Délibération n° 2022-108 du 3 novembre 2022 portant avis sur un projet de décret autorisant la création d'un traitement automatisé de données à caractère personnel relatif à la prise en charge des mineurs de retour de zones d'opérations de groupements terroristes (MRZOGT) (demande d'avis n° 22007872)

Version initiale


  • La Commission nationale de l'informatique et des libertés,
    Saisie par le ministère de l'intérieur d'une demande d'avis relative à un projet de décret autorisant la création d'un traitement automatisé de données à caractère personnel relatif à la prise en charge des mineurs de retour de zones d'opérations de groupements terroristes (MRZOGT) ;
    Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
    Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 31.II ;
    Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
    Etant rappelés les éléments de contexte suivants :
    La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie pour avis par le ministère de l'intérieur d'un projet de décret portant sur la création d'un traitement automatisé de données à caractère personnel relatif à la prise en charge des mineurs de retour de zones d'opérations de groupements terroristes (« MRZOGT ») sur le fondement du II de l'article 31 de la loi du 6 janvier 1978 modifiée.
    Ce texte autorise le secrétariat général du comité interministériel de prévention de la délinquance et de la radicalisation (« SG-CIPDR »), sous l'autorité du ministre de l'intérieur, à mettre un œuvre un traitement pour permettre une meilleure coordination des services compétents en matière de prise en charge administrative, judiciaire, médicale et socio-éducative des mineurs. Ce traitement vise à assurer leur protection et à prévenir leur engagement dans un processus de délinquance et de radication d'une part, et à renforcer le suivi de la prise en charge des mineurs en améliorant et établissant des indicateurs de pilotage, d'autre part.
    Depuis 2017, un dispositif a été mis en œuvre pour permettre la prise en charge de ces mineurs. Le traitement MRZOGT sera un outil utilisé dans ce cadre, qui visera à faciliter le suivi de la prise en charge et permettre d'avoir en temps réel une visibilité sur l'effectivité des mesures de prise en charge.
    S'appuyant sur le droit commun de la protection de l'enfance, le dispositif de prise en charge des mineurs permet de mobiliser l'ensemble des services de l'Etat compétents sur cette question, d'améliorer leur coordination avec les départements dans le cadre de leurs attributions en matière d'aide sociale à l'enfance, de préciser l'articulation des différents dispositifs juridiques existants afin d'assurer l'accompagnement le plus adapté à la situation et au statut de ces mineurs et d'instaurer un suivi renforcé au long cours de ces enfants au regard de la spécificité de leur parcours et de leur situation familiale.
    Selon le SG-CIPDR, la création du traitement MRZOGT répond aux difficultés rencontrées par les conseils départementaux qui se voient confier la prise en charge de ces mineurs. Il vise à réduire les difficultés de coordination entre les services compétents et à éviter les ruptures de suivi, notamment dans l'hypothèse où le mineur change de lieu de résidence, entraînant une modification la compétence territoriale des services intervenant dans le dispositif.
    Ce dispositif se fonde essentiellement sur des échanges d'informations sur les mineurs concernés, afin de permettre une appréhension globale de leur situation. Le suivi de ces mineurs pourra également se faire dans le cadre des dispositifs locaux de prévention de la radicalisation, et, plus particulièrement au sein des cellules de prévention de la radicalisation et d'accompagnement des familles restreintes (CPRAF-R).
    Formule les observations suivantes concernant le projet de texte :
    Sur les finalités du traitement :
    Selon le ministère, le traitement vise à renforcer le suivi de la prise en charge des mineurs de retour de zones d'opérations de groupements terroristes en permettant une meilleure coordination des services compétents. Il s'agit plus concrètement d'empêcher toute rupture de la prise en charge, notamment en cas de suivi social et médico-social interdépartemental ou de déménagement du mineur, et permettre, plus indirectement, la prévention de leur engagement dans un processus de délinquance ou de radicalisation. Le traitement permet ainsi de partager les informations pertinentes entre différents acteurs impliqués dans le suivi et la prise en charge de ces mineurs, et de vérifier que l'ensemble des actions nécessaires au bon suivi des mineurs, telles que la réalisation du bilan de santé initial ou l'inscription dans un établissement scolaire, a été réalisé.
    En pratique, ce traitement se matérialise par une liste de vérifications des actions à effectuer dans le cadre du suivi pluridisciplinaire de ces mineurs (médical, social, scolaire, judiciaire et administratif). Aucune information relative à la mise en œuvre précise des mesures ne sera renseignée. Compte tenu de ces caractéristiques, et alors même que le traitement est notamment mis en œuvre à de fins plus générales de prévention de la délinquance et de la radicalisation, la Commission considère qu'il relève exclusivement du RGPD.
    Le traitement vise également à renforcer le suivi de la prise en charge des mineurs « en améliorant la remontée d'informations et en établissant des indicateurs de pilotage ». Le ministère a précisé que ces indicateurs seront établis sur la base de données agrégées afin de fournir un état précis de la situation, mais également d'orienter les politiques publiques.
    Au vu du nombre limité de mineurs concernés et de la nature des données traitées, ces indicateurs ne permettent a priori pas de garantir l'anonymat des personnes concernées. En conséquence, eu égard au risque réel de réidentification des personnes, la Commission appelle l'attention du ministère sur ce point lors d'éventuelles diffusions et réutilisations de ces indicateurs.
    Sur les catégories de données collectées :
    La Commission relève que parmi les données collectées figurent des informations sur la situation carcérale des parents ainsi que, le cas échéant, la dénomination du service en charge d'une mesure pénale en cours et la date de sortie de détention si celle-ci est programmée. Ces données sont alimentées par le procureur de la République ou le préfet territorialement compétents.
