Délibération n° 2020-066 du 25 juin 2020 portant avis sur un projet de décret modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé « Enquêtes administratives liées à la sécurité publique » (demande d'avis n° 19013317)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé « Enquêtes administratives liées à la sécurité publique ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu le code de la sécurité intérieure, notamment ses articles R. 236-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2010-427 du 25 novembre 2010 portant avis sur un projet de décret en Conseil d'Etat portant modification des décrets n° 2009-1249 et n° 2009-1250 du 16 octobre 2009 portant création des traitements de données à caractère personnel respectivement relatifs à la prévention des atteintes à la sécurité publique (PASP) et aux enquêtes administratives liées à la sécurité publique (EASP) ;
Vu la délibération n° 2017-153 du 18 mai 2017 portant avis sur un projet de décret modifiant plusieurs traitements automatisés de données à caractère personnel du code de la sécurité intérieure ;


  • Après avoir entendu Mme Sophie LAMBREMON, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
    Emet l'avis suivant :
    Le traitement « Enquêtes administratives liées à la sécurité publique » (EASP), mis en œuvre par la direction centrale de la sécurité publique et la préfecture de police, permet de faciliter la réalisation d'enquêtes administratives au moyen du recueil et de l'exploitation d'informations nécessaires pour répondre aux demandes dévolues au renseignement territorial conformément aux dispositions des articles R. 114-2 à R. 114-5 du code de la sécurité intérieure (CSI).
    Ce traitement, sur lequel la Commission s'est déjà prononcée à plusieurs reprises, vise à assurer la fiabilité d'enquêtes effectuées par le recoupement au niveau national d'informations collectées, archivées et exploitées pour répondre aux demandes d'enquêtes administratives, dans le but de déterminer si le comportement de l'intéressé est ou non compatible avec l'exercice des fonctions ou des missions envisagées.
    Le projet de décret vise à permettre de tenir compte de l'évolution de certaines pratiques dans l'utilisation de ce traitement et, ce faisant, de les régulariser. La Commission relève que si le périmètre des enquêtes administratives visées par les dispositions relatives au traitement EASP ne fait pas l'objet d'évolution, le projet de décret entend préciser les finalités du traitement, permettre la collecte de nouvelles données et, notamment celles issues d'autres traitements. Enfin, le projet de décret modifie les dispositions applicables aux droits des personnes concernées, afin de tenir compte de l'évolution de la réglementation en matière de protection des données à caractère personnel.
    La Commission prend acte des éléments transmis par le ministère selon lesquels le traitement EASP, mis en œuvre à des fins de réalisation d'enquêtes administratives, relève des dispositions de la directive 2016/680, et intéresse pour partie la sûreté de l'Etat. Il résulte de l'évolution du cadre juridique relatif à la protection des données à caractère personnel que les dispositions applicables au traitement des données figurant au sein de ce dispositif et intéressant la sûreté de l'Etat, sont exclues du champ d'application de la directive 2016/680 et relèvent spécifiquement des articles 1 à 41 et 115 à 124 de la loi du 6 janvier 1978 modifiée. Enfin, dans la mesure où des données mentionnées au I de l'article 6 de cette même loi sont susceptibles d'être enregistrées, la modification du traitement EASP doit faire l'objet d'un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission.
    Sur le périmètre du traitement et le régime juridique applicable
    De manière générale, la Commission observe que ces dernières années ont été marquées par la mise en œuvre successive de nouveaux dispositifs d'enquêtes administratives témoignant d'un élargissement significatif du champ d'intervention de ces dernières. Elle rappelle qu'une vigilance particulière s'impose s'agissant de ces dispositifs qui visent à renforcer les contrôles opérés notamment pour prévenir la réalisation d'attentats terroristes ou d'actes susceptibles de porter atteinte à la sûreté de l'Etat. La Commission estime en effet que la réalisation d'enquêtes administratives doit s'accompagner de garanties fortes pour s'assurer que les enquêtes ainsi réalisées, qui conduisent au traitement de données particulièrement sensibles sur un nombre de plus en plus important de personnes, ne portent pas d'atteintes excessives au droit au respect de la vie privée des intéressés.
