La commission a été saisie pour avis par le ministère de l'intérieur d'un projet de décret en Conseil d'Etat portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « gestion des portefeuilles d'affaires » (GPA).
Ce traitement est destiné à être mis en œuvre par les brigades de protection des mineurs (BPM) de Paris et des départements des Hauts-de-Seine, de la Seine-Saint-Denis et du Val-de-Marne. La commission prend acte que son extension à d'autres brigades de protection des mineurs du territoire est actuellement étudiée par la direction générale de la police nationale et que celle-ci fera, le cas échéant, l'objet d'une nouvelle saisine.
Dans la mesure où ce traitement a pour finalité la prévention, la recherche et la constatation des infractions pénales et qu'il porte sur des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, il relève des dispositions de l'article 26-II de cette loi et doit donc être autorisé par décret en Conseil d'Etat pris après avis, motivé et publié, de la commission.
Sur les finalités :
L'article 1er du projet de décret prévoit que le traitement envisagé aura pour finalités d'assurer la « gestion des dossiers judiciaires, le suivi de l'activité procédurale des enquêteurs, la production de statistiques ».
Les brigades de protection des mineurs sont saisies de nombreux dossiers à caractère pénal de nature et de gravité très différentes, et de nombreuses disparitions. A cet égard, le traitement envisagé permettra un suivi plus efficace de ces dossiers d'enquête par chaque enquêteur et sa hiérarchie. Plus précisément, il permettra de répondre aux besoins de gestion et d'attribution des dossiers d'affaires, d'effectuer des recherches multicritères dans ces mêmes dossiers et de réaliser des statistiques relatives aux activités des brigades concernées.
La commission relève qu'un formulaire de recherche, avec une liste de critères de recherche exhaustive, permettra, d'une part, d'élaborer ces statistiques, qui porteront sur le flux de dossiers et les suites judiciaires ; d'autre part, d'obtenir une vision globale de la charge de travail par enquêteur afin d'ajuster celle-ci entre les membres d'un groupe et de mettre en place une stratégie de travail des dossiers, répondant ainsi à un besoin de pilotage de l'activité. A cet égard, si le traitement a pour finalité le contrôle de l'activité individuelle des enquêteurs, la commission invite le ministère à modifier le projet de décret en ce sens.
En outre, la commission relève que les brigades de protection des mineurs sont également saisies de signalements, c'est-à-dire de dossiers de vérification de situations qui ne sont pas transmis à l'autorité judiciaire, faute d'infraction constatée, mais qui seront traités dans le cadre du traitement envisagé. A cet égard, le ministère considère que cette finalité de « sécurité publique » fait relever le traitement envisagé des dispositions de l'article 26-I (1°) de la loi du 6 janvier 1978 modifiée. Or, la commission rappelle que la sécurité publique s'analyse comme l'élément de l'ordre public caractérisé par l'absence de périls pour la vie, la liberté ou le droit de propriété des individus et que le traitement envisagé, au regard de ces éléments, n'intéresse pas la sécurité publique, mais bien, d'une manière générale, « la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté » au sens de l'article 26-I (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 2 du projet de décret prévoit que les données collectées seront relatives à l'identité du mis en cause et de la victime (nom, prénom, date de naissance, adresse électronique, surnom ou pseudonyme, numéro de téléphone, référence du dossier), aux infractions et conséquences pénales (nature de l'infraction, recours à des mesures de garde à vue, suite procédurales décidées par le parquet ou le juge d'instruction), et à la santé (pathologie, affection, soins, situation ou comportements à risques, état de grossesse).
S'agissant des données relatives à l'identité du mis en cause et de la victime, la commission prend acte qu'elles ne seront pas toutes systématiquement traitées, la finalité étant de pouvoir identifier une affaire par un élément autre que celui du numéro de procédure ou d'archive. En outre, elle relève que les données relatives aux titulaires de l'autorité parentale ne seront traitées que dans l'hypothèse où ils sont les mis en cause réels ou supposés.
Selon les indications du ministère, d'« autres éléments d'identification » pourront apparaître dans le traitement. La commission prend acte qu'il ne pourra s'agir de signes physiques particuliers en tant qu'élément de signalement, mais seulement de mots-clés permettant l'identification du dossier dans l'hypothèse où aucun autre élément précis ne pourrait être recueilli. Il pourra en outre s'agir de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978, mais uniquement dans l'hypothèse où seuls ces éléments seraient fournis à l'enquêteur. La commission rappelle que ces données amenées à apparaître dans un champ libre ainsi que celles apparaissant dans le champ « observation » relatif au dossier d'affaires et qui permettra à l'enquêteur d'identifier un dossier ou d'apporter une précision doivent être pertinentes, adéquates et non excessives au regard des finalités, aussi bien dans la nature des données que dans la manière de les formuler.
