Articles

Article AUTONOME (Délibération n° 2009-355 du 11 juin 2009 portant avis sur un projet de décret en Conseil d'Etat portant création de l'application relative à la prévention des atteintes à la sécurité publique (saisine n° AV 08023079))

Article AUTONOME (Délibération n° 2009-355 du 11 juin 2009 portant avis sur un projet de décret en Conseil d'Etat portant création de l'application relative à la prévention des atteintes à la sécurité publique (saisine n° AV 08023079))



La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales le 27 mars 2009 d'un projet de décret en Conseil d'Etat portant création de l'application relative à la prévention des atteintes à la sécurité publique ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel ;
Vu la Convention internationale des droits de l'enfant, notamment son article 16 ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le code de procédure pénale, notamment son article 777-3 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment ses articles 6, 8, 26, 29, 30, 31, 32, 38, 41 et 44 ;
Vu la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité, notamment son article 17-1 ;
Vu le décret n° 85-1057 du 2 octobre 1985 modifié relatif à l'organisation de l'administration centrale du ministère de l'intérieur et de la décentralisation, notamment son article 12 ;
Vu le décret n° 2005-1124 du 6 septembre 2005 pris pour l'application de l'article 17-1 de la loi n° 95-73 du 21 janvier 1995 et fixant la liste des enquêtes administratives donnant lieu à la consultation des traitements automatisés de données personnelles mentionnés à l'article 21 de la loi n° 2003-239 du 18 mars 2003 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Vu le décret n° 2008-631 du 27 juin 2008 portant modification du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des renseignements généraux et du décret n° 2007-914 du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978 ;
Vu le décret n° 2008-632 du 27 juin 2008 portant création du traitement dénommé « EDVIGE » ;
Vu le décret n° 2008-1199 du 19 novembre 2008 portant retrait du décret n° 2008-632 du 27 juin 2008 portant création du traitement dénommé « EDVIGE » ;
Vu le projet de décret en Conseil d'Etat portant création de l'application concernant l'exploitation documentaire et la valorisation de l'information relative à la sécurité publique (EDVIRSP) ;
Vu le projet de décret en Conseil d'Etat portant création de l'application concernant les enquêtes administratives liées à la sécurité publique ;
Vu la délibération n° 2008-174 du 16 juin 2008 portant avis sur le projet de décret en Conseil d'Etat portant création du traitement dénommé « EDVIGE » ;
Vu la délibération n° 2008-175 du 16 juin 2008 portant avis sur le projet de décret en Conseil d'Etat portant modification du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des renseignements généraux et du décret n° 2007-914 du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978 ;
Vu la délibération n° 2008-459 du 20 novembre 2008 portant avis sur le projet de décret en Conseil d'Etat portant création de l'application concernant l'exploitation documentaire et la valorisation de l'information relative à la sécurité publique (EDVIRSP) ;
Vu la délibération n° 2009-356 du 11 juin 2009 portant avis sur le projet de décret en Conseil d'Etat portant création de l'application concernant les enquêtes administratives liées à la sécurité publique ;
Après avoir entendu M. Jean-Marie COTTERET, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis le 27 mars 2009 par le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales de deux projets de décret en Conseil d'Etat créant deux traitements distincts : un traitement de données relatif à la prévention des atteintes à la sécurité publique, d'une part, un traitement de données relatif aux enquêtes administratives liées à la sécurité publique, d'autre part.
La mise en œuvre de ces nouveaux traitements résulte de la réforme des services de renseignement, laquelle a été rendue effective au 1er juillet 2008.
Cette dernière a abouti à la mise en place d'une nouvelle organisation, fondée sur une répartition différente des missions jusqu'alors dévolues à la direction de la surveillance du territoire (DST) et à la direction centrale des renseignements généraux (DCRG).
Dans cette nouvelle architecture, le renseignement intérieur, au sens strict, a été pris en charge par la direction centrale du renseignement intérieur (DCRI), chargée de lutter contre toutes les activités susceptibles de constituer une atteinte aux intérêts fondamentaux de la nation. La mission d'information générale, assurée par le passé par la DCRG, a été confiée à la direction centrale de la sécurité publique (DCSP). Enfin, la surveillance des établissements de jeux et des champs de courses a été confiée à la direction centrale de la police judiciaire (DCPJ).
