La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales le 28 septembre 2010 d'un projet de décret en Conseil d'Etat autorisant la création du traitement de données à caractère personnel relatif à la gestion de l'information et la prévention des atteintes à la sécurité publique ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel ;
Vu la Convention internationale des droits de l'enfant, notamment son article 16 ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traiteraient de données à caractère personnel et la libre circulation de ces données ;
Vu le code de procédure pénale, notamment son article 777-3 ;
Vu le code de la défense, notamment son article L. 3211-3 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 26 ;
Vu la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité, notamment son article 17-1 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007, notamment son article 16 ;
Vu le décret n° 2007-914 du 15 mai 2007 modifié pris pour l'application du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 1er ;
Vu le décret n° 2009-1249 du 16 octobre 2009 portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique ;
Vu la délibération n° 2009-355 du 11 juin 2009 portant avis sur un projet de décret en Conseil d'Etat portant création de l'application relative à la prévention des atteintes à la sécurité publique ;
Vu le projet de décret en Conseil d'Etat autorisant la création du traitement de données à caractère personnel intitulé « Gestion des sollicitations et des interventions » ;
Après avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport, et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis le 28 septembre 2010 par le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales d'un projet de décret en Conseil d'Etat autorisant la création du traitement de données à caractère personnel relatif à la gestion de l'information et la prévention des atteintes à la sécurité publique (GIPASP) mis en œuvre par la direction générale de la gendarmerie nationale (DGGN).
Ce traitement sera mis en œuvre dans le cadre de l'application « Base de données de sécurité publique » (BDSP) de la direction générale de la gendarmerie nationale. La mise en œuvre de cette base de données par la gendarmerie nationale, et plus particulièrement du traitement GIPASP, s'inscrit dans le cadre de « sa mission de renseignement et d'information des autorités publiques », conformément à l'article L. 3211-3 du code de la défense.
A titre préliminaire, la commission relève que ledit projet de décret présente de fortes similitudes avec le décret du 16 octobre 2009 portant création du traitement relatif à la prévention des atteintes à la sécurité publique (PASP) susvisé mis en œuvre par la direction générale de la police nationale (DGPN). A cet égard, la commission prend note de la volonté du ministère de « disposer d'un cadre juridique identique » pour les traitements PASP et GIPASP. Ainsi, le projet de décret renvoie à plusieurs dispositions du décret du 16 octobre 2009 susvisé relatif au traitement PASP. Or, la commission considère qu'une telle rédaction par renvoi nuit à la lisibilité du texte, donc à l'effectivité de sa publicité.
Sur la finalité du traitement :
Le traitement GIPASP a pour finalité de « recueillir, de conserver et d'analyser les informations qui concernent des personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique », notamment les personnes susceptibles d'être impliquées dans des actions de violence collectives, en particulier en milieu urbain ou à l'occasion de manifestations sportives.
La commission note que la finalité du traitement GIPASP est strictement identique à celle du traitement PASP mis en œuvre par la direction générale de la police nationale en application du décret du 16 octobre 2009 susvisé et rappelle que la « sécurité publique » doit s'entendre comme l'élément de l'ordre public caractérisé par l'absence de périls pour la vie, la liberté ou le droit de propriété des individus.
Sur la nature des données traitées :
Le projet de décret prévoit en premier lieu le traitement du « motif de l'enregistrement ». La commission rappelle que cette donnée constitue une garantie dès lors qu'elle permet de vérifier que l'inscription est liée à la finalité du traitement et de préciser en quoi la personne peut porter atteinte à la sécurité publique. Or, il apparaît que cette donnée pourra ne pas être systématiquement renseignée selon la nature de la fiche. La commission souhaite que le « motif de l'enregistrement » soit une donnée obligatoire afin de lui permettre, lorsqu'elle agit dans le cadre de son pouvoir de contrôle dans les conditions prévues à l'article 44 de la loi du 6 janvier 1978 modifiée, de s'assurer du respect de la finalité du traitement et de la pertinence des données enregistrées.
