La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'économie, de l'industrie et de l'emploi d'une demande d'avis relative à un projet d'arrêté portant création d'un traitement de gestion des accréditations ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 26 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-401 du 25 mars 2007 ;
Vu l'arrêté du 29 mai 2008 portant création du système informatisé de gestion des accréditations (SIGA) ;
Vu la délibération n° 2008-117 du 20 mai 2008 portant avis sur un projet d'arrêté portant création par le secrétariat général de la présidence française du Conseil de l'Union européenne d'un traitement automatisé de données à caractère personnel dénommé « Système informatisé de gestion des accréditations » (SIGA) ;
Après avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie le 2 novembre 2010 par le ministère de l'économie, de l'industrie et de l'emploi d'un dossier de demande d'avis relatif à un projet d'arrêté portant création d'un traitement de données à caractère personnel de gestion des accréditations.
Dans le cadre de la présidence française du G 20, qui s'exerce pour une durée d'un an depuis le sommet de Séoul de novembre 2010, et de la présidence française du G 8, qui s'exercera du 1er janvier au 31 décembre 2011, le ministère chargé de l'économie projette en effet de mettre en œuvre un traitement destiné à gérer l'organisation des réunions interministérielles relevant de ces présidences ainsi que celle des réunions préparatoires en relation avec celles-ci. En particulier, afin de coordonner l'organisation des événements, réunions et manifestations relevant de la présidence française du G 20 et du G 8, ce traitement devrait notamment permettre de gérer les modalités d'accréditation pour l'accès aux manifestations des différentes catégories de participants et des prestataires de services : délégations de ministres et chefs de gouvernement des pays membres des G 20 ou G 8, journalistes, invités de la « société civile » et employés des sociétés commerciales en charge de la logistique.
A titre liminaire, la commission observe qu'un tel traitement a déjà été utilisé par plusieurs Etats membres de l'Union européenne (UE) ayant exercé la présidence du Conseil de l'UE, ainsi que par le secrétariat général de la présidence française de l'UE qui s'est exercée entre le 1er juillet et le 31 décembre 2008. En effet, l'arrêté du 29 mai 2008 susvisé, pris après l'avis de la CNIL en date du 20 mai 2008, a autorisé la création par ce secrétariat général d'un traitement de données à caractère personnel destiné à gérer l'organisation des événements liés à cette présidence.
Or le ministère chargé de l'économie prévoit de recourir au même traitement que celui autorisé par ledit arrêté, dont les dispositions sont intégralement reprises dans le projet soumis pour avis à la commission. De même que dans le cadre du traitement SIGA, celle-ci prend ainsi acte de ce que le ministère chargé de l'économie considère que ce traitement intéresse la sécurité publique et relève dès lors du régime d'autorisation par arrêté ministériel, pris après avis de la CNIL, en application des dispositions du 1° du I de l'article 26 de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement :
Le traitement concerné vise à gérer l'instruction des demandes d'accréditation des personnes participant aux événements, réunions et manifestations organisés dans le cadre des présidences françaises du G 20 et du G 8, à organiser la prise en charge de la sécurité desdites personnes et à procéder aux contrôles des accréditations lors de l'accès à ces événements.
La commission considère que, eu égard à la nature des événements et au contexte dans lequel ils s'inscrivent, les finalités décrites ci-dessus revêtent un caractère légitime.
Elle observe cependant que le traitement comporte également une finalité statistique, qui vise notamment à élaborer des indicateurs de mesure d'audience des manifestations et à permettre la préparation des bilans de fin de gestion des opérations de la présidence. Tout comme dans le cadre du traitement SIGA, la commission estime dès lors que cette finalité devrait être précisée à l'article 1er du projet d'arrêté portant création du traitement de gestion des accréditations.
Sur les données qui y sont enregistrées :
La commission prend acte de la liste des données à caractère personnel collectées et enregistrées dans le traitement, s'agissant des membres des délégations (à savoir les délégués eux-mêmes ainsi que leurs conjoints, les collaborateurs, les agents de sécurité, les agents de liaison et les chauffeurs), des journalistes et autres professionnels des médias, des employeurs et salariés des prestataires de services, et enfin des invités. Les catégories de données relatives à ces personnes concernent leur identité, leur adresse, leur vie professionnelle et leurs moyens de déplacement.
A cet égard, elle prend acte qu'aucune donnée sensible, au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, ne sera collectée ou traitée.
Sur la durée de conservation des données :
Aux termes de l'article 3 du projet d'arrêté, la durée de conservation maximale des données enregistrées dans le traitement est de douze mois à compter de leur enregistrement. Dans la mesure où les présidences françaises du G 20 et du G 8 s'exerceront pendant douze mois, la commission estime que cette durée n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées.
Sur les destinataires du traitement :
Seuls seront destinataires, pour les besoins exclusifs des missions qui leur sont confiées, les agents individuellement désignés et spécialement habilités du ministère organisateur d'événements (le ministère chargé de l'économie), les préfets territorialement compétents pour les événements précités ainsi que les agents individuellement désignés et spécialement habilités par ces derniers, et les agents individuellement désignés et spécialement habilités des services de police et de gendarmerie nationale. La commission prend acte de cette liste de personnels habilités à accéder aux données enregistrées dans le traitement, identique à celle prévue dans le cadre du traitement SIGA.
Sur les sécurités du système :
S'agissant des mesures de sécurité entourant le fonctionnement du traitement, la commission relève que le traitement ne peut faire l'objet d'interconnexions avec tout autre traitement de données à caractère personnel. Elle estime en outre que les mesures de sécurité prévues apparaissent suffisantes au regard des obligations prévues par l'article 34 de la loi du 6 janvier 1978 modifiée.
Sur les droits des personnes :
Conformément aux dispositions du dernier alinéa de l'article 41 de la loi du 6 janvier 1978 modifiée, le ministère chargé de l'économie prévoit de mettre en œuvre des droits d'accès et de rectification directs des personnes aux données qui les concernent, qui s'exerceront auprès du secrétariat général du ministère chargé de l'économie.
La commission prend acte de ce point, de même que de l'absence de possibilité, pour les personnes concernées de s'opposer au traitement de leurs données à caractère personnel, conformément au troisième alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée.
Fait le 16 décembre 2010.