Dans ce contexte, le traitement « EDVIGE », au sujet duquel la Commission avait été saisie pour avis le 27 mars 2008, avait vocation à permettre à la DCSP de remplir sa mission d'information générale.
A cet égard, il avait pour finalités :
― de centraliser et d'analyser les informations relatives aux personnes physiques et morales ayant sollicité, exercé ou exerçant un mandat électif, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif, afin de donner au Gouvernement ou à ses représentants tous les éléments utiles à leur action ;
― de centraliser et d'analyser les informations relatives aux individus, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l'ordre public ;
― de permettre aux services de police d'exécuter les enquêtes administratives qui leur sont confiées, pour déterminer si le comportement des personnes physiques ou morales intéressées est compatible avec l'exercice des fonctions ou des missions envisagées.
Dans ce cadre, un grand nombre de données étaient susceptibles d'être enregistrées, en particulier des données définies comme sensibles aux termes de l'article 8 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004. Ces données pouvaient concerner des personnes âgées de treize ans et plus.
Aux termes de son avis du 16 juin 2008 sur le projet de décret en Conseil d'Etat portant création du traitement dénommé « EDVIGE », la commission avait émis des réserves sur certaines de ses dispositions, en particulier sur celles concernant les données « sensibles » (informations relatives à l'origine raciale ou ethnique, à la santé et à la vie sexuelle ou encore aux opinions politiques, à l'activité syndicale ou aux convictions philosophiques ou religieuses des personnes) ou qui avaient trait aux mineurs.
Outre qu'elle avait obtenu que le Gouvernement accepte de publier au Journal officiel le décret portant création du traitement, la Commission avait contribué à ce que le projet de texte soit modifié afin, notamment, qu'une durée de conservation de cinq ans soit définie s'agissant des informations collectées sur les personnes faisant l'objet d'une enquête administrative pour l'accès à certains emplois. Elle avait également obtenu que le traitement ne fasse l'objet d'aucune interconnexion, aucun rapprochement ni aucune forme de mise en relation avec d'autres fichiers, notamment ceux de police judiciaire.
A l'issue de la controverse qui a suivi la publication du décret du 27 juin 2008 portant création du traitement « EDVIGE », la commission a été saisie pour avis le 19 septembre 2008 par le même ministère d'un nouveau projet de décret en Conseil d'Etat portant création de l'application concernant l'exploitation documentaire et la valorisation de l'information relative à la sécurité publique (EDVIRSP). Cette nouvelle application devait remplacer le traitement « EDVIGE », qui a été retiré le 19 novembre 2008.
Ce nouveau projet de décret tenait compte des réserves que la commission avait émises sur le traitement « EDVIGE ». Le principe même de la mise en fiche des personnalités était abandonné. La définition des motifs d'enregistrement dans le fichier au titre des atteintes portées à la sécurité publique était précisée. Le traitement des données « sensibles » était plus strictement encadré (impossibilité d'enregistrer des données relatives à la vie sexuelle ou à la santé, par exemple). De même, l'enregistrement de certaines données (signes physiques, déplacements, immatriculation des véhicules) était prohibé au titre de l'exécution des enquêtes administratives. Enfin, un régime juridique spécifique était prévu s'agissant des mineurs.
D'autres modifications ont par la suite été apportées au projet « EDVIRSP » au cours de son instruction par la commission. Ainsi, les conditions de traitement des données sensibles ont été davantage encadrées : seules les informations relatives à l'activité politique ou syndicale d'une personne devaient pouvoir être enregistrées (il n'était plus fait référence aux opinions). De même, au lieu d'autoriser le traitement de données faisant apparaître les origines raciales ou ethniques d'une personne, il était prévu de faire référence aux seuls signes physiques particuliers et objectifs. La durée de conservation des données relatives aux mineurs était fixée à trois ans à compter du dernier enregistrement dans le fichier, ces dispositions remplaçant le dispositif initial. Enfin, le ministère s'était engagé à remettre à la commission tous les ans un rapport sur la tenue du fichier.
Lors de son avis en date du 20 novembre 2008, la commission avait pris acte de toutes ces modifications mais avait maintenu quelques réserves et fait valoir certaines observations.
