La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le secrétariat général de la présidence française du Conseil de l'Union européenne le 23 avril 2008 d'un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « Système informatisé de gestion des accréditations » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel ;
Vu la directive 95 / 46 / CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 26 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-401 du 25 mars 2007 ;
Vu le décret n° 2007-1028 du 15 juin 2007 portant création d'un secrétariat général à la présidence française du Conseil de l'Union européenne ;
Après avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie le 23 avril 2008 par le secrétariat général de la présidence française de l'Union européenne d'un dossier de demande d'avis relatif à un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « Système informatisé de gestion des accréditations ».
Alors que la France assurera, du 1er juillet au 31 décembre 2008, la présidence du Conseil de l'Union européenne, le décret n° 2007-1028 du 15 juin 2007 a confié au secrétariat général de ladite présidence la mission de coordonner l'organisation des divers événements qui se dérouleront en France pendant cette période, à l'initiative des ministères concernés (conseils informels et réunions internationales des ministres et chefs de gouvernement, colloques et séminaires, manifestations culturelles...). Il est ainsi chargé de définir les modalités d'accréditation pour l'accès aux manifestations des différentes catégories de participants et des prestataires de services : délégations de ministres et chefs de gouvernement des pays membres de l'Union européenne, journalistes, invités de la « société civile » et employés des sociétés commerciales en charge de la logistique.
Dans ce cadre, le secrétariat général de la présidence française de l'Union européenne a décidé de mettre en œuvre un traitement, déjà utilisé par plusieurs Etats membres ayant exercé la présidence du Conseil de l'Union européenne (Luxembourg, Allemagne, Portugal), qui vise à faciliter le travail d'organisation des événements au bénéfice des participants (saisie en ligne sécurisée des demandes de participation) et des ministères compétents (centralisation et traitement informatique des données, édition intégrée des badges d'accréditation), et inclut une procédure de vérification des identités et de délivrance de badges sécurisés.
Le secrétariat général de la présidence française de l'Union européenne ayant précisé que le traitement de données à caractère personnel mis en œuvre s'inscrivait « dans un but de sécurité publique », la commission prend acte que c'est sur le fondement des dispositions de l'article 26 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, qu'elle a été saisie.
Sur les finalités
Le traitement considéré vise à gérer l'instruction des demandes d'accréditation des personnes qui participeront aux événements (manifestations, réunions) organisés dans le cadre de la présidence française de l'Union européenne du 1er juillet au 31 décembre 2008, à organiser la prise en charge de la sécurité desdites personnes et à procéder aux contrôles des accréditations lors de l'accès aux événements précités.
La commission considère que, eu égard à la nature des événements et au contexte dans lequel ils s'inscrivent, les finalités décrites ci-dessus revêtent un caractère légitime.
Elle observe que le traitement comporte également une finalité statistique accessoire, dont elle estime qu'elle devra être précisée aux termes du projet d'arrêté.
Sur les données conservées
La commission prend acte de la liste des données à caractère personnel collectées et enregistrées dans le traitement, s'agissant des membres de délégations (à savoir les délégués eux-mêmes ainsi que leurs conjoints, les agents de sécurité, agents de liaison et les chauffeurs), des journalistes et autres professionnels des médias, des employés des prestataires de services et, enfin, des invités.
A cet égard, elle relève qu'aucune donnée sensible, au sens de l'article 8 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, ne sera collectée ou traitée.
Sur la durée de conservation
Les données seront conservées pendant une durée de dix mois à compter du 1er juin 2008, ce qui n'appelle pas d'observation particulière de la part de la commission.
Sur les destinataires
Seuls seront destinataires, pour les besoins exclusifs des missions qui leur sont confiées, les agents individuellement désignés et spécialement habilités des ministères organisateurs d'événements, les préfets territorialement compétents pour les événements précités ainsi que les agents individuellement désignés et spécialement habilités par ces derniers, et les agents individuellement désignés et spécialement habilités des services de police et de gendarmerie nationale.
Sur les sécurités
La commission prend acte de ce que le traitement ne peut faire l'objet d'interconnexions avec tout autre traitement de données à caractère personnel.
Sur les droits des personnes
Le droit d'accès aux données s'exercera directement auprès du secrétariat général de la présidence française de l'Union européenne, conformément aux dispositions de l'article 41 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004.
La commission prend acte de ce que le droit d'opposition prévu à l'article 38 de la même loi ne s'applique pas au présent traitement.