mise à jour et ce, avant sa mise en œuvre effective. Elle rappelle qu'elle ne manquera pas de faire usage, le cas échéant, de ses pouvoirs de contrôle, en application de l'article 19 de la loi du 6 janvier 1978 modifiée.
Sur les droits des personnes concernées
En premier lieu, l'article 8 du projet de décret précise que les droits des personnes s'exercent de manière différente selon que les données intéressent ou non la sûreté de l'Etat. Le caractère de fichier mixte, relevant concurremment des titres III et IV de la loi du 6 janvier 1978 modifiée, entraîne une complexité particulière des modalités d'exercice des droits. Or la Commission rappelle que l'exercice des droits des personnes, et notamment la possibilité de demander à accéder aux données les concernant, constitue une garantie importante en vue de prévenir des atteintes à leur vie privée.
En l'espèce, d'une part, pour les données considérées comme intéressant la sûreté de l'Etat, les droits d'accès, de rectification et d'effacement des données enregistrées s'exercent auprès de la Commission, dans les conditions prévues à l'article 118 de la loi du 6 janvier 1978 modifiée.
D'autre part, pour les autres données, les droits d'information, d'accès, de rectification, d'effacement et à la limitation s'exercent directement auprès de la direction générale de la gendarmerie nationale.
La Commission relève que ces droits peuvent faire l'objet de restrictions, afin d'éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, d'éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ou de protéger la sécurité publique et la sécurité nationale, en application des 2° et 3° des II et III de l'article 107 de la loi du 6 janvier 1978 modifiée. Compte tenu de la finalité du traitement, la limitation de ces droits, qui s'exercent dans cette hypothèse auprès de la Commission dans les conditions prévues à l'article 108 de la même loi, n'appelle pas d'observation particulière.
En revanche, la Commission estime que les dispositions projetées ne permettent pas de rattacher de manière exclusive les données concernées à la finalité pour laquelle elles sont traitées. Dès lors, ces dispositions ne permettent pas aux personnes concernées de déterminer avec certitude les modalités selon lesquelles elles peuvent exercer leurs droits.
A cet égard, elle prend acte de ce que le ministère l'a assurée que les données relevant du régime spécifique des traitements intéressant la sûreté de l'Etat seront identifiées comme telle dans le fichier. La Commission considère que la mise en œuvre de marqueurs spécifiques, ou d'un dispositif équivalent, doit permettre de déterminer précisément les données considérées comme intéressant la sûreté de l'Etat, sur la base de critères précis. Une telle identification est de nature à permettre au responsable de traitement saisi d'une demande d'exercice des droits sur le fondement du titre III de la loi du 6 janvier 1978 modifiée de n'exclure de sa réponse que les données identifiées par avance, et sur la base de critères précis, comme relevant du régime du titre IV. Dès lors qu'il s'agit d'une modalité essentielle de l'exercice des droits en présence d'un fichier relevant à la fois du titre III et du titre IV de la loi, la Commission estime que le décret devrait préciser que les données relevant du titre IV sont identifiées comme telle dans le fichier.
En tout état de cause, elle considère qu'en l'absence de dispositions ou de mesures permettant une identification objective des données exclues du droit d'accès direct, l'application des dispositions du titre III de la loi du 6 janvier 1978 modifiée devrait prévaloir.
En deuxième lieu, l'article 8 du projet de décret prévoit que le droit d'opposition ne s'applique pas au présent traitement, ce qui n'appelle pas d'observation.
En troisième lieu, il est souligné que la juridiction compétente pour traiter du contentieux lié à l'exercice des droits diffèrent selon que les données intéressent ou non la sûreté de l'Etat. L'article 7 du projet de décret modifie à ce titre les dispositions de l'article R. 841-2 du CSI afin de prévoir la compétence du Conseil d'Etat, pour les données intéressant la sûreté de l'Etat. S'agissant des autres données, et sans que le texte n'ait à le prévoir, la compétence revient au tribunal administratif de Paris. La Commission appelle l'attention du ministère sur la complexité de cette répartition et estime qu'une réflexion d'ensemble pourrait être menée afin de clarifier la répartition du contentieux entre le Conseil d'Etat et le tribunal administratif de Paris.