Elle avait ainsi insisté sur le fait que la définition des motifs d'enregistrement dans le fichier au titre de l'exécution des enquêtes administratives devait être encore précisée et qu'il était nécessaire de prévoir une durée de conservation plus courte s'agissant des données recueillies au titre de l'exécution des enquêtes administratives. En outre, elle avait estimé que les personnes faisant l'objet d'enquêtes administratives devaient être informées de ce qu'elles feraient l'objet d'un enregistrement dans le traitement. Enfin, elle avait souligné qu'elle souhaitait être informée de toutes les modifications apportées à l'architecture technique du traitement, en particulier si celui-ci venait à être totalement informatisé.
La commission prend donc acte de ce que le ministère de l'intérieur a entendu à nouveau modifier son projet initial « EDVIRSP » afin de répondre à certaines de ses réserves et observations. C'est pourquoi il lui a présenté deux nouveaux projets de décret, qui ont vocation à se substituer au projet de décret (EDVIRSP). A cet égard, elle observe que, « dans un souci de clarté et de transparence », « le Gouvernement a souhaité dissocier les traitements en fonction de leur finalité ». En cela, il répond à l'une des recommandations qu'elle avait formulée lors de l'examen des finalités du fichier dit « EDVIRSP ».
A titre liminaire, la commission estime qu'elle doit être tenue informée des conditions dans lesquelles sera opérée la répartition des données entre les différents fichiers qui se substitueront aux fichiers anciennement détenus par les services des renseignements généraux. Enfin, elle regrette de n'avoir toujours pas été rendue destinataire du décret portant création du traitement dénommé « CRISTINA », entré en vigueur le 27 juin 2008, et sur lequel elle s'est pourtant prononcée le 16 juin 2008.
Sur les finalités (article 1er du projet de décret) :
Comme indiqué aux termes du premier alinéa de l'article 1er du projet de décret, le traitement de données à caractère personnel intitulé « Prévention des atteintes à la sécurité publique » a pour finalité de recueillir, de conserver et d'analyser les informations qui concernent des personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique.
Dans la mesure où la sécurité publique peut s'analyser comme « l'élément de l'ordre public caractérisé par l'absence de périls pour la vie, la liberté ou le droit de propriété des individus », la définition de cette finalité du traitement apparaît comme plus restrictive que celle qui avait été retenue s'agissant du fichier « EDVIGE ».
Le second alinéa du même article dispose, quant à lui, que « ce traitement a notamment pour finalité de recueillir, de conserver et d'analyser les informations qui concernent les personnes susceptibles d'être impliquées dans des actions de violence collectives, en particulier en milieu urbain ou à l'occasion de manifestations sportives ».
A cet égard, il était indiqué aux termes du projet de rapport au premier ministre que « le traitement [avait] aussi pour finalité de lutter contre les violences collectives, en particulier les violences urbaines et celles commises dans le contexte de manifestations sportives » et que « son mode d'exploitation [permettrait], à partir de recherches élémentaires (un ou plusieurs champs), d'effectuer des rapprochements et d'établir des liens entre des personnes, des groupes, des éléments et des faits ». « L'analyse de telles données [permettrait] de mieux cerner le fonctionnement de certaines bandes urbaines de délinquants et les rapports qu'elles entretiennent ». Il est enfin précisé que « l'efficacité des forces de sécurité y gagnera tant pour l'élucidation d'affaires passées que pour la prévention de troubles à venir ».
Le ministère de l'intérieur a précisé que le traitement ne comporterait qu'une finalité de renseignement, sans préjudice des dispositions relatives aux conditions d'accès des agents de la police ou de la gendarmerie nationales prévues à l'article 6 du projet de décret. Le ministère de l'intérieur a également indiqué qu'il ne serait pas utilisé comme outil d'analyse sérielle. La commission prend acte de ces précisions.
Sur les données traitées (articles 2, 3 et 5 du projet de décret) :
Sur les données dites « sensibles » (article 3 du projet de décret) :
Cet article réaffirme le principe selon lequel il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. Ce n'est que par dérogation que la collecte, la conservation et le traitement de telles données sont autorisés pour les seules fins évoquées plus haut et sous certaines conditions.
La commission prend acte de la modification rédactionnelle intervenue par rapport au décret du 27 juin 2008 portant création du fichier « EDVIGE », qui autorisait, sans aucune restriction, la collecte des données dites « sensibles ». Elle considère que cette nouvelle rédaction est plus conforme à la lettre comme à l'esprit de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004.
