La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret en Conseil d'Etat portant création d'un traitement de données à caractère personnel dénommé « NATALI » ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 31 ;
Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie sur le fondement de l'article 31 de la loi du 6 janvier 1978 modifiée (ci-après la loi « informatique et libertés ») par le ministère de l'intérieur d'un projet de décret en Conseil d'Etat portant création d'un traitement de données à caractère personnel dénommé « NATALI ».
L'instruction de cette saisine a donné lieu à des échanges avec le ministère, qui ont conduit à affiner certaines caractéristiques du traitement (durées de conservation, accédants et destinataires, mises en relation, information des personnes concernées) à l'aune de la règlementation relative à la protection des données à caractère personnel.
Le traitement « NATALI » a pour finalités de permettre l'accomplissement par voie électronique des formalités nécessaires aux demandes relatives à la nationalité (acquisition, autorisation de perte, etc.) ainsi que l'instruction par voie dématérialisée de ces demandes, des recours afférents, et des procédures initiées par l'administration liées à la nationalité. Il s'inscrit dans le contexte de la dématérialisation progressive des procédures mises en œuvre par le ministère de l'intérieur en matière de séjour, d'asile et d'acquisition de la nationalité française (administration numérique pour les étrangers en France, ou « ANEF »). Ainsi, « NATALI » reposera sur le déploiement d'un portail « usager » permettant aux usagers ou à leurs mandataires de déposer leurs demandes, et d'un portail « agent » permettant aux services compétents des ministères concernés d'instruire les procédures liées à la nationalité française.
Sur le contexte de mise en œuvre du traitement
En premier lieu, la mise en œuvre du traitement projeté s'inscrit dans la continuité d'une expérimentation réalisée depuis le 5 août 2021 dans vingt-trois départements pour les procédures d'acquisition de la nationalité française par décret (naturalisation). Tout en relevant que le décret n° 2015-1423 du 5 novembre 2015 a été modifié pour prévoir la possibilité de saisir l'administration par voie électronique dans le cadre de ces procédures, la Commission estime que le traitement expérimental aurait dû être préalablement autorisé par un acte règlementaire pris après avis de la CNIL, dans les conditions définies par l'article 31 de la loi « informatique et libertés ». Elle rappelle qu'il n'existe pas de régime dérogatoire dédié aux expérimentations, de sorte que la réglementation relative à la protection des données à caractère personnel a vocation à s'appliquer à tout traitement de données à caractère personnel.
En second lieu, « NATALI » a vocation à se substituer progressivement au traitement « PRENAT », lequel a pour finalité de permettre la gestion des procédures d'acquisition ou de perte de la nationalité française et de participer à la preuve de la nationalité française (v. la délibération n° 2005-087, du 12 mai 2005), tout en couvrant un périmètre plus large que ce dernier traitement. Selon les précisions apportées par le ministère, « PRENAT » continuera d'être mis en œuvre jusqu'en 2024. La Commission prend acte de ce que, dans la perspective d'une mise en œuvre synchrone des deux traitements, une doctrine a été diffusée aux agents des plateformes pilotes et sera étendue lors la généralisation du traitement.
Sur les finalités et le régime juridique du traitement
L'article 1er du projet de décret indique que le traitement « NATALI » a pour finalités :
- de permettre aux usagers ou à leurs mandataires de procéder par voie électronique aux formalités prévues pour les demandes d'acquisition de la nationalité (à raison du mariage, de la qualité d'ascendant de Français ou de la qualité de frère ou de sœur de Français ; par décision de l'autorité publique), de réintégration dans la nationalité, de francisation du nom et/ou des prénoms, et d'autorisation de perte de la nationalité ;
- de permettre l'instruction et le traitement de ces demandes, des recours administratifs contre les décisions défavorables, des recours contentieux ainsi que des demandes de preuve de la nationalité française ;
- de permettre l'instruction des procédures initiées par le Gouvernement en matière de nationalité (opposition à l'acquisition de la nationalité française par le conjoint étranger, déchéance de la nationalité, et procédures prévues par les articles 27-2, 23-7 et 23-8 du code civil) ;
- de permettre aux usagers ou à leurs mandataires de procéder par voie électronique à l'exercice de recours administratifs contre les décisions défavorables prises à leur encontre dans le cadre des formalités prévues pour les demandes précitées, ainsi qu'à la transmission de leurs observations dans le cadre des procédures initiées par le Gouvernement précitées.
