La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de données à caractère personnel relatif à la centralisation des informations pour la coordination des acteurs de la sécurité intervenant dans les réseaux de transport en commun de voyageurs en Ile-de-France ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 31-II et son titre III ;
Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie par le ministère de l'intérieur d'un projet de décret portant création d'un traitement automatisé de données à caractère personnel relatif à la centralisation des informations pour la coordination des acteurs de la sécurité intervenant dans les réseaux de transport en commun de voyageurs en Ile-de-France (« SI CCOS »).
Le futur « Centre de Coordination Opérationnelle de Sécurité » (CCOS), dont les missions sont actuellement exercées par la salle d'information et de commandement « TN Réseaux », a pour but de rationaliser et de fluidifier les échanges entre les acteurs de la sécurité intervenant dans les réseaux de transport en commun de voyageurs de la région d'Ile-de-France.
Le CCOS est un nouveau centre d'information, de coordination et de commandement par lequel remonteront les informations relatives à la sécurité dans le réseau des transports franciliens provenant des patrouilles de la brigade des réseaux franciliens (BRF) sur le terrain, des équipes de sûreté/sécurité des exploitants de transport (groupe de protection et de sécurité des réseaux (GPSR) pour la RATP et la surveillance générale (SUGE) pour la SNCF notamment) ou par d'autres canaux (téléphone, radio, messagerie électronique, etc.). Il sera chargé :
- d'analyser les situations ;
- de transmettre les instructions aux patrouilles de terrain de la BRF pour traiter les faits de sécurité ;
- de coordonner l'action opérationnelle avec les opérateurs de sécurité des transporteurs (OST) ;
- de restituer l'information à la hiérarchie de la sous-direction régionale de la police des transports (SDRPT) ;
- de concourir à la sécurisation des emprises de transport en se plaçant sous le commandement direct de l'état-major de la direction de la sécurité de proximité de l'agglomération parisienne (DSPAP) lors d'événements exceptionnels.
Le système d'information « SI CCOS » permettra la transmission d'informations sur les faits constatés ou signalés par les acteurs présents dans le CCOS.
Ce projet de décret vise à créer et à encadrer « SI CCOS » afin, d'une part, de faciliter et de coordonner les interventions des services chargés de la sécurité au sein des réseaux de transport en commun de voyageurs de la zone de défense et de sécurité d'Ile-de-France et, d'autre part, d'améliorer la mise en œuvre des procédures judiciaires et administratives relatives à ces faits par les agents de la police et de la gendarmerie nationales. Le préfet de police de Paris sera le responsable du traitement « SI CCOS ».
Sur les conditions générales de mise en œuvre du dispositif :
En premier lieu, la Commission prend acte de ce que, à ce stade, il n'est pas prévu la création de CCOS pour d'autres régions que celle d'Ile-de-France, ni l'extension de ce CCOS d'Ile-de-France à d'autres territoires. Elle rappelle, en tout état de cause, qu'elle devra être informée de tout changement affectant les caractéristiques du traitement conformément à l'article 33 de la loi du 6 janvier 1978 modifiée.
En second lieu, il ressort de l'analyse d'impact relative à la protection des données (AIPD) que les différents acteurs ont travaillé à une caractérisation commune des faits de sécurité relevant du périmètre du CCOS. Sur ce point, la Commission ne peut qu'encourager le ministère à développer une doctrine d'emploi au niveau ministériel des typologies de situations et de menaces, ainsi que, le cas échéant, des critères objectifs pour caractériser le risque.
Sur le régime juridique applicable et les finalités du traitement :
L'article 1er du projet de décret mentionne les finalités du traitement, à savoir :
1° Faciliter et coordonner les interventions des services chargés de la sécurité au sein des réseaux de transport en commun de voyageurs de la zone de défense et de sécurité d'Ile-de-France, par la centralisation et le partage d'informations portant sur les faits en lien avec ces réseaux susceptibles de porter atteinte à la sécurité des personnes ou des biens ;
2° Améliorer la mise en œuvre des procédures judiciaires, administratives et disciplinaires relatives aux faits mentionnés au 1° par les agents de la police et de la gendarmerie nationales.