La commission prend acte que les « agissements susceptibles de recevoir une qualification pénale » feront référence à des faits et en aucun cas à des condamnations pénales, ce conformément à l'article 777-3 du code de procédure pénale. Il est, par ailleurs, prévu le traitement des « activités publiques », catégorie dont il a été précisé qu'elle vise à collecter des données au-delà de l'activité professionnelle des personnes. S'agissant des « comportement et déplacements », le ministère a précisé à la commission qu'il s'agit notamment d'enregistrer des données relatives au réseau relationnel des personnes concernées et aux lieux qu'ils fréquentent habituellement. La commission observe que, pour lui permettre d'assurer pleinement sa mission de contrôle des conditions d'application a posteriori de ces dispositions, la nature exacte des données susceptibles d'être enregistrées sous la catégorie « activités publiques » devrait être mieux définie.
S'agissant du traitement des données des « personnes entretenant ou ayant entretenu des relations directes et non fortuites avec l'intéressé », la commission observe que le respect de la finalité du traitement suppose que ces personnes soient elles aussi susceptibles de porter atteinte à la sécurité publique.
La commission prend note de l'absence de dispositif de reconnaissance faciale à partir de la photographie.
Sur les données « sensibles » :
Comme le décret du 16 octobre 2009 relatif au traitement PASP susvisé, le projet de décret pose le principe selon lequel il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. Ce n'est que par dérogation que la collecte, la conservation et le traitement de telles données sont autorisés pour les seules fins évoquées plus haut et sous réserve du respect des conditions suivantes.
La commission prend acte de ce que la collecte, la conservation et le traitement des données relatives à la santé et à la vie sexuelle seront prohibés. Elle relève que les opinions politiques, philosophiques, religieuses ou syndicales ne pourront faire l'objet d'un traitement et que seules les « activités publiques » politiques, philosophiques, religieuses ou syndicales pourront être renseignées. La commission prend acte qu'aucune donnée « sensible » ne sera traitée dans le cadre des « comportement et déplacements ». De même, elle observe que les données susceptibles de laisser apparaître, directement ou indirectement, l'origine raciale ou ethnique, réelle ou supposée, des personnes concernées seront limitées aux seuls « signes physiques particuliers et objectifs comme élément de signalement des personnes » ou aux informations relatives à leur « origine géographique ».
Sur ce dernier point, le ministère a indiqué que la notion d'origine géographique fait référence à « un lieu de résidence ou à une origine commune en France ou à l'étranger » et que cette donnée est « destinée en particulier à qualifier le principe de cohésion d'une bande criminelle » (quartier, « territoire », etc.). La commission prend acte que, conformément à la jurisprudence du Conseil constitutionnel (DC n° 2007-557 du 15 novembre 2007), l'origine géographique ne pourra être qu'une donnée « factuelle et objective ».
La commission note avec intérêt qu'il sera impossible de sélectionner dans le traitement une catégorie particulière de personnes à partir d'une donnée dite « sensible ».
Sur la durée de conservation des données :
Les données ne pourront être conservées « plus de dix ans après l'intervention du dernier événement de nature à faire apparaître un risque d'atteinte à la sécurité publique ayant donné lieu à un enregistrement ». Cette durée maximale apparaît proportionnée à la finalité de gestion de l'information relative aux personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique. De plus, la commission prend acte de l'existence de durées de conservation plus courtes pour certaines catégories de données n'ayant pas donné lieu à une exploitation approfondie.
Le principe d'exactitude et de mise à jour des données constitue une des conditions de licéité des traitements de données personnelles et une garantie essentielle pour les citoyens. A cet égard, la commission prend acte de ce que le projet de décret indique qu'un rapport lui sera annuellement remis par le directeur général de la gendarmerie nationale sur les « activités de vérification, de mise à jour et d'effacement des données enregistrées dans le traitement » et que ce rapport mentionnera les procédures suivies « pour que les données enregistrées soient en permanence exactes, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ».
Sur le traitement des données relatives aux mineurs :
La commission prend acte que le traitement ne pourra concerner des mineurs que « s'ils sont âgés d'au moins 13 ans » et que leur activité indique qu'ils peuvent porter atteinte à la sécurité publique. Comme elle l'avait souligné lors de son avis du 11 juin 2009 sur le traitement PASP, elle rappelle que l'enregistrement de telles données doit conserver un caractère exceptionnel.
Par ailleurs, ces données connaissent une durée maximale de conservation dérogatoire, à savoir qu'elles ne pourront être conservées « plus de trois ans après l'intervention du dernier événement de nature à. faire apparaître un risque d'atteinte à la sécurité publique ayant donné lieu à un enregistrement ». La commission considère que cette durée maximale apparaît proportionnée à la finalité de gestion de l'information relative aux personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique. De plus, la commission prend acte de l'existence de durées de conservation plus courtes pour certaines catégories de données n'ayant pas donné lieu à une exploitation approfondie.