    L'article 1er du projet de décret vise à préciser que les enquêtes administratives pouvant être réalisées dans le cadre du traitement EASP, peuvent « notamment prendre en compte la menace que représentent les personnes qui en font l'objet pour la sécurité publique ou la sûreté de l'Etat ».
    La Commission prend acte des justifications apportées par le ministère selon lesquelles la réalisation de certaines des enquêtes visées conduisent à l'interrogation de fichiers dont certains contiennent des données intéressant la sûreté de l'Etat, et que, dès lors, le traitement EASP relève pour partie des dispositions du titre IV de la loi du 6 janvier 1978 modifiée.
    Elle relève que la modification projetée, qui vise à préciser que pourra notamment être pris en compte la menace pour la sécurité publique ou la sûreté de l'Etat, n'a vocation à constituer qu'un objet aux finalités principales du traitement. Si elle estime que cette seule précision n'est pas de nature à permettre de considérer que le traitement relève pour partie des dispositions relatives au titre IV de la loi du 6 janvier 1978 modifiée, elle estime qu'en raison de la nature de certaines des enquêtes pouvant être diligentées (et notamment concernant l'accès à des zones protégées) ainsi que des caractéristiques des traitements pouvant être consultés dans le cadre de la réalisation de ces enquêtes, le traitement est de nature à relever, pour partie, de la sûreté de l'Etat.
    Dans ce contexte de fichier mixte relevant à la fois des titres III et IV de la loi du 6 janvier 1978 modifiée, la Commission estime indispensable que des mesures soient mises en œuvre afin de permettre de distinguer de manière précise les données ayant vocation à être traitées pour des finalités relevant de la sûreté de l'Etat. Elle rappelle en outre que les enquêtes visées à l'article L. 114-1 du CSI conditionnent l'adoption de décisions administratives nombreuses, très diverses et ne présentant pas toutes le même degré de sensibilité. La Commission souligne que si les dispositions relatives au traitement EASP font effectivement référence aux enquêtes prévues aux articles L. 114- 1, L. 114-2, L. 211-11-1 du CSI et à l'article 17-1 de la loi n° 95-73 du 21 janvier 1995, aucune précision quant au champ du dispositif n'est apportée par le présent projet de décret, s'agissant en particulier des enquêtes précisément visées dans ce cadre.
    Sur la collecte de données issues d'autres fichiers et les rapprochements projetés
    L'article 2 du projet de décret prévoit la collecte de nouvelles catégories de données et notamment, l'enregistrement d'informations résultant de l'interrogation ou de la consultation d'autres fichiers ainsi que l'ajout de la mention de l'enregistrement de la personne concernée dans un autre traitement.
    La Commission relève ainsi qu'une distinction est réalisée entre les informations enregistrées au titre d'une catégorie de données et la mention de l'inscription d'une personne au sein d'un traitement (par exemple, « personne connue au TAJ »). Elle prend acte que cette précision résulte du fait que l'inscription ou non d'une personne dans un traitement constitue une information en soi.
    En premier lieu, la Commission relève que de nombreuses catégories de données telles que la « situation au regard de la réglementation de l'entrée et du séjour en France », les « armes et titres afférents », les « moyens de déplacement », les « mesures d'incarcération » ou encore les « fiches de recherche » seront alimentées manuellement par d'autres traitements. Ces fichiers sont : l'application de gestion du répertoire informatisé des propriétaires et possesseurs d'armes (AGRIPPA), l'application de gestion des dossiers de ressortissants étrangers en France (AGDREF), le système national des permis de conduire (SNPC), le système d'immatriculation des véhicules (SIV), le traitement d'antécédents judiciaires (TAJ) et le fichier des personnes recherchées (FPR), le système d'information Schengen (SIS), le fichier des objets et des véhicules volés (FOVeS), le traitement de gestion de l'information et prévention des atteintes à la sécurité publique (GIPASP), le traitement de gestion de l'information et prévention des atteintes à la sécurité publique (GEDRET), le traitement automatisé de données à caractère personnel dénommé « FSPRT », le traitement pour la prévention des atteintes à la sécurité publique (PASP).