Selon les précisions apportées par le ministère, le traitement relève du régime de la directive 2016/680 du 27 avril 2016 (directive « police-justice ») car ses finalités s'inscrivent dans le cadre de missions de sécurité publique et de prévention, de recherche, de constatation ou de poursuite des infractions pénales dans les réseaux de transport en commun de voyageurs en Ile-de-France qui sont assurées par les agents de la BRF et des policiers intervenant dans le CCOS.
Cependant, la Commission rappelle que la directive « police-justice » s'applique aux traitements de données à caractère personnel effectués par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
En l'espèce, elle considère que les faits susceptibles de porter atteinte à la sécurité des personnes ou des biens ne constituent pas nécessairement des infractions pénales. En outre, la finalité relative à l'amélioration de la mise en œuvre des procédures administratives et disciplinaires ne relève pas d'une finalité pénale. En revanche, les missions de maintien de la sécurité publique par les agents de la BRF et les policiers sont susceptibles de relever de la directive précitée. La Commission considère dès lors que les traitements projetés devraient relever d'un régime mixte (RGPD et directive « police-justice » telle que transposée au titre III de la loi du 6 janvier 1978 modifiée), selon les finalités poursuivies.
Sur les mises en relation projetées :
L'article 2 du projet de décret prévoit que pourra être renseigné dans le traitement « SI CCOS » l'indication de l'enregistrement de la personne et des objets en sa possession dans les traitements de données à caractère personnel suivants :
- le fichier des personnes recherchées (FPR) prévu par le décret n° 2010-569 du 28 mai 2010 portant création du fichier des personnes recherchées ;
- l'application de gestion des dossiers des ressortissants des étrangers en France (AGDREF) mentionnée aux articles R. 142-11 et suivants du code de l'entrée et du séjour des étrangers et du droit d'asile ;
- le traitement automatisé des données relatives aux objets et véhicules volés ou signalés (FOVeS) prévu par l'arrêté du 7 juillet 2017 portant création du fichier des objets et véhicules signalés ;
- le traitement relatif à l'identification des cycles prévu par le décret n° 2020-1439 du 23 novembre 2020 ;
- le système d'immatriculation des véhicules (SIV) prévu par l'arrêté du 10 février 2009 portant création du système d'immatriculation des véhicules ;
- le système d'information européen concernant les véhicules et les permis de conduire instauré par le Traité « EUCARIS » signé le 29 juin 2000 ;
- le système national des permis de conduire prévu par l'arrêté du 29 juin 1992 portant création du système national des permis de conduire (SNPC) ;
- le système d'information sur les armes (SIA) mentionné aux articles R. 312-84 et suivants du code de la sécurité intérieure ;
- le système d'information sur l'usage d'une arme de service par un fonctionnaire de police prévu par l'arrêté du 16 novembre 2011 portant autorisation du traitement relatif au suivi de l'usage des armes.
Au regard des finalités poursuivies, la Commission s'interroge sur le nombre important de mises en relation avec le traitement projeté. Elle rappelle que chaque mise en relation doit être dûment justifiée et que les données concernées par ces mises en relation devront être strictement encadrées. De manière générale et en l'état des textes en vigueur, elle rappelle également que les mises en relation des différents traitements précités avec le traitement « SI CCOS » ne devront pas avoir pour conséquence d'élargir la liste des personnes pouvant avoir accès et/ou recevoir communication des données qui sont enregistrées dans ces traitements.
S'agissant des modalités d'interrogation des traitements visés, la Commission prend acte de ce qu'aucune donnée issue de la consultation de ces traitements par les agents habilités n'est retranscrite dans les fiches de fait ou d'évènement du « SI CCOS », autre que la présence ou non de la personne dans un ou plusieurs fichiers ainsi que l'éventuelle conduite à tenir. La « conduite à tenir » a pour objet d'indiquer au policier s'il faut interpeller ou pas la personne et/ou s'il faut prendre contact avec un service de police ou gendarmerie en particulier. Elle estime que ces éléments pourraient être susceptibles de révéler les motifs de la présence d'une personne dans l'un de ces fichiers et appelle le ministère à la plus grande vigilance sur les données qui pourront être inscrites dans le « SI CCOS » à cet égard compte tenu des possibles conséquences pour les personnes concernées.