    Le ministère considère que ces informations ne révèlent pas la nature de la peine criminelle ou délictuelle et encore moins de l'infraction poursuivie ou pour laquelle une peine est en cours d'exécution. Il estime ainsi qu'il n'y a pas de mention relative aux condamnations pénales, infractions et mesures de sûreté.
    La Commission rappelle que l'information relative à la nature de l'infraction réprimée n'est pas une condition nécessaire à la qualification de donnée relative aux condamnations pénales ou aux infractions. Elle considère que l'information concernant la situation carcérale est par nature une donnée relevant de l'article 10 du RGPD dès lors qu'elle est qualifiée en tant que telle par une autorité compétente.
    Elle estime en l'espèce que le traitement de ces données sera licite, en application du 1° de l'article 46 de la loi du 6 janvier 1978 modifiée.
    Sur les accédants et les destinataires :
    L'échange d'informations relatives à la prise en charge des mineurs est notamment réalisé au sein des CPRAF-R. Ces cellules se réunissent à l'initiative du procureur de la République lorsqu'une mesure judiciaire est en cours ou du préfet. Elles sont notamment composées de représentants de la direction territoriale de la protection judiciaire de la jeunesse (PJJ), du représentant du service pénitentiaire du service d'insertion et de probation (SPIP) local et des représentants du ou des services de renseignement au titre du suivi sécuritaire. Certaines des données contenues dans le traitement « MRZOGT » ont vocation à être partagées au sein de ces cellules.
    S'agissant de la mise en œuvre du décret, la Commission relève que, au regard notamment du nombre et de la diversité des profils composant les CPRAF-R, il existe des risques que les informations échangées, qui revêtent une sensibilité particulière pour les mineurs dont les situations sont abordées, soient transmises à des personnes non tenues au secret professionnel, que ces informations donnent lieu à une durée de conservation excessive ou encore qu'elles soient utilisées au sein de traitements ultérieurs. Au regard de la nature des données transmises et des différents secrets susceptibles de les protéger, la Commission considère que l'encadrement actuel des échanges d'informations susceptibles d'intervenir dans le cadre des CPRAF-R devrait être significativement renforcé, tant au plan réglementaire que technique, afin de garantir la confidentialité des informations transmises. Elle estime indispensable qu'une réflexion soit menée sur cette question ainsi que sur les mesures de sécurité à mettre en œuvre.
    Enfin, la Commission invite le ministère à indiquer clairement dans le projet de décret que les magistrats susceptibles d'accéder au traitement sont les magistrats du parquet.
    Sur l'information et les droits des personnes :
    L'article 6 du projet de décret encadre les modalités d'exercice des droits des personnes concernées.
    La Commission relève que le droit d'opposition ne s'applique pas au présent traitement en application de l'article 23 du RGPD, et que les droits d'accès, de rectification et à la limitation sont susceptibles de faire l'objet de restrictions afin de garantir l'objectif d'intérêt général de prise en charge des mineurs. Ces limitations apparaissent fondées sur le i du premier alinéa de l'article 23 relatif à la protection des personnes concernées ou des droits et libertés d'autrui, et plus précisément sur l'intérêt supérieur de l'enfant.
    S'agissant de l'information des personnes concernées, le projet de décret indique que le droit à l'information doit être exercé auprès de l'administration. La Commission rappelle que ce droit n'a pas à être « exercé » par la personne, puisqu'il incombe au responsable de traitement de fournir à la personne concernée les informations et non à la personne de demander communication de ces informations. Elle prend acte de l'engagement du ministère de modifier le projet de décret en ce sens.
    Par ailleurs, la Commission prend acte des précisions apportées par le ministère quant aux modalités d'information des mineurs et de leurs responsables légaux. Elle accueille favorablement le fait que l'information sera réalisée individuellement auprès du mineur, quel que soit leur âge à condition qu'ils disposent d'un discernement suffisant, et des titulaires de l'autorité parentale dès l'enregistrement du mineur dans le traitement soit par courriel, soit par téléphone soit par courrier. De la même façon, elle accueille très favorablement la remise d'un document adapté à l'âge du mineur concerné, et plus particulièrement la transmission d'un schéma explicatif pour les plus jeunes.
    La Commission relève toutefois qu'en application de la règlementation, une information individuelle devra également être fournie aux autres personnes figurant dans le traitement, notamment les autres membres de la fratrie ayant séjourné au sein des zones susmentionnées et les parents déchus de leur autorité parentale. La Commission prend acte des précisions apportées par le ministère en ce sens.
    Sur la durée de conservation :
    L'article 4 du projet de décret indique que les données relatives aux mineurs seront conservées jusqu'à la majorité des mineurs, abstraction faite de l'existence ou non d'une décision de fin de suivi du mineur.
    Si ces durées n'appellent pas d'observation, la Commission souligne que les données peuvent faire l'objet d'un traitement statistique. La Commission rappelle que dans l'hypothèse où les statistiques seraient réalisées au-delà de la majorité du mineur, et dès lors, conservées au-delà de la durée de conservation fixée par le projet de décret, les données utilisées à cette fin devront être agrégées et soumises à un processus d'anonymisation conforme au RGPD. Elle renvoie sur ce point aux travaux du CEPD, et notamment à l'avis n° 05/2014 sur les techniques d'anonymisation du Groupe de travail « Article 29 ».
    Sur les mesures de sécurité :
    La Commission prend acte des mesures de sécurité existantes ainsi que celles qui seront mises en œuvre, notamment s'agissant des mesures de chiffrement, tant sur les données en transit que sur certaines données stockées, la gestion des clés, les modalités d'authentification ou encore les mesures relatives à la traçabilité et la journalisation.


La présidente,
M.-L. Denis

Extrait du Journal officiel électronique authentifié PDF - 216,1 Ko
Retourner en haut de la page