    En second lieu, l'article 2 du projet de décret prévoit que pourra faire l'objet d'une collecte dans le traitement « l'indication de l'enregistrement ou non de la personne dans les traitements suivants […] » :


    - le traitement d'antécédents judiciaire mentionné aux articles R. 40-23 et suivants du code de procédure pénale (TAJ) ;
    - le système informatique national N-SIS II mentionné aux articles R. 231-5 et suivants du CSI ;
    - le traitement automatisé de données à caractère personnel dénommé « Prévention des atteintes à la sécurité publique » (PASP) ;
    - le traitement « gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP) ;
    - le fichier des personnes recherchées prévu par le décret n° 2010-539 du 28 mai 2010 (FPR) ;
    - le traitement automatisé de données à caractère personnel dénommé « FSPRT » ;
    - le fichier des objets et des véhicules volés (FOVeS).


    A titre liminaire, la Commission prend acte des précisions apportées par le ministère selon lesquelles, l'accès aux fichiers consultés se fait par des agents du renseignement territorial expressément et individuellement habilités, au moyen du nom, du prénom et de la date de naissance de la personne concernée par l'enquête administrative. L'ensemble de ces fichiers n'est pas interconnecté avec le traitement EASP.
    De manière générale, elle rappelle qu'il importe de s'assurer que seuls les traitements comportant des données pertinentes, adéquates et nécessaires au regard des finalités du traitement EASP soient consultés. De la même manière, la Commission estime qu'une attention particulière devra être portée aux modalités de collecte des données, qui sont susceptibles d'entraîner des risques particuliers pour les personnes concernées, tenant par exemple à la collecte erronée de données les concernant et ce, en raison de leur enregistrement manuel dans le traitement.
    Par ailleurs, elle considère que, compte tenu du caractère particulièrement sensible de certains de ces traitements, a fortiori ceux dispensés de publication ou intéressant la sûreté de l'Etat, des mesures devront impérativement être mises en œuvre afin d'assurer la mise à jour effective des données ainsi conservées.
    Sans remettre en cause la nécessité de collecter des données permettant la prévention des atteintes à la sécurité publique, la sûreté de l'Etat, ou encore le suivi de personnes susceptibles de prendre part à des activités terroristes, et à cette fin, de consulter les traitements ainsi visés, la Commission considère qu'il aurait été hautement souhaitable de modifier les actes réglementaires encadrant les fichiers concernés afin de mentionner explicitement qu'ils peuvent faire l'objet d'un rapprochement avec le traitement EASP.
    De la même manière, si toutes les catégories qui ont vocation à être alimentées par ces traitements sont mentionnées de manière exhaustive à l'article 2 du projet de décret, la Commission estime que le projet d'acte aurait pu également mentionner explicitement les fichiers effectivement consultés permettant d'alimenter ces catégories. Dans la mesure où les traitements concernés ont été identifiés de manière exhaustive et afin d'éviter, en pratique, l'utilisation effective d'autres traitements, elle invite le ministère à compléter le projet de décret sur ce point.
    Sur les données collectées
    La Commission relève que le projet de décret vise à étendre de manière très significative la liste des catégories de données susceptibles d'être collectées. A ce titre, pourront par exemple faire l'objet d'un enregistrement dans le traitement les informations relatives aux activités et comportements de la personne concernée, ses déplacements, ou des éléments relatifs à un facteur d'incompatibilité au regard de la demande formulée (tel qu'un suivi pour radicalisation, des antécédents judiciaires ou encore un comportement auto agressif).