Par ailleurs, la Commission rappelle que les différents traitements précités devront, le cas échéant, être modifiés afin de prévoir expressément les mises en relation avec le traitement « SI CCOS ».
Sur les données collectées :
L'article 2 du projet de décret mentionne les catégories de données collectées concernant :
- les personnes désignées comme auteur de faits susceptibles de porter atteinte à la sécurité des personnes ou des biens, au sein des réseaux de transport en commun de voyageurs de la zone de défense et de sécurité d'Ile-de-France ;
- les personnes victimes ou témoins de tels faits ;
- les personnalités importantes empruntant les transports en commun ;
- les agents en charge de l'intervention ;
- les agents exerçant leurs fonctions au sein du CCOS.
Le « SI CCOS » pourra contenir des données dites « sensibles » au sens de l'article 6 de la loi du 6 janvier 1978 modifiée dans la mesure où ces données sont nécessaires à la poursuite des finalités du traitement, à l'exception des données génétiques et biométriques. A cet égard, elle rappelle en effet que, conformément à l'article 88 de la loi du 6 janvier 1978 modifiée, le traitement de telles données n'est possible qu'en cas de « nécessité absolue, sous réserve des garanties appropriées pour les droits et libertés de la personne concernée » et considère qu'un contrôle strict devra être réalisé sur ce point.
A titre liminaire, la Commission relève que le traitement contiendra des zones de champ libre dans les fiches de fait et évènement. Elle prend acte de ce qu'une alerte automatique apparaîtra à l'écran lorsque l'opérateur saisira des données dans cette zone afin de lui rappeler qu'il ne doit en aucun cas mentionner des données à caractère personnel.
En premier lieu, conformément au principe de minimisation des données, la Commission rappelle que les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Elle s'interroge sur la nécessité de collecter un nombre considérable de données au regard des finalités projetées du traitement. A titre d'illustration, si des données relatives à la filiation (nom et prénoms des parents ou du représentant légal) seront collectées pour distinguer les homonymes, la Commission s'interroge sur la justification de la collecte systématique de ces données. En outre, certaines catégories de données concernant les personnes désignées comme auteur de faits susceptibles de porter atteinte à la sécurité des personnes ou des biens, au sein des réseaux de transport en commun de voyageurs de la zone de défense et de sécurité d'Ile-de-France sont définies de manière large (par exemple, « comportement lors de la survenance des faits et mode opératoire » ou encore « état de la personne »). Elle invite le ministère à engager une réflexion afin de mieux définir les catégories de données collectées et de ne mentionner dans le projet de décret que les données strictement nécessaires aux finalités poursuivies par le traitement.
En deuxième lieu, s'agissant de la catégorie « les personnes désignées comme auteur des faits », de la Commission prend acte de ce qu'il n'est pas possible de moduler les durées de conservation des données en fonction des suites judiciaires dans la mesure où ces dernières ne sont pas enregistrées dans le traitement. Dans ces conditions, elle appelle la vigilance du ministère sur la désignation de cette catégorie dès lors qu'elle pourra concerner des personnes seulement suspectées ou même ultérieurement mises hors de cause.
En troisième lieu, la Commission prend acte de ce que la catégorie des « personnalités importantes empruntant les transports en commun » désigne les personnalités publiques dont le déplacement nécessite une sécurisation particulière du trajet en coordination avec les transporteurs concernés.
Sur la durée de conservation des données :
L'article 4 du projet de décret prévoit que les données sont conservées pendant une durée d'une année à compter du jour de leur enregistrement. Lorsque les données ont été extraites et transmises pour les besoins d'une procédure judiciaire, administrative ou disciplinaire, elles sont conservées selon les règles propres à chacune de ces procédures.
Il ressort de l'AIPD que « ces délais permettent de s'assurer de la disponibilité des données utiles à d'éventuelles enquêtes judiciaires ou enquêtes administratives dans un délai correspondant à des situations existantes », certaines plaintes pouvant être tardives et nécessiter de fournir des informations dans le cadre d'une procédure plusieurs mois après les faits. La Commission relève qu'il n'est pas prévu de mécanisme de suppression anticipée des données avant l'expiration de ce délai d'un an.