Au regard de ces finalités, le ministère entend placer le traitement « NATALI » sous le régime du RGPD, sauf pour ce qui concerne les opérations de traitement mises en œuvre au titre des procédures de déchéance de la nationalité française initiées par le Gouvernement sur le fondement de l'article 25 du code civil, lesquelles relèveraient du titre IV de la loi « informatique et libertés ».
En premier lieu, s'agissant des procédures de déchéance, le ministère souligne que les motifs justifiant la déchéance de la nationalité française renvoient aux intérêts fondamentaux de la Nation énumérés à l'article L. 811-3 du code de la sécurité intérieure (CSI). Les données traitées dans ce cadre intéressent donc la sûreté de l'Etat et doivent être régies par les dispositions du titre IV de la loi « informatique et libertés ». La Commission estime qu'au regard du caractère mixte du traitement, des mesures doivent être mises en œuvre pour distinguer ces données.
En second lieu, les autres opérations de traitement encadrées par le projet de décret seront réalisées dans le cadre d'activités consistant, d'une part, à formuler une demande relative à la nationalité (pour la partie « téléservice » dédiée aux usagers) et, d'autre part, à gérer et instruire de telles démarches administratives (pour la partie « instruction » réservée aux agents).
S'agissant de la partie « téléservice », l'application du RGPD n'appelle pas d'observation particulière.
S'agissant de la partie « instruction », la Commission observe que le traitement des demandes relatives à la nationalité et leur contentieux constituent des activités qui ne relèvent pas du champ d'application du droit de l'UE et pour lesquelles le RGPD n'est en principe pas applicable, conformément à son article 2-2.a). Ainsi, les opérations de traitement mises en œuvre dans le cadre de ces activités devraient entrer dans le champ du titre Ier de la loi « informatique et libertés ».
Toutefois, dans la mesure où le régime juridique des opérations de traitement relevant du seul titre Ier de la loi « informatique et libertés », qui ne contient que des dispositions générales, est moins protecteur que celui du RGPD, notamment en raison de l'absence de droits pour les personnes concernées, la Commission considère que le Gouvernement devrait aligner le régime juridique de ces opérations de traitement sur celui du RGPD pour les règles relatives aux personnes concernées, telles que la réalisation d'une analyse d'impact relative à la protection des données (AIPD).
Sur les catégories de données à caractère personnel enregistrées dans le traitement
A titre liminaire, la Commission observe que seules les données nécessaires à l'instruction d'une demande seront recueillies et que, dans cette perspective, il est prévu de créer un formulaire électronique spécifique à chacune des procédures couvertes par le projet de décret.
En premier lieu, le projet de décret prévoit l'enregistrement des « données et informations relatives aux enquêtes prévues par le décret n° 93-1362 du 30 décembre 1993 », qui comprennent l'indication de l'enregistrement ou non dans le traitement des antécédents judiciaires (TAJ), les « éléments issus des enquêtes complémentaires » menées dans le cadre de procédures d'acquisition de la nationalité par déclaration (articles 15 et 17-2 du code civil), et le sens et la date de l'avis du service de la police ou de gendarmerie chargé de diligenter l'enquête. La Commission prend acte de l'engagement du ministère de modifier le projet de décret pour préciser que les « éléments issus des enquêtes complémentaires » portent sur la situation familiale ou les obligations fiscales de l'usager.
En deuxième lieu, le projet de décret prévoit l'enregistrement d'« éléments issus de l'entretien » qui correspondent, selon l'AIPD transmise par le ministère, aux « notes relatives au comportement de l'usager en entretien » et à la retranscription des réponses aux questions sur l'assimilation et l'insertion française du demandeur posées lors de l'entretien. La Commission prend acte de ce que cet entretien correspond soit à l'entretien mené dans le cadre de procédures déclaratives pour apprécier s'il y a lieu de s'opposer à l'acquisition de la nationalité pour indignité ou défaut d'assimilation ou encore s'assurer de la continuité de la communauté de vie entre les époux, soit à l'entretien réalisé dans le cadre de procédures de naturalisation ou de réintégration pour vérifier l'assimilation du demandeur à la communauté française.
D'une part, les éléments issus de l'entretien seront contenus dans un compte-rendu saisi, par des agents habilités et spécialement formés pour mener les entretiens, dans une zone de texte libre. Selon les précisions apportées par le ministère, les « notes relatives au comportement de l'usager » pouvant être saisies dans ce cadre recouvriraient, en plus des données et informations communiquées par l'usager, des données issues de l'appréciation de l'agent menant l'entretien au regard des signaux de communication non verbale émis par l'usager (hésitations, haussements d'épaules, dénégations de la tête, gène, confusion, refus de contact physique ou d'entretien avec un agent de sexe opposé, etc.), notamment si ceux-ci sont en inadéquation avec les propos tenus ou le comportement que le demandeur dit avoir en société.
