La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur, de l'outre-mer et des collectivités territoriales d'une demande d'avis relative à un projet de décret portant modification des décrets n° 2009-1249 et n° 2009-1250 du 16 octobre 2009 portant respectivement création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique et d'un traitement de données à caractère personnel relatif aux enquêtes administratives liées à la sécurité publique ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;
Vu la loi n° 95-73 du 21 janvier 1995 modifiée d'orientation et de programmation relative à la sécurité, et notamment son article 17-1 ;
Vu la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure, et notamment son article 21 ;
Vu le décret n° 93-1362 du 30 décembre 1993 modifié relatif aux déclarations de nationalité, aux décisions de naturalisation, de réintégration, de perte, de déchéance et de retrait de la nationalité française, et notamment son article 36 ;
Vu le décret n° 2005-1124 du 6 septembre 2005 pris pour l'application de l'article 17-1 de la loi n° 95-73 du 21 janvier 1995 et fixant la liste des enquêtes administratives donnant lieu à la consultation des traitements automatisés de données personnelles mentionnés à l'article 21 de la loi n° 2003-239 du 18 mars 2003 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 modifiée par la loi n° 2004-810 du 6 août 2004 ;
Vu le décret n° 2009-1249 du 16 octobre 2009 portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique ;
Vu le décret n° 2009-1250 du 16 octobre 2009 portant création d'un traitement de données à caractère personnel relatif aux enquêtes administratives liées à la sécurité publique ;
Vu la délibération n° 2009-355 du 11 juin 2009 portant avis sur un projet de décret en Conseil d'Etat portant création de l'application relative à la prévention des atteintes à la sécurité publique ;
Vu la délibération n° 2009-356 du 11 juin 2009 portant avis sur un projet de décret en Conseil d'Etat portant création de l'application concernant les enquêtes administratives liées à la sécurité publique ;
Après avoir entendu M. Jean-Marie COTTERET, commissaire, en son rapport et Mme Elisabeth ROLlN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales d'une demande d'avis relative à un projet de décret modifiant les décrets n° 2009-1249 et n° 2009-1250 du 16 octobre 2009 portant création de traitements de données à caractère personnel respectivement relatifs à la prévention des atteintes à la sécurité publique (PASP) et aux enquêtes administratives liées à la sécurité publique (EASP).
Dans le cadre de la réforme des services de renseignement intervenue en 2008, la création de ces deux traitements, en remplacement de l'application « EDVIRSP », laquelle avait déjà vocation à se substituer au traitement « EDVIGE », résulte notamment de la prise en compte des recommandations de la commission visant à dissocier deux finalités distinctes de ces traitements. En effet, les applications EDVIGE puis EDVIRSP avaient notamment pour finalités de centraliser les informations relatives aux individus, groupes et organisations qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l'ordre public ainsi que de permettre aux services de police d'exécuter les enquêtes administratives qui leur sont confiées pour déterminer si le comportement des personnes physiques ou morales intéressées est compatible avec l'exercice des fonctions ou des missions envisagées.
Afin de supprimer tout risque de confusion entre ces finalités, et conformément aux observations de la commission, le Gouvernement a ainsi souhaité les scinder en deux traitements distincts, où diffèrent les garanties comme les catégories de données susceptibles d'être collectées et traitées.
Ainsi le décret n° 2009-1249 susvisé, pris après avis de la CNIL en date du 11 juin 2009, a autorisé la création du traitement PASP, dont la finalité est de recueillir et d'analyser des données à caractère personnel concernant des personnes dont l'activité individuelle ou collective indique qu'elles peuvent porter atteinte à la sécurité publique. JI s'agit ainsi d'un traitement ne comportant qu'une finalité de renseignement, dont les données peuvent en outre être consultées dans le cadre des enquêtes administratives prévues par le premier alinéa de l'article 17-1 de la loi du 21 janvier 1995 modifiée.
Le traitement EASP, créé par le décret n° 2009-1250 précité, sur lequel la commission s'est prononcée en sa délibération n° 2009-356 du 11 juin 2009, vise exclusivement à faciliter la réalisation de ces mêmes enquêtes administratives par la conservation des données issues de précédentes enquêtes relatives à la même personne. A cet égard, il y a lieu de rappeler que la commission a constaté dans cet avis du 11 juin 2009 que, si la nature des enquêtes administratives susceptibles de donner lieu à un enregistrement dans le traitement EASP était ainsi précisée par la référence aux dispositions du premier alinéa de l'article 17-1 de la loi du 21 janvier 1995 modifiée, celles-ci visent un grand nombre d'enquêtes administratives, comme en attestent les termes du décret n° 2005-1124 du 6 septembre 2005 pris pour son application.