Au regard de ces éléments, la Commission considère que, dans le cas où les données sont extraites et transmises pour les besoins d'une procédure judiciaire, administrative ou disciplinaire, elles devraient être supprimées de manière anticipée dans le « SI CCOS ».
Sous cette réserve, la Commission considère que la durée de conservation des données prévue par le projet de décret n'est pas excessive.
Sur les accédants et les destinataires :
L'article 5 du projet de décret détaille la liste des accédants et des destinataires au « SI CCOS ».
La Commission relève, à titre liminaire, que le projet de décret indique que les « accédants » sont les personnes qui sont autorisées à accéder à tout ou partie des données à caractère personnel et informations. Cette formulation du projet de décret peut, pour le traitement en cause, prêter à confusion dès lors que les « accédants » sont appelés à enregistrer des données dans le traitement ou seulement à les consulter.
La Commission estime en effet que le terme « accédant », que n'utilisent ni le RGPD, ni la loi « Informatique et libertés » mais qui a été créé par la doctrine, désigne, s'agissant en l'espèce d'un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause. Les habilitations des différents accédants peuvent être définies par l'acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l'enregistrement, la correction ou l'effacement des données. Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes auxquelles le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu'il s'agisse d'une transmission d'un extrait des données ou d'une simple faculté de consultation par un accès sécurisé au système informatique.
En l'espèce, il ressort de l'AIPD que certaines personnes mentionnées comme « accédants » bénéficieront d'un accès avec des droits de lecture et d'écriture (à savoir, les policiers de la sous-direction régionale de la police des transports : BRF, bureau de la coordination opérationnelle (BCO), CCOS). La Commission invite dès lors le ministère à préciser le projet de décret sur ce point éviter toute ambiguïté ainsi qu'à indiquer que ces « accédants » seront autorisés à enregistrer des données dans le « SI CCOS ».
Sur les droits des personnes concernées :
S'agissant de l'information des personnes concernées, il est précisé dans l'AIPD que « Le traitement fera l'objet d'une publication au Journal officiel de la République française. Un lien vers le site Légifrance et l'acte réglementaire autorisant le traitement sera diffusé sur le site internet du responsable de traitement ».
La Commission prend acte de ce que d'autres modalités d'information seront prévues à l'égard des agents de la BRF et du CCOS, notamment au moyen de l'affichage au sein des locaux de mentions d'information. Elle recommande en outre qu'un affichage soit prévu dans les réseaux de transport en commun de voyageurs en Ile-de-France afin d'informer les personnes concernées.
S'agissant des autres droits, il est précisé dans l'AIPD que la préfecture de police prévoit, outre l'envoi de la demande par courrier postal, un dispositif de contact par formulaire accessible via son site web avec renvoi vers le service responsable du traitement.
Les autres aspects du projet de décret n'appellent pas d'observation supplémentaire de la part de la Commission.
Sur les mesures de sécurité :
La Commission recommande qu'un contrôle d'intégrité soit opéré sur les données stockées, par exemple en calculant une empreinte des données avec une fonction de hachage conforme à l'annexe B1 du référentiel général de sécurité.
La Commission relève que le traitement comporte un module de production de statistiques. Elle invite le ministère à s'assurer que les données produites sont parfaitement anonymes. A défaut, des mesures complémentaires devront être mises en œuvre afin de limiter les risques de réidentification des personnes, notamment en limitant le niveau de détail des données produites.
En raison de de la gravité et de la vraisemblance du risque pour les personnes en cas de détournement des finalités du traitement, la durée de conservation de certaines données de journalisation de trois années est considérée comme proportionnée par la Commission. En effet, cette journalisation participe par sa capacité dissuasive à la sécurité du traitement. La Commission prend acte de ce qu'une analyse proactive des données de journalisation sera réalisée.
Si la Commission prend acte de la parfaite ségrégation du système informatique CCOS et des systèmes informatiques des opérateurs tiers, il n'en reste pas moins que, via la plateforme d'échange, des données à caractère personnel ont vocation à être transmises à ces tiers. En conséquence, elle invite le ministère à s'assurer que les opérateurs s'engageront à implémenter des mesures de sécurité similaires à celles qui pèsent sur le traitement principal en ce qui concerne ces échanges de données.Liens relatifs
La présidente,
M.-L. Denis