Tout en prenant acte de ce qu'une sensibilisation des agents sera effectuée par le biais d'une mention située en amont de la zone de saisie, ainsi qu'à l'occasion d'une formation, la Commission souligne l'importance de garantir que les données et informations saisies dans les zones de texte libre seront limitées à des mentions pertinentes et aussi factuelles que possible, de sorte qu'aucune mention inappropriée n'y sera inscrite. En outre, un contrôle strict devra être assuré à ce titre, pour notamment garantir que les seuls éléments nécessaires à l'instruction de la procédure soient effectivement saisis dans les zones de texte libre. Enfin, la Commission rappelle que lorsque l'enregistrement de données et informations dans un fichier est possible par le biais de zones de texte libre pouvant conduire à enregistrer des données variées et parfois sensibles, il est recommandé d'assurer qu'il ne soit pas possible d'effectuer des recherches dans le fichier à partir des mots rédigés dans ces zones de texte libre, afin de limiter les mésusages possibles de ces données.
D'autre part, il ressort des précisions apportées par le ministère que, pour ce qui concerne les procédures déclaratives, un entretien est prévu avec le conjoint du demandeur. La Commission prend acte de l'engagement du ministère de préciser dans le projet de décret que les données à caractère personnel enregistrées au titre des éléments issus de l'entretien sont susceptibles de concerner, outre le demandeur, le conjoint de ce dernier.
En troisième lieu, le projet de décret prévoit que, par dérogation à l'interdiction prévue au I de l'article 6 de la loi « informatique et libertés », le traitement pourra enregistrer des données sensibles, à l'exception des données génétiques et biométriques, dans la mesure où ces données sont nécessaires à la poursuite des finalités du traitement. Les données sensibles qui pourront être enregistrées dans le traitement seront issues, notamment, des éléments d'enquête et du compte-rendu d'entretien (données susceptibles de révéler la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'orientation sexuelle). La Commission prend acte de ce qu'aucune donnée relative à la santé (sauf pour ce qui concerne les données relatives à la santé de nature à justifier un aménagement des conditions d'entretien ou d'instruction de la demande) ne sera utilisée pour l'instruction des demandes. S'agissant des garanties entourant le traitement de ces données sensibles, elle souligne que la formation des agents prévue par le ministère devra contenir une sensibilisation forte sur ce point.
En dernier lieu, le projet de décret prévoit l'enregistrement de la photographie de l'usager. Le ministère précise que ce dernier utilisera le service « e-photo » de l'agence nationale des titres sécurisés (ANTS), qui lui permettra de saisir dans « NATALI » le « code e-photo » indiqué sur sa planche de photographie. La Commission prend acte de l'engagement du ministère de modifier le projet de décret pour ajouter le « code e-photo » parmi les données relatives à l'usager enregistrées dans le traitement.
Sur les durées de conservation
Le projet de décret fixe les durées de conservation des données, énumérées en annexe, qui sont enregistrées dans le traitement. Ces durées diffèrent selon la catégorie de données, la procédure (demandes relatives à la nationalité, demandes de francisation des noms et prénoms), ou encore la décision de l'administration à l'issue de l'instruction de la demande.
En premier lieu, la plupart des données à caractère personnel énumérées par le projet de décret seront conservées trois ans, sauf en cas de refus d'enregistrement, de décision d'irrecevabilité, d'ajournement ou de rejet, ou en cas de décret d'opposition, de décret rapportant le décret de naturalisation ou de réintégration, ou de décret prononçant la déchéance de la nationalité française. Dans ces derniers cas, les données seront conservées dix ans. En cas de refus de francisation, les données précitées seront conservées pendant cinq ans.
D'une part, il ressort des précisions apportées par le ministère qu'une durée de conservation de dix ans a été retenue pour disposer d'un historique suffisant des dossiers des usagers, nécessaire aux procédures contentieuses et pour permettre à l'administration de porter une appréciation globale sur la situation d'un usager en cas, notamment, de demandes successives.
D'autre part, les données en question seront conservées pendant cinq ans en cas de refus de francisation. Le choix d'une durée de conservation inférieure à dix ans pour ces procédures se justifie au regard du fait que les demandes de francisation ne peuvent être présentées que dans un délai d'un an suivant l'acquisition ou la réintégration dans la nationalité française, tout en permettant notamment de tenir compte des éventuels contentieux.