S'agissant des données relatives aux infractions et conséquences pénales, la commission relève que les suites procédurales (déféré, convocation par officier de police judiciaire, rappel à la loi, délégué du procureur, transmission de procédure, classement sans suite) sont mentionnées à l'article 2 du projet de décret au titre des données collectées. Elle prend acte de l'engagement du ministère de l'intérieur de modifier le projet de décret afin d'y faire apparaître également le type de dossier (procédure parquet, commission rogatoire, main courante, ordonnance de placement provisoire/ordonnance de recherche et conduite, fugue, dossiers spéciaux, procédure incidente).
Enfin, pourront apparaître dans le traitement des données relatives à la santé, justifiant l'application des dispositions du Il de l'article 26 de la loi du 6 janvier 1978 modifiée. Ces données ne concerneront, le cas échéant, que les mineurs victimes ou en danger potentiel, et uniquement dans l'hypothèse où elles seraient un élément utile pour identifier un dossier comme sensible.
Il s'agit plus particulièrement des dossiers dits « spéciaux », relatifs aux fugues et disparitions de mineurs, identifiées comme plus inquiétantes car visant des mineurs plus vulnérables du fait de leur âge ou de fragilité particulière. Ces dossiers ont des règles d'attribution spécifiques et peuvent justifier des mesures urgentes. La commission prend ainsi acte que le traitement des données de santé s'inscrit dans un objectif de protection du mineur, considéré comme plus vulnérable que d'autres et susceptible d'encourir un danger immédiat.
Au regard de l'ensemble de ces éléments, la commission considère que les données enregistrées dans ce traitement sont adéquates, pertinentes et non excessives au regard de ses finalités. Elle relève que, en tout état de cause, aucune recherche à partir des données relevant de l'article 8 de la loi du 6 janvier 1978 modifiée ne sera possible.
Sur la durée de conservation des données :
L'article 3 du projet de décret prévoit que les données seront conservées un an à compter de la date de clôture de la procédure ou de la transmission à l'autorité judiciaire. A l'issue de cette durée, les données seront anonymisées.
La commission considère que la durée de conservation ainsi prévue est proportionnée aux finalités assignées au traitement GPA, conformément à l'article 6-50 de la loi du 6 janvier 1978 modifiée.
Néanmoins, la commission regrette que le ministère n'ait pas apporté plus de précisions sur le procédé d'anonymisation des données au-delà de cette durée de conservation, de même que sur la mise en place ou non d'un mécanisme d'effacement automatique, seul à même de garantir le respect de cette durée de conservation.
Sur les destinataires des données :
L'article 5 du projet de décret prévoit que les personnes qui auront accès aux données seront, en fonction de leurs attributions légales et du besoin d'en connaître, les agents des brigades de protection des mineurs de Paris et des départements des Hauts-de-Seine, de la Seine-Saint-Denis et du Val-de-Marne.
La commission relève que différents profils ont été créés en fonction du besoin d'en connaître.
Sur les droits des personnes :
Les dispositions de l'article 32-VI permettraient d'écarter le droit d'information des personnes dont les données sont enregistrées dans le traitement GPA. Toutefois, la commission relève que le ministère entend mettre en place un droit d'information par voie d'affichage dans les locaux accessibles au public au sein des brigades de protection des mineurs et souligne l'opportunité de cette mesure d'information, notamment à l'égard des mineurs victimes.
L'article 6 du projet de décret soumis à la commission prévoit un droit d'accès indirect, en application de l'article 41 de la loi du 6 janvier 1978 modifiée. Toutefois, la commission prend acte de l'engagement du ministère de l'intérieur de prévoir pour les victimes un droit d'accès direct dans le cadre de procédures judiciairement closes, en application du dernier alinéa de l'article 41 de la loi du 6 janvier 1978 modifiée, et de modifier le projet de décret en ce sens.
En revanche, dans le cadre d'une procédure judiciaire en cours, ces droits s'exerceront de manière indirecte auprès de la commission en application des dispositions de l'article 42 de la loi du 6 janvier 1978 modifiée.
Enfin, le droit d'opposition ne s'applique pas au traitement projeté.
Sur les mesures de sécurité et de traçabilité :
Le traitement consiste en une application web, accessible uniquement depuis le réseau interne du ministère et déployée sur des serveurs hébergés dans des locaux aux accès sécurisés.
Afin d'accéder à cette application, les utilisateurs sont authentifiés via le portail CHEOPS. A cet égard, la commission rappelle que la complexité des mots de passe reste très insuffisante au regard de ses recommandations en la matière.
L'article 3 du projet de décret prévoit que les opérations seront tracées, les traces étant conservées trois ans. En pratique, la traçabilité est dévolue à CHEOPS et prévoit une conservation des traces des accès ainsi que des fonctions mises en œuvre. Ces traces sont consultables depuis le traitement, ce qui en facilite l'exploitation.