    De manière générale, si la collecte d'une grande partie de ces données n'appelle pas d'observation, la Commission relève que la rédaction de certaines catégories de données est particulièrement large. Sans remettre en cause la difficulté de préciser de manière exhaustive l'ensemble des données pouvant être collectées à ce titre au regard des nécessités opérationnelles propres à chaque situation, elle estime toutefois que s'agissant notamment des catégories relatives au « comportement », aux « déplacements » ou encore aux « pratiques sportives », le projet de décret pourrait être précisé afin de délimiter de manière plus fine ce que recoupe ces catégories.
    En premier lieu, l'article 2 du projet de décret prévoit que les « identifiants utilisés sur les réseaux sociaux » ainsi que les « activités sur les réseaux sociaux » pourront faire l'objet d'une collecte.
    A cet égard, la Commission prend acte des précisions apportées selon lesquelles les identifiants utilisés sur les réseaux sociaux sont soit fournis par la personne faisant l'objet de l'enquête, soit recherchés en source ouverte par l'enquêteur, à l'exclusion des mots de passe associés. Par ailleurs, seules les informations mises volontairement en ligne par leurs propriétaires en source ouverte, sans qu'elles soient conditionnées à un accès particulier, pourront être consultées et collectées. Si la collecte d'autres informations est catégoriquement exclue, la Commission relève que des données sont également susceptibles être collectées dans les conditions prévues à l'article L. 863-1 du CSI. En tout état de cause, des propos isolés tenus sur un réseau social ne peuvent suffire à justifier une décision défavorable.
    Sans remettre en cause les précisions apportées par le ministère, la Commission estime que les dispositions du projet de décret ne permettent pas une compréhension claire et précise de la nature des données susceptibles d'être enregistrées à ce titre, ni des modalités de cette collecte, pouvant par exemple renvoyer à des réalités différentes selon la politique de confidentialité du réseau concerné. Elle demande à ce que le projet de décret soit précisé en ce sens, et considère qu'il devrait également exclure explicitement la possibilité d'une collecte automatisée de ces données.
    Sous ces réserves, la Commission considère que la collecte de ces données est pertinente au regard des finalités du traitement, et conformément à l'article 4-3° de la loi du 6 janvier 1978 modifiée.
    En deuxième lieu, l'article 3 du projet de décret prévoit que les informations « relatives à des données de santé en tant qu'une telle information révèlerait une dangerosité ou vulnérabilité particulière » peuvent faire l'objet d'une collecte. A ce titre, des données portant sur des « troubles psychologiques ou psychiatriques connus ou signalés dans le mesure où ces données sont strictement nécessaire à l'évaluation de l'incompatibilité » peuvent faire l'objet d'une collecte.
    A cet égard, la Commission prend acte que les informations ainsi pourront être issues des traitements « prévention des atteintes à la sécurité publique » (PASP) ou du traitement permettant la conservation, la gestion et l'exploitation électroniques des documents des services du ministère de l'intérieur chargés des missions de renseignement territorial (GEDRET). Elle relève en outre qu'aucune recherche à partir de cette donnée ne peut être réalisée.
    Elle rappelle néanmoins que la mention de ces informations revêt un caractère sensible. En effet, ces informations constituent des données de santé au sens de la réglementation applicable en matière de protection des données à caractère personnel, qui doivent faire l'objet d'une vigilance renforcée. Elle souligne que toute information qui serait couverte par le secret médical devrait, en outre, bénéficier, sauf disposition contraire, de la protection prévue à l'article L. 1110-4 du code de la santé publique.
    En troisième lieu, l'article 2 du projet de décret prévoit que les « agissements susceptibles de recevoir une qualification pénale », les « suites judiciaires » ainsi que les « antécédents judiciaires (nature des faits et date) » pourront faire l'objet d'un enregistrement au sein du traitement.
    A cet égard, la Commission rappelle que la collecte de données relatives aux catégories précitées ne pourra en aucun cas porter sur des jugements ou des arrêts de condamnation, conformément aux dispositions de l'article 777-3 du code de procédure pénale.
