La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'économie et des finances d'une demande d'avis concernant un projet d'arrêté autorisant la création d'un traitement automatisé des demandes d'autorisation de transactions dans le cadre des régimes européens de mesures restrictives ;
Vu le traité sur le fonctionnement de l'Union européenne, notamment son article 215 ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) n° 267/2012 du Conseil du 23 mars 2012 modifié concernant l'adoption de mesures restrictives à l'encontre de l'Iran ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code des douanes, notamment son article 459 ;
Vu le code monétaire et financier, notamment son article L. 561-5 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, notamment son article 14 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Jean-Paul AMOUDRY, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Sur le fondement de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée susvisée, la Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministère de l'économie et des finances d'un projet d'arrêté portant création, par la direction générale du Trésor (DGT), d'un téléservice de l'administration ayant pour finalité la mise en place d'une téléprocédure permettant, d'une part, aux usagers d'accomplir en ligne leurs demandes d'autorisation de transactions et, d'autre part, à la DGT d'améliorer la gestion des dossiers de ces demandes. Cette démarche s'inscrit dans le cadre de la réglementation européenne relative aux sanctions financières internationales établissant des mesures restrictives à l'encontre de certains pays.
Sur la finalité du traitement :
Le projet d'arrêté soumis à la commission prévoit de mettre à la disposition des usagers de l'administration un téléservice dénommé « Sanctions financières internationales », via un site internet et une application créés par la DGT.
L'architecture du téléservice « Sanctions financières internationales » s'articulera autour de deux systèmes :
― un site internet « Sanctions financières internationales » destiné aux utilisateurs professionnels (exportateurs et établissements bancaires) pour se connecter à leur espace personnel, effectuer leur demande en ligne, communiquer avec les gestionnaires, recueillir et archiver la décision validée par l'administration ;
― une application de l'intranet de la DG Trésor dénommée « Gestion automatisée et informatisée des autorisations » (GAIA), à destination des agents du bureau compétent (Multicom 3), pour le traitement des demandes d'autorisation, le suivi des dossiers, l'archivage automatique et l'exploitation des données en vue de produire des bilans et statistiques.
L'article 2 du projet d'arrêté prévoit que le traitement a pour fonctions :
1. La collecte, l'exploitation et le stockage des données issues de ces demandes d'autorisation de transactions.
2. La prévention des manquements aux obligations en matière de mise en œuvre des mesures restrictives européennes.
3. La délivrance d'autorisations de transactions dans les cas prévus par les règlements européens portant mesures restrictives.
4. La mise en œuvre d'un téléservice permettant d'effectuer les demandes d'autorisation de transactions par voie électronique.
5. L'élaboration d'analyses sur le commerce extérieur.
La commission prend acte que la demande d'avis du ministère de l'économie et des finances concerne uniquement la finalité visée au 4°, c'est-à-dire la mise en œuvre d'un téléservice permettant d'effectuer les demandes d'autorisation de transactions par voie électronique.
Les objectifs poursuivis par ce téléservice consistent à rationaliser la procédure de traitement des demandes du fait de l'accroissement des demandes d'autorisation liées aux régimes des sanctions financières internationales (Iran et Syrie notamment).
Dans ce contexte, le développement de deux applications informatiques portant dématérialisation du traitement et de l'archivage de ces demandes a été initié en octobre 2012 pour une première mise en service envisagée au deuxième semestre 2013.
La commission considère que les finalités du téléservice « Sanctions financières internationales » sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
L'article 3 du projet d'arrêté liste les données à caractère personnel collectées et traitées grâce à l'application GAIA.
Plus précisément, il s'agit des données relatives :
1. Aux personnes concernées : l'exportateur ou le créancier, l'importateur ou le débiteur partie à la transaction pour laquelle une autorisation est sollicitée, ainsi que, le cas échéant, le(s) intermédiaire(s) et utilisateur(s) final(s) de(s) marchandise(s) ou de(s) service(s), et les déclarants.
2. A la transaction (le moyen de paiement utilisé, le montant et les établissements bancaires parties prenantes).
3. Aux marchandises (l'intitulé et les caractéristiques techniques, la date et les modalités d'expédition, les démarches administratives d'exportation entreprises).
La commission considère que les données collectées et traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Sur la durée de conservation des données :
L'article 4 du projet d'arrêté précise que les données à caractère personnel sont conservées pendant une durée de cinq ans après la levée des mesures restrictives. A cet égard, le délai de prescription de l'action publique attaché au délit prévu par l'article 459 du code des douanes (qui sanctionne le non-respect des mesures restrictives) est de trois ans. Ce délai peut néanmoins être reporté à une date ultérieure en fonction du point de départ du délai de prescription de l'action.
La commission considère que cette durée de conservation n'excède pas celle qui est nécessaire à l'accomplissement des finalités poursuivies.
Sur les destinataires des données :
Le projet d'arrêté distingue les destinataires habilités à accéder directement aux données (article 5) de ceux qui peuvent simplement en connaître (article 6).
L'article 5 du projet d'arrêté précise à cet égard que sont destinataires de tout ou partie des données à caractère personnel et des informations mentionnées à l'article 3 les agents habilités de la direction générale du Trésor chargés de la gestion des demandes d'autorisation visées à l'article 1er ou de décider de leur issue.
L'article 6 du projet d'arrêté indique que peuvent être destinataires de tout ou partie des données à caractère personnel et des informations mentionnées à l'article 3, à raison de leurs attributions respectives et du besoin d'en connaître, les agents habilités de la direction générale des douanes et des droits indirects compétents en matière de contrôle des opérations soumises aux mesures de restriction des relations économiques et financières.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données du téléservice « Sanctions financières internationales ».
Sur l'information des personnes et leurs droits d'accès et de rectification :
L'information des personnes concernées sera assurée, dans les conditions prévues par l'article 32 de la loi du 6 janvier 1978 modifiée, par une mention sur le site internet de la DGT.
L'article 7 du projet d'arrêté mentionne que les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exerceront directement auprès de la direction générale du Trésor (139, rue de Bercy, télédoc 233, 75572 Paris Cedex 12).
La commission prend acte que le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au présent traitement.
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle que, conformément à l'article 14 de l'ordonnance n° 2005-1516 du 8 décembre 2005, la conformité du présent téléservice au référentiel général de sécurité (RGS) doit être assurée avant sa mise en œuvre.
Elle relève également qu'une journalisation des accès au téléservice est réalisée et conservée pendant une durée d'un an, afin de détecter d'éventuels comportements suspects.
Les autres mesures de sécurité mises en place n'appellent pas d'observation.