Au regard des dernières précisions apportées, la Commission prend acte de l'engagement du ministère de réduire la durée de conservation de dix à cinq ans, et pour certaines données à huit ans lorsque les décisions d'irrecevabilité, d'ajournement ou de rejet prises en matière de naturalisation ou de réintégration sont fondées sur un motif tenant aux renseignements défavorables recueillis sur le comportement du demandeur. Elle prend également acte de l'engagement du ministère de réduire la durée de conservation des données de cinq ans en cas de refus de francisation à trois ans.
En second lieu, le projet de décret prévoit que les données enregistrées dans le traitement sont supprimées à l'issue d'un délai de deux mois à compter de la création d'un espace usager en cas d'inachèvement de la démarche initiée sur l'application « NATALI ». Cette durée de conservation permettra à l'usager de disposer d'un délai nécessaire pour compléter et, le cas échéant, modifier sa demande en plusieurs fois.
La Commission observe cependant qu'aucune fonctionnalité n'existe pour permettre à l'usager de supprimer une demande qu'il n'aurait pas l'intention de finaliser. Selon les précisions apportées par le ministère, l'usager aura la possibilité de saisir la direction générale des étrangers en France (DGEF) pour que l'administration procède à un tel effacement. A cet égard, la Commission estime que les personnes concernées devront recevoir une information claire et concise sur la possibilité et les modalités de telles demandes de suppression. En tout état de cause, elle considère que la conservation des données d'un usager souhaitant supprimer sa demande ne serait pas nécessaire au regard des finalités du traitement qui vise, pour sa partie « téléservice », à permettre la formulation des demandes relatives à la nationalité par voie électronique. Dès lors qu'une personne entendrait renoncer à sa demande, ses données enregistrées dans le traitement devraient être supprimées.
A cet égard, la Commission prend acte des dernières précisions apportées selon lesquelles le ministère travaille à l'élaboration d'une fonctionnalité permettant à l'usager de supprimer une demande et s'engage, dans l'intervalle, à faire droit aux demandes de suppression des données avant l'expiration des deux mois dans un tel cas.
Sur les accédants et destinataires
En premier lieu, le projet de décret énumère les catégories de personnes ayant accès aux données du traitement en qualité d'accédants. La Commission relève que, parmi ces personnes :
- des agents relevant des services du ministère des affaires étrangères ont accès à certaines données du traitement ; et
- les usagers et leurs mandataires ont accès aux données les concernant.
A cet égard, la Commission souligne que le terme « accédant », que n'utilisent ni le RGPD, ni la loi « informatique et libertés » mais qui a été créé par la doctrine, désigne, s'agissant en l'espèce d'un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause. Les habilitations des différents accédants peuvent être définies par l'acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l'enregistrement, la correction ou l'effacement des données. Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu'il s'agisse d'une transmission d'un extrait des données ou d'une simple faculté de consultation par un accès sécurisé au système informatique (en ce sens, v. par ex. la délibération n° 2022-006 du 13 janvier 2022).
En l'espèce, la Commission considère que les agents du ministère des affaires étrangères chargés de l'application de la règlementation relative à la nationalité constituent des accédants au traitement dès lors qu'ils participent à la réception de demandes relatives à la nationalité introduites dans « NATALI » et, dans certains cas, à l'examen de telles demandes, notamment en fournissant un avis sur la recevabilité de ces demandes et les suites qu'elles doivent comporter.
S'agissant des agents relevant du service central d'état civil du ministère des affaires étrangères qui, aux fins d'établissement de l'état civil français d'une personne naturalisée, pourront se voir communiquer des données du traitement sans accéder au système ni devoir effectuer d'autres opérations de traitement, la Commission prend acte de l'engagement du ministère de modifier le projet de décret pour inscrire ces catégories de personnes parmi les destinataires des données du traitement.
Par ailleurs, les usagers et leurs mandataires disposeront d'un accès au système « NATALI » (portail « usager ») et, dans ce cadre, aux données les concernant. La Commission considère que les personnes concernées par le traitement ne constituent ni des « accédants », ni des « destinataires ».
En second lieu, des agents des administrations publiques françaises sont destinataires des données du traitement aux seules fins d'établissement de la preuve de la nationalité française. Selon l'AIPD transmise par le ministère, ces destinataires auront accès aux seules données d'identification de l'usager ainsi qu'à la date et aux modalités d'acquisition ou de perte de la nationalité française. La Commission prend acte de l'engagement du ministère de modifier le projet de décret pour ajouter cette précision.