La commission note également que les activités de vérification, de mise à jour et d'effacement des données relatives aux mineurs feront l'objet de développements particuliers dans le rapport qui sera annuellement remis à la commission par le directeur général de la gendarmerie nationale.
Sur les destinataires des données :
Alors que le traitement PASP de la police nationale n'est directement accessible qu'aux fonctionnaires de la police nationale affectés dans les services spécialisés dans les activités d'information générale et de renseignement, le traitement GIPASP de la gendarmerie nationale sera directement accessible « aux personnels de la gendarmerie nationale individuellement désignés et spécialement habilités ». Il a été précisé que, du fait de l'organisation propre à la gendarmerie nationale dans le cadre de sa mission de renseignement, il s'agira de l'ensemble des personnels de la gendarmerie départementale ainsi que, dans le cadre de certaines missions ponctuelles, des personnels de la gendarmerie mobile.
La commission note que le traitement, composé d'une base centrale unique, sera ainsi accessible par deux catégories de personnels. D'une part, les personnels spécialisés dans l'analyse du renseignement accéderont sans restriction à toutes les données du traitement (fiches de renseignement « simplifié », « élaboré », « élaboré confidentiel » et « entité »). D'autre part, les autres personnels de la gendarmerie départementale (exceptionnellement, ceux de la gendarmerie mobile) pourront accéder aux données d'information basique (renseignement « simplifié ») ainsi qu'à certaines données d'information approfondie (renseignement « élaboré »).
La commission émet des réserves sur l'opportunité d'offrir un si large accès direct et permanent au traitement GIPASP à une grande partie des personnels de la gendarmerie nationale, soit environ 60 000 militaires. En effet, indépendamment des incidences éventuelles sur la sécurité des données (lesquelles sont pondérées par des mesures de traçabilité très élaborées), il n'a pas été justifié du besoin d'en connaître de ces personnels dans le cadre de leurs attributions quotidiennes. Ainsi, si les gendarmes départementaux ont effectivement pour mission de recueillir et de transmettre aux analystes des informations locales relatives à la sécurité publique, ils n'ont en revanche aucune attribution en matière d'analyse et d'exploitation du renseignement susceptible de justifier l'accès à des informations approfondies au niveau national.
En revanche, la commission observe que les fonctionnaires de la direction générale de la police nationale et de la préfecture de police spécifiquement chargés de missions d'information générale et d'enquêtes administratives (sous-direction de l'information générale de la direction centrale de la sécurité publique de la police nationale, services d'information générale des directions départementales de la sécurité publique et direction du renseignement de la préfecture de police) ne sont pas au nombre des personnes accédant directement au traitement GIPASP.
Sur les interconnexions, rapprochements et autres mises en relation :
Le projet de décret indique que le traitement GIPASP ne fera l'objet d'aucune interconnexion, d'aucun rapprochement ni aucune forme de mise en relation avec d'autres traitements ou fichiers.
Or, le projet de décret mentionne le traitement de données dont la nature pourrait laisser penser qu'elles auront pour origine un rapprochement avec un autre traitement. Cependant, le ministère de l'intérieur a confirmé qu'il n'y aurait dans le cadre du traitement GIPASP aucune mise en relation, interconnexion (mise en relation automatisée de traitements) ou rapprochement (mise en relation non automatisée de traitements). Ainsi, la commission en conclut que les données relatives aux « agissements susceptibles de recevoir une qualification pénale » n'auront pas pour origine la consultation d'un traitement d'antécédents judiciaires (« STIC » ou « JUDEX »), ou encore que celles relatives à l'« immatriculation des véhicules » ne proviendront pas d'une interrogation des fichiers d'immatriculation (« FNI » ou « SIV »).