Sur les modifications apportées aux autres conditions de mise en œuvre du traitement
Sur les données collectées
A titre liminaire, la Commission relève que la rédaction de certaines catégories de données est particulièrement large. Si elle ne remet pas en cause la difficulté de préciser de manière exhaustive l'ensemble des données pouvant être collectées à ce titre, au regard notamment des nécessités opérationnelles propres à chaque situation, elle estime toutefois qu'à certains égards, le projet de décret pourrait être précisé afin de délimiter de manière plus fine ce que recoupent ces catégories.
En premier lieu, l'article 3 du projet de décret prévoit que des « données de santé révélant une dangerosité ou une vulnérabilité particulière » peuvent faire l'objet d'une collecte. A ce titre, des données portant sur des « troubles psychologiques ou psychiatriques connus ou signalés dans le mesure où ces données sont strictement nécessaire à l'évaluation de la dangerosité » peuvent faire l'objet d'une collecte.
A cet égard, la Commission prend acte que les informations ainsi collectées se limitent à la description des troubles et de l'éventuel suivi psychiatrique d'une personne, à l'exclusion de toute donnée fournie par un professionnel de santé soumis au secret médical.
Elle rappelle néanmoins que la mention de ces informations revêt un caractère sensible. En effet, ces informations constituent des données de santé au sens de la réglementation applicable en matière de protection des données à caractère personnel, qui doivent faire l'objet d'une vigilance renforcée. Si la collecte de ces données n'appelle pas d'observation particulière, elle souligne que toute information qui serait couverte par le secret médical devrait, en outre, bénéficier, sauf disposition contraire, de la protection prévue à l'article L. 1110-4 du code de la santé publique.
En deuxième lieu, l'article 2 du projet de décret prévoit que les « identifiants utilisés sur les réseaux sociaux » ou les « activités sur les réseaux sociaux » peuvent faire l'objet d'une collecte au sein traitement.
A cet égard, la Commission prend acte des précisions apportées par le ministère selon lesquelles l'ensemble des réseaux sociaux est concerné dans le cadre de recherches en source ouverte, et que les données sont à ce titre collectées sur des pages ou des comptes ouverts. Par ailleurs, les « identifiants utilisés » correspondent par exemple au pseudonyme de la personne concernée à l'exclusion du mot de passe associé. Elle relève en outre que des données pourront également être collectées dans les conditions prévues à l'article L. 863-1 du CSI. Elle souligne que si des données concernant d'autres personnes peuvent être collectées, elle prend acte que les fiches de renseignement ne feront pas état de ces tiers et que seules les pièces jointes de ces fiches feront apparaître ces pseudonymes ou identifiants.
Sans remettre en cause les précisions apportées par le ministère, la Commission estime que les dispositions du projet de décret ne permettent pas une compréhension claire et précise de la nature des données susceptibles d'être enregistrées à ce titre, ni des modalités de cette collecte, pouvant par exemple renvoyer à des réalités différentes selon la politique de confidentialité du réseau concerné. Elle demande à ce que le projet de décret soit précisé en ce sens, et considère qu'il devrait également exclure explicitement la possibilité d'une collecte automatisée de ces données.
Sous ces réserves, la Commission considère que la collecte de ces données est pertinente au regard des finalités du traitement, et conformément à l'article 4-3° de la loi du 6 janvier 1978 modifiée.
En troisième lieu, l'article 2 du projet de décret prévoit que les « agissements susceptibles de recevoir une qualification pénale », les « suites judiciaires » ainsi que les « antécédents judiciaires (nature des faits et date) » pourront faire l'objet d'un enregistrement au sein du traitement.
La Commission prend acte des précisions apportées par le ministère selon lesquelles les informations susceptibles d'être collectées à ce titre pourront porter notamment sur des investigations, des informations résultant des contrôle de la voie publique ou encore des modalités relatives au suivi judiciaire de la personne concernée (interdiction de présence dans une ville, par exemple).
La Commission souligne qu'elle avait déjà pris acte, dans sa délibération n° 2010-456 du 9 décembre 2010 que les « agissements susceptibles de recevoir une qualification pénale » feront référence à des faits et en aucun cas à des condamnations pénales. Elle rappelle que la collecte de données relatives aux catégories précitées ne pourra en aucun cas porter sur des jugements ou des arrêts de condamnations, conformément aux dispositions de l'article 777-3 du code de procédure pénale.