Dans ce contexte, les modifications envisagées par le projet de décret soumis à la commission visent à permettre la réalisation, par les services de police et de gendarmerie nationales, de deux nouvelles enquêtes administratives, effectuées en vue de l'instruction des dossiers de demande d'acquisition de la nationalité française et des demandes de titre de séjour. Plus précisément, il s'agit de permettre la consultation des données enregistrées dans le traitement PASP dans le cadre de ces enquêtes, ainsi que la consultation et l'enregistrement des données à caractère personnel du traitement EASP dans ce même cadre.
A cet égard, la commission rappelle en premier lieu que l'article 36 du décret n° 93-1362 du 30 décembre 1993 modifié prévoit expressément que « toute demande de naturalisation ou de réintégration fait l'objet d'une enquête à laquelle procède l'autorité auprès de laquelle elle a été déposée par application des dispositions de l'article précédent », et que « cette enquête, qui porte sur la conduite et le loyalisme du postulant, est effectuée par les services de police ou de gendarmerie territorialement compétents ».
Elle relève en second lieu que ces enquêtes administratives sont indirectement visées au troisième alinéa de l'article 17-1 de la loi du 21 janvier 1995 modifiée. En effet, ces dispositions prévoient la consultation des traitements automatisés de données personnelles mentionnés à l'article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure (les fichiers dits d'antécédents judiciaires STIC et JUDEX) dans le cadre de l'instruction des demandes d'acquisition de la nationalité française et de délivrance et de renouvellement des titres relatifs à l'entrée et au séjour des étrangers, à l'instar de ce qui est prévu dans le cadre des enquêtes administratives mentionnées au premier alinéa de l'article 17-1 de la loi du 21 janvier 1995 modifiée.
Dans ces conditions, la commission prend acte des modifications prévues des décrets n° 2009-1249 et 2009-1250 du 16 octobre 2009 qui permettront la consultation des traitements PASP et EASP dans le cadre de ces enquêtes. Ainsi, au premier alinéa de l'article 6 du décret n° 2009-1249 relatif aux destinataires du traitement PASP, il est prévu de remplacer les mots : « enquêtes administratives prévues par le premier alinéa de l'article 17-1 de la loi du 21 janvier 1995 susvisée » par les mots : « enquêtes administratives prévues par les premier et troisième alinéas de l'article 17-1 de la loi du 21 janvier 1995 susvisée ». Il est également projeté de modifier sous la même forme l'article 1er du décret n° 2009-1250 relatif aux finalités du traitement EASP.
Il convient cependant de rappeler le principe défini aux termes de l'article 10 de la loi du 6 janvier 1978 modifiée, selon lequel « aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité ». La commission considère dès lors que cette nouvelle utilisation des traitements PASP et EASP doit être assortie des mêmes précautions que celles qui entourent la consultation du STIC pour les besoins d'enquêtes administratives, et qui ont été récemment rappelées par la circulaire du 30 mai 2010 du ministre de l'intérieur.
Elle estime ainsi qu'il conviendra de rappeler aux autorités administratives compétentes, par exemple par voie de circulaire, qu'aucune demande d'acquisition de la nationalité française ou de délivrance d'un titre de séjour ne devra donner lieu à une décision de refus prise sur la simple mention de l'identité de la personne concernée dans ces traitements. Au regard des conséquences importantes pour les personnes que peuvent avoir des décisions défavorables, il importe en effet de s'assurer que celles-ci sont prises sur une analyse précise de leurs activités et des atteintes à la sécurité publique qu'elles sont susceptibles de porter.
Dès lors, la commission souhaite appeler l'attention du ministère de l'intérieur sur la nécessité de s'assurer de l'exactitude des informations enregistrées dans les traitements PASP et EASP. A cet égard, elle relève que les procédures garantissant que les données enregistrées dans ces traitements sont en permanence exactes, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées n'ont pas été portées à la connaissance de la commission, contrairement aux engagements pris par le ministère en 2009. Elle relève en outre que le directeur général de la police nationale ne lui a pas encore présenté les rapports annuels portant sur ses activités de vérification, de mise à jour et d'effacement des données enregistrées dans ces traitements, prévus aux articles 10 des décrets du 16 octobre 2009.
Dans ces conditions, la commission veillera tout particulièrement, tant dans le cadre de ses missions de contrôle effectuées en application de l'article 44 de la loi du 6 janvier 1978 modifiée que de ses investigations menées conformément aux articles 41 et 42 de ladite loi, à ce que les données enregistrées dans les traitements PASP et EASP soient exactes, complètes et, si nécessaire, mises à jour.
Enfin, la commission souhaite de nouveau appeler l'attention du Gouvernement sur l'absence de lisibilité qui découle de la multiplicité des dispositions législatives ou réglementaires relatives à la consultation des fichiers de police dans le cadre de l'exécution d'enquêtes administratives.