Lors de son avis du 16 juin 2008, la commission avait souhaité que « le projet de décret définisse explicitement la nature des données relevant de l'article 8 qui seraient susceptibles d'être enregistrées au titre de chacune des finalités » et avait précisé, en outre, que « lesdites données ne pourront être enregistrées que dans la stricte mesure où les finalités du traitement l'exigent ». La commission avait enfin estimé que « les cas exceptionnels dans lesquels les données sensibles, au sens de l'article 8 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, et notamment celles touchant à l'origine raciale ou ethnique, à la santé ou à la vie sexuelle des personnes, seraient susceptibles d'être recueillies devraient être étroitement définis ».
Elle observe que le nouveau projet de décret permettra d'encadrer plus strictement les conditions de traitement des données dites « sensibles ». La commission prend acte de ce que la collecte, la conservation et le traitement des données relatives à la santé et à la vie sexuelle seront prohibés. Elle relève avec intérêt que la notion d'« activités », notion objective car fondée sur des actes, a été substituée à celle, plus subjective, d'« opinions » politiques, philosophiques, religieuses ou syndicales. De même, elle observe que, au lieu d'autoriser le traitement de données faisant apparaître l'origine raciale ou ethnique des personnes concernées, le projet de décret se réfère désormais aux seuls signes physiques particuliers et objectifs des personnes ou aux informations relatives à leur origine géographique.
Sur ce dernier point, le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales a indiqué que la notion d'origine géographique était susceptible de faire référence à « un lieu de résidence ou à une origine commune en France ou à l'étranger ». La commission estime que les données pouvant être enregistrées au titre de l'origine géographique, qui constitue une nouvelle catégorie juridique de données, devraient être de nature factuelle et objective, conformément à la jurisprudence du Conseil constitutionnel telle qu'elle résulte de la décision DC 2007-557 du 15 novembre 2007 (loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile).
Sur les différentes catégories de données (article 2 du projet de décret) :
La commission prend acte des précisions apportées par le ministère de l'intérieur selon lesquelles les données relatives au « comportement » des personnes ne feront pas faire apparaître de données « sensibles » et que celles portant sur les « antécédents judiciaires » ne feront référence qu'à des faits et non à des condamnations pénales, en application de l'article 777-3 du code de procédure pénale.
Elle considère, en outre, que l'inscription dans le traitement du « motif de l'enregistrement » constitue une garantie dès lors qu'il permet de vérifier que l'inscription est liée à la finalité du traitement et qu'il permet de préciser en quoi la personne peut porter atteinte à la sécurité publique.
La commission observe qu'il est fait mention d'une nouvelle catégorie de données, dénommée « activités publiques », par rapport à la rédaction du décret du 27 juin 2008. Selon le ministère de l'intérieur, elle vise à collecter des données utiles qui ne pourraient pas être collectées au titre de l'activité professionnelle, stricto sensu, des personnes concernées.
Elle considère néanmoins que, pour lui permettre d'assurer pleinement sa mission de contrôle des conditions d'application a posteriori de ces dispositions, la nature exacte des données susceptibles d'être enregistrées sous cette catégorie devrait être mieux définie.
Sur les mineurs (article 5 du projet de décret) :
Comme dans le décret du 27 juin 2008, la collecte des données peut concerner les mineurs âgés de treize ans et plus.
Lors de son avis du 16 juin 2008, la commission avait rappelé que le traitement de telles données appelait l'adoption de garanties renforcées. Un tel traitement devait, en conséquence, être encadré dans le projet de décret par des dispositions particulières et précises, de façon à lui conserver un caractère exceptionnel et une durée de conservation spécifique. A cet égard, la commission relève que des garanties ont été apportées par rapport au décret « EDVIGE ».
En effet, le décret du 27 juin 2008 n'ayant prévu aucune disposition en la matière, la commission avait obtenu de la part du Gouvernement qu'il définisse, dans la première version du projet de décret portant création du traitement « EDVIRSP », un régime particulier de durée de conservation s'agissant des données relatives aux mineurs.
Le projet de décret « EDVIRSP » transmis à la commission le 19 septembre 2008 prévoyait que les données enregistrées au titre de la finalité relative à la prévention des atteintes à la sécurité publique ne pouvaient être conservées au-delà du dix-huitième anniversaire, sauf si un élément nouveau justifiant un enregistrement au même titre était intervenu dans les deux années précédentes. Dans ce cas, elles pouvaient être conservées jusqu'au vingt et unième anniversaire.