    Sur les garanties apportées aux modalités de traitement de certaines catégories de données
    En premier lieu, l'article R. 236-2 du CSI dans sa rédaction en vigueur prévoit que des photographies peuvent être recueillies. A cet égard, l'article 2 du projet de décret prévoit expressément que « le traitement ne comporte pas de dispositif de reconnaissance faciale à partir de la photographie », ce dont la Commission prend acte.
    En second lieu, elle relève que les dispositions en vigueur de l'article R. 236-2 du CSI, précisent que « le traitement ne permet de recherches automatisées qu'à partir des données mentionnées aux 1° et 2° », ce que le projet de décret entend supprimer. La Commission estime que cette précision constitue une garantie importante, compte tenu notamment de l'évolution du volume de données pouvant être traité. Elle prend acte de l'engagement du ministère de modifier le projet de décret afin de réintégrer cette garantie.
    Sur les droits des personnes concernées
    En premier lieu, l'article 5 du projet de décret précise que les droits des personnes s'exercent de manière différente selon que les données intéressent ou non la sûreté de l'Etat. Le caractère de fichier mixte, relevant concurremment des titres III et IV de la loi du 6 janvier 1978 modifiée, entraîne une complexité particulière des modalités d'exercice des droits. Or la Commission rappelle que l'exercice des droits des personnes, et notamment la possibilité de demander à accéder aux données les concernant, constitue une garantie importante en vue de prévenir des atteintes à leur vie privée.
    En l'espèce, d'une part, pour les données considérées comme intéressant la sûreté de l'Etat, les droits d'accès, de rectification et d'effacement des données enregistrées s'exercent auprès de la Commission, dans les conditions prévues à l'article 118 de la loi du 6 janvier 1978 modifiée.
    D'autre part, pour les autres données, les droits d'information, d'accès, de rectification, d'effacement et à la limitation s'exercent directement auprès de la direction générale de la police nationale.
    La Commission relève que ces droits peuvent faire l'objet de restrictions, afin d'éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, d'éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ou de protéger la sécurité publique et la sécurité nationale, en application des 2° et 3° des II et III de l'article 107 de la loi du 6 janvier 1978 modifiée. Compte tenu de la finalité du traitement, la limitation de ces droits, qui s'exercent dans cette hypothèse auprès de la Commission dans les conditions prévues à l'article 108 de la même loi, n'appelle pas d'observation particulière.
    En revanche, la Commission estime que les dispositions projetées ne permettent pas de rattacher de manière exclusive les données concernées à la finalité pour laquelle elles sont traitées. Dès lors, ces dispositions ne permettent pas aux personnes concernées de déterminer avec certitude les modalités selon lesquelles elles peuvent exercer leurs droits.
    A cet égard, elle considère que la mise en œuvre de marqueurs spécifiques, ou d'un dispositif équivalent, pourrait permettre de déterminer précisément les données considérées comme intéressant la sûreté de l'Etat, sur la base de critères précis. Une telle identification serait de nature à permettre au responsable de traitement saisi d'une demande d'exercice des droits sur le fondement du titre III de la loi du 6 janvier 1978 modifiée, de n'exclure de sa réponse que les données identifiées par avance et sur la base de critères précis comme relevant du régime du titre IV. Dès lors qu'il s'agit d'une modalité essentielle de l'exercice des droits en présence d'un fichier relevant à la fois du titre III et du titre IV de la loi, la Commission estime que le décret devrait en outre le préciser.
    En tout état de cause, elle considère qu'en l'absence de dispositions ou de mesures permettant une identification objective des données exclues du droit d'accès direct, l'application des dispositions du titre III de la loi du 6 janvier 1978 modifiée, devraient prévaloir.