Sur les destinataires
L'article 6 du projet de décret prévoit d'étendre la liste des personnes pouvant avoir communication d'informations enregistrées dans le traitement. Il prévoit que, dans la limite du besoin d'en connaitre, peuvent être destinataires des données enregistrées dans le traitement :
- les personnes ayant autorité sur les services ou unité ayant accès aux données enregistrées dans le traitement, conformément aux dispositions en vigueur de l'article R. 236-16 du CSI ;
- les procureurs de la République ;
- les agents d'un service de la police nationale ou d'une unité de gendarmerie nationale chargés d'une mission de renseignement et les agents des services mentionnés aux articles R. 811-1 et R. 811-2 du CSI, sur autorisation expresse ;
- les personnels de la police nationale ou les militaires de la gendarmerie nationale qui ne sont pas chargés d'une mission de renseignement sur demande expresse, précisant l'identité du demandeur, l'objet et les motifs de la consultation.
Si la possibilité de transmettre les informations issues du traitement à l'ensemble de ces personnes est justifiée au regard, tant des missions de ces services que des finalités du traitement GIPASP, la Commission estime cependant que le projet de décret aurait pu détailler de manière plus précise les données qui peuvent leur être effectivement transmises, notamment s'agissant de celles relatives aux victimes. A cet égard, le ministère a précisé que le gestionnaire du traitement ne transmet pas de données n'étant pas en lien avec la demande formulée, dans le strict respect du droit d'en connaitre (conduisant à l'absence de communication de données relatives aux victimes par exemple), et s'engage à mentionner ce point dans la doctrine d'emploi du traitement.
Enfin, elle considère, s'agissant des personnels de la police nationale ou des militaires de la gendarmerie nationale qui ne sont pas chargés d'une mission de renseignement, que l'usage du terme « consultation » figurant dans le projet du décret semble induire qu'ils disposent d'un accès direct au traitement. Elle prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.
Sur les mesures de sécurité
La Commission rappelle que, compte tenu de la nature des données, et pour des raisons de défense en profondeur, des mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité doivent être mise en œuvre, tant au niveau des bases de données actives, des communications, des données de journalisation, que des sauvegardes.
En ce qui concerne les modalités d'authentification, la Commission prend acte de l'utilisation possible d'un identifiant associé à un mot de passe ou d'une carte agent associée à un code PIN, de la transition future vers un accès exclusivement par carte agent et code PIN, ainsi que de l'engagement du ministère d'assurer un niveau de sécurité répondant aux normes ou aux référentiels d'une authentification forte. Elle recommande en outre, le suivi de sa délibération 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.
L'article 7 du projet de décret prévoit que « les opérations de collecte, de modification, de consultation, de communication, de transfert, d'interconnexion et de suppression des données à caractère personnel et informations font l'objet d'un enregistrement », et que « ces données sont conservées pendant un délai de six ans ».
A titre liminaire, la Commission souligne que dans la mesure où le traitement ne fait pas l'objet d'interconnexions mais de rapprochements uniquement, dans les conditions précédemment développées, le ministère s'est engagé à modifier les dispositions du projet de décret en ce sens, et ce, aux fins de clarté du dispositif.
En ce qui concerne la durée de conservation des données de journalisation, la Commission rappelle que la collecte de ces données a pour seule finalité la détection et/ou la prévention d'opérations illégitimes sur les données. La durée de stockage de ces traces doit être fixée de manière proportionnée à cette unique finalité. De plus, elle souligne que ces données ne doivent en aucun cas permettre d'avoir des informations sur des données dont la durée de conservation est dépassée.
La Commission prend acte des mesure de contrôle qualité des données mené par la SSOR pour les fiches entité (FIE), les cellules RENS pour les fiches de renseignement simplifié produites par les unités élémentaires (FRS), ainsi que par les bureaux RENS pour les fiches de renseignement élaboré (FRE/FREC) produites par les cellules RENS.
Enfin, en ce qui concerne les mesures permettant d'assurer l'intégrité la Commission recommande qu'une empreinte des données avec une fonction de hachage conforme à l'annexe B1 du référentiel général de sécurité soit utilisée.
Les autres mesures de sécurité n'appellent pas d'observations de la part de la Commission.Liens relatifs
La présidente,
M.-L. Denis