A la demande de la commission, le Gouvernement a accepté de modifier ce projet en définissant une durée fixe de conservation de trois ans à compter du dernier événement ayant justifié un enregistrement dans le traitement.
La commission prend acte de ce que le présent projet de décret reprend les dispositions cette rédaction, qui est de nature à garantir, de façon plus effective, les droits des mineurs concernés. Elle souligne néanmoins que l'enregistrement de telles données devrait conserver un caractère exceptionnel.
La commission prend également acte de ce que, comme indiqué aux termes de l'article 9 du projet de décret, l'application de l'effacement des données relatives aux mineurs devra faire l'objet de développements particuliers dans le rapport annuel que le directeur général de la police nationale adressera chaque année à la CNIL.
Sur les durées de conservation (article 4 du projet de décret) :
Lors de sa délibération du 16 juin 2008, la commission avait regretté que le décret portant création du traitement « EDVIGE » ne comporte aucune indication sur la durée de conservation des données. Aussi relève-t-elle avec intérêt que l'article 4 du projet de décret dispose que lesdites données ne pourront être conservées « plus de dix ans après l'intervention du dernier événement ayant donné lieu à un enregistrement ».
De même, aux termes de sa délibération sur le fichier « EDVIGE », la commission avait rappelé que le principe d'exactitude et de mise à jour des données constituait « une des conditions de licéité des traitements de données personnelles et une garantie essentielle pour les citoyens ». Elle avait ainsi estimé que, compte tenu de la sensibilité des données traitées et des finalités poursuivies, le décret devait prévoir la mise en œuvre, sous le contrôle de la commission, d'une procédure de mise à jour et d'apurement des fichiers.
A cet égard, la commission prend acte de ce que l'article 9 du projet de décret relatif aux modalités de contrôle fait état de ce que le rapport annuel élaboré par le directeur général de la police nationale devra également indiquer « les procédures suivies par les services gestionnaires pour que les données enregistrées soient en permanence exactes et non excessives au regard des finalités pour lesquelles elles sont collectées ».
Sur les destinataires (article 6 du projet de décret) :
Dans la limite du besoin d'en connaître, y compris pour des enquêtes administratives prévues par le premier alinéa de l'article 17-1 de la loi du 21 janvier 1995, seraient autorisés à accéder aux données enregistrées dans le traitement :
― les fonctionnaires relevant de la sous-direction de l'information générale, individuellement désignés et spécialement habilités par le directeur central de la sécurité publique ;
― les fonctionnaires des directions départementales de la sécurité publique affectés dans les services d'information générale individuellement désignés et spécialement habilités par le directeur départemental ;
― les fonctionnaires affectés dans les services de la préfecture de police en charge du renseignement individuellement désignés et spécialement habilités par le préfet de police.
En outre, les fonctionnaires des groupes spécialisés dans la lutte contre les violences urbaines ou les phénomènes de bandes, individuellement désignés et spécialement habilités par le directeur départemental de la sécurité publique ou par le préfet de police, sont autorisés à accéder aux données qui relèvent du deuxième alinéa de l'article 1er du projet de décret.
Par ailleurs, pourra également être destinataire, dans la limite du besoin d'en connaître, tout autre agent d'un service de la police nationale ou de la gendarmerie nationale, sur demande expresse, sous le timbre de l'autorité hiérarchique, qui précise l'identité du consultant, l'objet et les motifs de la consultation.
La commission prend acte de ces dispositions. Elle prend également acte des précisions apportées par le ministère de l'intérieur, selon lesquelles les enquêtes administratives prévues au premier alinéa de l'article 17-1 de la loi du 21 janvier 1995 ne pourront donner lieu qu'à consultation.
S'agissant de la traçabilité des accès, la commission prend acte de ce que les consultations du traitement automatisé feront l'objet d'un enregistrement comprenant l'identifiant du consultant, la date et l'heure de la consultation et de ce que ces informations seront conservées pendant un délai de deux ans. Elle prend également acte de ce que le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales entend étendre les mesures précitées à l'ensemble des traitements locaux au fur et à mesure de l'avancement de la numérisation des documents papiers.