    Enfin, concernant l'information des personnes concernées, la Commission prend acte que toute personne entendue dans le cadre de la réalisation d'une enquête administrative pour accéder aux fonctions de policier, mais aussi pour les demandes de naturalisation par déclaration, est informée de l'enregistrement de ses données à caractère personnel dans le traitement EASP par la remise d'un formulaire d'information. En outre, et de manière générale, l'information des personnes concernées est réalisée par la publication de l'acte réglementaire ainsi que par la publication sur le site internet du ministère de l'intérieur de la liste de l'ensemble des traitements qu'il met en œuvre.
    En deuxième lieu, l'article 5 du projet de décret prévoit que le droit d'opposition ne s'applique pas au présent traitement, ce qui n'appelle pas d'observation.
    En troisième lieu, il est souligné que la juridiction compétente pour traiter du contentieux lié à l'exercice des droits diffèrent selon que les données intéressent ou non la sûreté de l'Etat. L'article 7 du projet de décret modifie à ce titre les dispositions de l'article R. 841-2 du CSI afin de prévoir la compétence du Conseil d'Etat, pour les données intéressant la sûreté de l'Etat. S'agissant des autres données, et sans que le texte n'ait à le prévoir, la compétence revient au tribunal administratif de Paris.
    La Commission appelle l'attention du ministère sur la complexité de cette répartition et estime qu'une réflexion d'ensemble pourrait être menée afin de clarifier la répartition du contentieux entre le Conseil d'Etat et le tribunal administratif de Paris.
    Sur les mesures de sécurité
    La Commission relève que la mise en production du traitement est réalisée dans un environnement sécurisé. Elle considère toutefois que, compte tenu de la nature des données, et pour des raisons de défense en profondeur, des mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité doivent être mise en œuvre, tant au niveau des bases de données actives, des communications, des données de journalisation, que des sauvegardes. De plus, pour garantir le cloisonnement mis en place entre le réseau d'exploitation du traitement EASP et de l'Internet, la Commission recommande l'arrêt de l'utilisation de postes d'administrateurs accédant à la fois au réseau d'administration du traitement et à l'Internet, compte tenu du risque que cet usage est susceptible de représenter.
    En ce qui concerne les modalités d'authentification, la Commission prend acte de l'utilisation d'une carte agent associée à un code PIN ainsi que de l'engagement du ministère d'assurer un niveau de sécurité répondant aux normes ou aux référentiels d'une authentification forte. Elle recommande en outre, le suivi de sa délibération 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.
    Elle prend également acte des mesure de contrôle qualité des données menées sur leurs fiches enregistrées dans le traitement.
    L'article 4 du projet de décret prévoit que « les opérations de collecte, de modification, de consultation, de communication, de transfert, d'interconnexion et de suppression des données à caractère personnel et informations font l'objet d'un enregistrement », et que « ces données sont conservées pendant un délai de six ans ».
    A titre liminaire, la Commission souligne que dans la mesure où le traitement ne fait pas l'objet d'interconnexions mais de rapprochements uniquement, dans les conditions précédemment développées, le ministère s'est engagé à modifier les dispositions du projet de décret en ce sens, et ce, aux fins de clarté du dispositif.
    En ce qui concerne la durée de conservation des données de journalisation, la Commission rappelle que la collecte de ces données a pour seule finalité la détection et/ou la prévention d'opérations illégitimes sur les données. La durée de stockage de ces traces doit être fixée de manière proportionnée à cette unique finalité. De plus, elle souligne que ces données ne doivent en aucun cas permettre d'avoir des informations sur des données dont la durée de conservation est dépassée.
    Enfin, la Commission prend acte de la mise en œuvre de mesures permettant d'assurer l'intégrité des données du traitement. Elle recommande à cet égard qu'une empreinte des données du traitement avec une fonction de hachage conforme à l'annexe B1 du référentiel général de sécurité soit utilisée.
    Les autres mesures de sécurité n'appellent pas d'observations de la part de la Commission.


La présidente,
M.-L. Denis

Extrait du Journal officiel électronique authentifié PDF - 234,8 Ko
Retourner en haut de la page