Sur la finalité du traitement :
Le traitement a pour finalité de mettre en œuvre et d'assurer le suivi des procédures de lutte contre les sites illégaux de jeux d'argent et de hasard.
Les mesures pénales, civiles et administratives de lutte contre les sites illégaux de jeux d'argent sont prévues par le chapitre XII de la loi n° 2010-476 du 12 mai 2010 (ci-après la « loi »).
Cette loi sanctionne pénalement toute personne, physique ou morale, proposant une offre de paris ou de jeux d'argent et de hasard en ligne sans être titulaire de l'agrément délivré par l'ARJEL qui peut dénoncer au procureur de la République tout fait dont elle a connaissance.
Le traitement a pour objectifs la mise en œuvre et le suivi :
― de l'identification des offres illicites de jeux ou paris en ligne des opérateurs proposant ces offres et des personnes qui hébergent ces sites au sens du 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 ;
― du signalement des faits susceptibles de recevoir une qualification pénale au procureur de la République et des échanges subséquents ;
― de la gestion des mises en demeure adressées aux opérateurs illégaux ;
― des procédures civile et administrative prévues respectivement à l'article 61 de la loi n° 2010-476 du 12 mai 2010 susvisée et aux articles L. 563-1 et suivants du code monétaire et financier ;
― des demandes d'arrêt de l'accès aux offres illicites de jeux ou paris en ligne aux personnes visées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 susvisée, à savoir les fournisseurs d'accès à internet et les hébergeurs de sites illégaux ;
― des demandes tendant à faire cesser le référencement des sites illégaux par un moteur de recherche ou un annuaire.
La commission relève que ces finalités sont légitimes et correspondent aux missions dévolues à l'ARJEL en application de la loi n° 2010-476 du 12 mai 2010 et des dispositions du code monétaire et financier.
Sur les données traitées :
L'article 2 du projet d'arrêté prévoit que les données ou catégories de données à caractère personnel susceptibles d'être traitées sont relatives :
― à l'identité de l'opérateur de jeux ou paris en ligne faisant l'objet de la procédure (nom, prénom, adresse) ;
― à l'identité de l'hébergeur du site de l'opérateur, des fournisseurs d'accès à internet, des moteurs de recherches et des annuaires ;
― aux référencements bancaires permettant de mettre en œuvre le blocage des flux financiers (coordonnées bancaires de l'opérateur de jeux ou paris en ligne faisant l'objet de la procédure) ;
― aux données de connexion de l'opérateur de jeux ou paris en ligne concerné (identifiants de terminaux, identifiants de connexions) ;
― aux infractions par l'opérateur de jeux ou de paris en ligne concerné et aux sanctions contre celui-ci.
Les informations collectées sont susceptibles de porter sur des personnes physiques. A ce titre, la commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Sur les destinataires des données :
Seuls pourront accéder aux données contenues dans le traitement les agents habilités dans le cadre de leurs missions, à savoir :
― les agents habilités et assermentés de l'ARJEL ;
― les agents des douanes (alinéa 5 de l'article 59 de la loi) ;
― le procureur de le République (par application du IV de l'article 44 de la loi) ;
― l'administration fiscale (en vertu du dernier alinéa de l'article 59 de la loi) ;
― les services compétents du ministère chargé du budget aux fins de mise en œuvre de la procédure décrites aux articles L. 563-1 et suivants du COMEFI.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données traitées.
Sur les durées de conservation des données :
La durée de conservation est de cinq ans à compter de la date de constatation, par voie de procès-verbal, de l'existence d'une offre de jeux ou de paris en ligne illégale sur le territoire français, sous réserve qu'une procédure judiciaire soit en cours.
Cette durée de conservation est portée à dix ans à compter du prononcé d'une condamnation judiciaire définitive ou d'une sanction administrative lorsque de telles condamnations ou sanctions sont prononcées.
Sur l'information et les droits des personnes concernées :
Conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, les obligations en matière d'information incombant aux responsables de traitement ne s'appliquent pas aux traitements ayant pour objet « la prévention, la recherche ou la poursuite d'infractions pénales ».
Une information sera toutefois délivrée aux personnes sur le site internet de l'ARJEL afin de les informer de leurs droits.
Le traitement étant susceptible de porter sur des personnes physiques, le projet d'arrêté prévoit, en application des articles 41 et 42 de la loi du 6 janvier 1978 modifiée, un droit d'accès indirect aux données.
Conformément au dernier alinéa de l'article 38, le droit des personnes de s'opposer à ce que des données personnelles fassent l'objet d'un traitement ne s'applique pas.
Sur les sécurités des données et la traçabilité des actions :
Le traitement déclaré par l'ARJEL consiste en la mise en place d'un « Wiki » : plate-forme semblable à un site web dont les pages sont modifiables par les agents afin de permettre le partage des informations produites par ceux-ci.
Il sera mis en œuvre sur le réseau intranet de l'ARJEL qui n'est pas relié à internet. Aucun service internet externe ou de messagerie n'est accessible via ce réseau. La gestion des supports amovibles est réservée aux seuls agents autorisés. Seule l'impression papier ou l'export d'enregistrements individuels pourraient servir à l'exfiltration de données du traitement, ce qui représente des garanties fortes de protection contre la compromission de données.
Tout export à fin de transmission externe est tracé, strictement encadré et fait appel à des certificats pour authentifier et sécuriser les échanges.
L'authentification des utilisateurs amenés à se connecter est d'un niveau de qualité répondant aux exigences édictées par l'ANSSI, notamment en ce qui concerne la structure des mots de passe.
L'utilisation de journaux du serveur est prévue afin de garantir une traçabilité des accès aux ressources présentes sur le Wiki. La traçabilité générale des accès à l'application s'appuie sur la journalisation native du serveur Apache et de l'application « Dokuwiki » permettant ainsi d'assurer la traçabilité des modifications effectuées sur le contenu. Les données de traçabilité sont conservées deux ans et sont accessibles par le directeur des enquêtes et contrôles et par le directeur des systèmes d'information et de l'évaluation.
La confidentialité des échanges est assurée par le recours au protocole SSL. L'ensemble des certificats mis en œuvre sont générés au sein même de l'ARJEL via leur infrastructure de gestion de clés (IGC), basée elle-même sur des matériels certifiés par l'ANSSI.
La commission considère que les mesures mises en œuvre sont satisfaisantes.