Par ailleurs, sont destinataires des données du traitement les personnes chargées de mettre à jour les systèmes d'information européens « ETIAS » (système européen d'information et d'autorisation concernant les voyages), « EES » (« entry/exit system », ou système d'entrée/de sortie), et « Eurodac » en vue de permettre l'effacement des données de ces systèmes en cas d'acquisition de la nationalité française. Si l'AIPD indique que ces personnes auront accès aux seules données d'identification de la personne et à la date d'acquisition de la nationalité française, la Commission estime que le projet de décret pourrait contenir cette précision. Elle considère par ailleurs que, s'agissant des destinataires de « NATALI » chargés d'effacer les données de l'« EES », la notion d'« autorité chargée de l'immigration désignée en application des articles 9 et 35 du règlement (UE) n° 2017/2226 […] » devrait être précisée pour permettre d'identifier le service désigné en France pour procéder à la mise à jour des données du système d'information européen précité.
Sur l'exercice des droits des personnes concernées
Le projet de décret prévoit que les droits d'accès, de rectification et à la limitation des données s'exercent « auprès du responsable du traitement ».
En premier lieu, la Commission relève que le projet de décret doit être modifié pour préciser, conformément au 2° de l'article 35 de la loi n° 78-17 du 6 janvier 1978 modifiée, le service auprès duquel s'exerce le droit d'accès. Elle souligne par ailleurs que, s'agissant des opérations de traitement régies par les dispositions du titre IV de la loi « informatique et libertés », les droits d'accès, de rectification et d'effacement des données s'exerceront de manière indirecte auprès de la Commission, conformément aux dispositions de l'article 118 de cette même loi.
En second lieu, s'agissant des langues dans lesquelles l'information des usagers est assurée, le ministère a initialement choisi de mettre à disposition des usagers un portail en français dès lors que l'accès à la nationalité est généralement conditionné à la maîtrise du français (niveau B1) et qu'il a été observé, lors de l'expérimentation réalisée, que les personnes concernées n'expriment pas de besoin de traduction. Il est également précisé que les mentions d'information ont été rédigées en des termes clairs et accessibles pour tout usager.
Pour autant, la Commission observe que, selon la position retenue par le groupe de travail de l'article 29 (G29) et reprise par le Comité européen de la protection des données (CEPD) dans le cadre de ses lignes directrices sur la transparence au sens du règlement (UE) 2016/679, l'information fournie aux personnes concernées devrait être traduite dans une ou plusieurs langues lorsque le responsable du traitement cible des personnes parlant ces langues.
Elle observe en l'espèce que le ministère cible des usagers de nationalité étrangère, que la maîtrise du français ne constitue pas une condition d'acquisition de la nationalité pour toutes les procédures couvertes par le traitement, et que toute personne, indépendamment de son degré de maîtrise de la langue française, serait susceptible d'utiliser le portail usager « NATALI », d'initier une demande et ainsi de voir ses données traitées. Dès lors, la Commission considère que les mentions d'information devraient, a minima, être traduites en anglais, de la même manière que les conditions d'utilisation et de confidentialité du téléservice dédié au dépôt des demandes de certains titres de séjour, destiné à des personnes séjournant en France depuis plusieurs mois voire depuis plusieurs années, sont rédigées en français et en anglais sur le site web du ministère de l'intérieur (v. la délibération n° 2020-107 du 29 octobre 2020). A cet égard, elle prend acte de l'engagement du ministère de traduire les mentions d'information en langue anglaise.
Sur les mises en relation avec d'autres traitements
En premier lieu, la Commission relève que les systèmes d'information européens « Eurodac », « EES » et « ETIAS », qui contiennent des données relatives à des ressortissants de pays tiers, devront être mis à jour dès qu'une personne aura acquis la nationalité française, et donc à partir de données contenues dans « NATALI ». Les règlements européens encadrant les systèmes « Eurodac », « EES » et « ETIAS » prévoient en effet que, lorsqu'une personne obtient la nationalité d'un Etat membre, ses données sont supprimées de ces derniers systèmes.
Le ministère précise à ce propos que, pour ce qui concerne « EES » et « ETIAS », un module d'interface ira chercher dans « NATALI » les données permettant la mise à jour des systèmes d'information européens précités et que, concernant « Eurodac », une solution manuelle impliquant un rapprochement avec « NATALI » est pour l'instant envisagée.