En revanche, il résulte du dossier administratif que le traitement GIPASP pourra faire l'objet d'une interrogation simplifiée via le traitement GSI (gestion des sollicitations et interventions) de la gendarmerie nationale à partir de l'identité d'une personne sollicitant les services de la gendarmerie nationale ou faisant l'objet de leur intervention. La commission prend acte que, dans un tel cas, cette interrogation du traitement GIPASP depuis le traitement GSI ne permettra d'accéder qu'à l'information « connu » ou « inconnu ». Ainsi, en l'état des informations dont elle dispose et sous réserve des constatations qu'elle sera amenée à réaliser dans le cadre de l'exercice de son pouvoir de contrôle a posteriori, la commission considère que la mise en relation automatisée de ces traitements est susceptible d'être qualifiée d'« interconnexion » au sens du 3° du I de l'article 30 de la loi du 6 janvier 1978 modifiée et du 7° du II de l'article 16 du décret du 20 octobre 2005 susvisé.
Sur le contrôle a priori :
Le ministère de l'intérieur considère que, comme pour le traitement PASP de la police nationale, le traitement GIPASP de la gendarmerie nationale doit être inscrit dans la liste de ceux faisant l'objet d'une déclaration simplifiée en application du dernier alinéa du I de l'article 30 de la loi du 6 janvier 1978 modifiée. Cet article renvoie à un décret en Conseil d'Etat le soin de déterminer la liste des traitements concernés, laquelle a été fixée par le décret du 15 mai 2007 susvisé. L'inscription dans cette liste du traitement GIPASP a pour conséquence de réduire l'information communiquée à la commission, ce qu'elle regrette.
Sur le contrôle a posteriori :
La commission prend acte qu'il lui sera rendu compte chaque année par le directeur général de la gendarmerie nationale de ses activités de vérification, de mise à jour et d'effacement des données enregistrées dans le traitement et que ce rapport indiquera les procédures suivies par les services gestionnaires pour que les données enregistrées soient en permanence exactes, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées. A cet égard, la commission relève que ces procédures devront être définies en partenariat avec elle.
Elle observe également que, en application des dispositions de l'article 44 de la loi du 6 janvier 1978 modifiée, le traitement sera soumis au pouvoir de contrôle sur place et sur pièces de ses membres et agents habilités à cette fin.
Sur les droits des personnes :
Conformément aux dispositions de l'article 41 de la loi du 6 janvier 1978 modifiée, le droit d'accès aux données s'exercera auprès de la commission.
Le droit d'information prévu au I de l'article 32 et le droit d'opposition prévu à l'article 38 de la loi précitée ne s'appliqueront pas au présent traitement.
Sur les mesures de sécurité :
Le traitement, composé d'une base centrale et déployé sur les réseaux propres de la gendarmerie, repose sur une architecture fondée sur des logiciels libres à la robustesse éprouvée. Les permissions d'accès sont gérées par un système centralisé déployé dans tout le réseau interne de la gendarmerie, Les communications sont chiffrées, ce qui garantit la confidentialité des échanges lors de l'accès par un terminal nomade. Les sauvegardes font l'objet d'un chiffrement. Des équipements réseau sont prévus pour la prévention et la détection des tentatives d'intrusion.
La commission prend acte de la mise en œuvre d'un haut niveau d'authentification individuelle des utilisateurs, laquelle se fera par l'introduction d'une carte à puce individuelle dans un lecteur, puis par la saisie d'un code secret individuel.
La commission relève que la gestion des habilitations est satisfaisante dans la mesure où des profils spécifiques ont été définis pour cloisonner l'accès aux différentes fonctions du traitement.
La commission note que le traitement GIPASP est soumis à un dispositif de traçabilité très élaboré. En effet, le projet de décret prévoit que « les consultations du traitement automatisé font l'objet d'un enregistrement comprenant l'identifiant du consultant, la date, l'heure et l'objet de la consultation. Ces informations sont conservées pendant un délai de cinq ans ». A cet égard, la commission souligne que la conservation des traces relatives à l'objet de la consultation ne doit pas conduire à prolonger la durée de conservation des données du traitement GIPASP. En outre, la commission note que, alors que le projet de décret est silencieux sur ce point, les actions de création et de suppression feront aussi l'objet de mesures de traçabilité. La commission invite le ministère à compléter le projet de décret sur ce point. Enfin, la commission prend acte que les demandes d'accès des destinataires occasionnels seront conservées durant cinq ans. S'agissant de la sécurité du fichier de traces, la commission prend acte qu'un faible nombre de personnes bénéficie des permissions pour la gestion des traces générées par le traitement, ce qui apporte une garantie quant à l'intégrité de ces traces et donc à l'imputabilité des actions des utilisateurs. Il convient de noter que la consultation des traces sera elle-même tracée.