Sur le contrôle a priori et les sécurités (articles 7, 8 et 11 du projet de décret) :
La commission prend acte de ce que les données susceptibles d'être enregistrées dans le traitement se répartiront en quatre catégories, selon l'architecture qui suit :
La première catégorie est constituée des données figurant dans un traitement unique, totalement automatisé, dont la seule fonction est d'indexer les données de fond détenues par les différents services concernés. Ce traitement unique permet de localiser et de retrouver les données de fond.
Les données de fond se répartissent quant à elles en trois catégories.
La deuxième catégorie comporte différents fichiers automatisés détenus par les services, qui regroupent environ un tiers du total des données. La troisième catégorie est celle des données figurant dans des fichiers manuels, qui représentent la majorité des données.
La quatrième catégorie comporte des documents non indexés qui se trouvent soit dans les services centraux de la sous-direction de l'information générale de la DCSP où ils sont entièrement numérisés, soit dans les services départementaux où ils sont pour partie numérisés, pour partie sur support papier.
La commission prend acte de ce qu'il résulte de cette architecture que seules les données des première et deuxième catégories pourront faire l'objet d'une recherche automatisée, par exemple à partir du nom d'une personne.
Le ministère de l'intérieur considère que, comme pour les traitements « EDVIGE » et « EDVIRSP », ce nouveau traitement doit être inscrit dans la liste de ceux faisant l'objet d'une déclaration simplifiée en application du dernier alinéa du I de l'article 30 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004. Cet article renvoie à un décret en Conseil d'Etat le soin de déterminer la liste des traitements concernés. Cette liste, qui a été fixée par le décret n° 2007-914 du 15 mai 2007, a été modifiée le 27 juin 2008 pour y intégrer, notamment, le traitement « EDVIGE ». L'inscription dans cette liste du traitement dénommé « Prévention des atteintes à la sécurité publique » a pour conséquence de réduire l'information communiquée à la commission, ce qu'elle regrette.
Ainsi, et comme elle l'avait déjà souligné dans ses avis des 16 juin et 20 novembre 2008, la commission observe qu'aucun dossier technique n'a été produit à l'appui de la demande d'avis. Aussi ne dispose-t-elle pas d'informations précises sur les dispositions prises pour assurer la sécurité de ce traitement et l'intégrité des données y étant enregistrées. Elle a donc élaboré le présent avis en fonction de quelques indications sommaires et de la connaissance pratique qu'elle a du fonctionnement des fichiers des renseignements généraux grâce au contrôle qu'elle réalise dans le cadre du droit d'accès indirect. Aujourd'hui, le référencement des dossiers est centralisé et informatisé, les dossiers eux-mêmes étant, pour l'essentiel, composés de documents papier, conservés au niveau local.
Si le ministère de l'intérieur semble avoir pour objectif de centraliser la consultation des fichiers, il n'a pu pour autant être précisé si le contenu des dossiers ferait l'objet d'une informatisation et, si tel était le cas, quels en seraient les niveaux et les délais de réalisation. Dans l'hypothèse où un tel dispositif viendrait à être finalisé, la commission demande à être saisie d'une nouvelle demande d'avis.
La commission prend cependant acte de ce que le traitement ne fera l'objet d'aucune interconnexion, aucun rapprochement ni aucune forme de mise en relation avec d'autres traitements ou fichiers ne relevant pas du projet de décret.
Sur le contrôle a posteriori (article 10 du projet de décret) :
La commission prend acte de ce que, aux termes de l'article 10 du projet de décret, le directeur général de la police nationale rendra compte chaque année à la commission de ses activités de vérification, de mise à jour et d'effacement des données enregistrées dans le traitement et indiquera les procédures suivies par les services gestionnaires pour que les données enregistrées soient en permanence exactes, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées. A cet égard, la commission relève que ces procédures seront définies en partenariat avec elle.
Elle observe également que, en application des dispositions de l'article 44 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, visées par l'article 10 du projet de décret, le traitement sera soumis au pouvoir de contrôle sur place et sur pièces de ses membres et agents habilités à cette fin.
Sur les droits des personnes (article 9 du projet de décret) :
Conformément aux dispositions de l'article 41 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, le droit d'accès aux données s'exercera auprès de la commission.
Le droit d'information prévu au I de l'article 32 et le droit d'opposition prévu à l'article 38 de la loi précitée ne s'appliquent pas au présent traitement.