Indépendamment des solutions et de l'architecture techniques retenues, la Commission considère que « NATALI » fera l'objet de mises en relation avec les traitements « Eurodac », « EES », et « ETIAS ». En effet, les agents habilités chargés de mettre à jour ces traitements européens seront destinataires de données relatives aux personnes ayant acquis la nationalité française qui sont enregistrées dans « NATALI » (données d'identification et date d'acquisition de la nationalité ; à ce propos, v. supra, point 35). La consultation de ces données issues de « NATALI » permettra de procéder à l'effacement des données relatives à la personne concernée contenues dans « Eurodac », « EES » ou « ETIAS ». Au regard de ces éléments, la Commission prend acte de l'engagement du ministère de compléter l'AIPD en ajoutant les mises en relation de « NATALI » avec les traitements « Eurodac », « EES » et « ETIAS ».
En second lieu, l'ensemble des données des dossiers de demande d'acquisition ou de perte de la nationalité française sont archivées afin d'être remises aux Archives nationales. Le ministère précise qu'une synthèse de chaque dossier favorable ou de perte de la nationalité française est conservée en sus au ministère de l'intérieur sur l'application « WEBNAT », qui sera à terme remplacée par l'application « APINAT ».
D'une part, la Commission souligne que la finalité archivistique dans l'intérêt public du traitement est remplie par le versement des données de « NATALI » aux Archives nationales au regard des missions de cette administration. Dans ces conditions, la conservation des données pertinentes à des fins archivistiques dans un support distinct par le ministère de l'intérieur en dehors de la procédure de versement prévue par le code du patrimoine ne serait pas justifiée.
D'autre part, il ressort des précisions apportées par le ministère qu'« APINAT » constitue un traitement distinct et répond à des finalités spécifiques en lien notamment avec la mission dont est investi le ministère chargé des naturalisations en matière de preuve de la nationalité française. Si la Commission ne remet pas en cause la légitimité d'une telle finalité, elle estime que celle-ci implique la mise en relation de « NATALI » et « APINAT ». De même, elle considère que « NATALI » sera mis en relation avec « WEBNAT ». Ces mises en relation devraient donc être mentionnées dans l'AIPD. Au regard des dernières précisions apportées, la Commission prend acte de l'engagement du ministère de compléter l'AIPD en ce sens. Enfin, elle souligne que des durées de conservation devront être définies pour les données de « WEBNAT » et « APINAT ».
Sur les mesures de sécurité
Dans la mesure où le numéro d'étranger n'est pas supposé être secret, son utilisation pour la création d'un compte « ANEF » crée un risque de création abusive de compte par des tiers. Si de tels comptes n'aboutiront pas en raison de la phase de vérification humaine lors de l'entretien, ils peuvent compliquer la démarche pour l'ayant droit. La Commission invite donc le ministère à fournir aux usagers un identifiant privé destiné à la création de ce compte afin de se prémunir contre ce type d'usurpation.
La Commission considère que la nature des données exige que celles-ci fassent l'objet de mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité, tant au niveau des bases de données que des sauvegardes.
La Commission recommande qu'un contrôle d'intégrité soit opéré sur les données stockées, par exemple en calculant une empreinte des données avec une fonction de hachage conforme à l'annexe B1 du référentiel général de sécurité.
La Commission rappelle que, compte tenu de la nature des données traitées et des risques pour les personnes en cas d'atteinte à l'intégrité ou à la disponibilité des données, les sauvegardes doivent être soumises à des tests de restauration réguliers.
Le traitement étant un téléservice de l'administration, le responsable de traitement atteste de sa conformité au décret 2010-112 (référentiel général de sécurité) et le mentionne sur le site, dans le cadre de l'homologation préalable du téléservice.
Le responsable de traitement a mis en œuvre une politique de mots de passe conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe. La Commission prend bonne note de la future bascule vers une authentification systématique par carte agent et accueille favorablement cette future évolution.
En raison de la gravité et de la vraisemblance du risque pour les personnes en cas fraudes internes, la Commission considère que la durée de conservation des données de journalisation de trois années est proportionnée. En effet, cette journalisation participe par sa capacité dissuasive à la sécurité du traitement. La Commission considère comme nécessaire qu'une analyse des données de journalisation soit prévue. Elle rappelle que la mise en œuvre d'un mécanisme proactif de contrôle automatique des données de journalisation contribue à la sécurité du traitement par la génération automatique d'alertes.Liens relatifs
La présidente,
M.-L. Denis