Emet l'avis suivant :
La commission a été saisie par le ministère de l'économie et des finances d'un projet d'arrêté relatif à la création à la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) d'un téléservice comportant un traitement de données à caractère personnel dénommé « Téléprocédure pour l'importation de fruits et légumes ». Cette téléprocédure est composée de deux modules, le premier accessible par internet aux professionnels et le second accessible exclusivement aux agents de la DGCCRF sur son réseau interne.
Cette téléprocédure est destinée à permettre aux professionnels « importateurs de fruits et légumes » qualifiés d'opérateurs, de déclarer leurs importations de fruits et légumes en provenance des pays hors Communauté européenne et s'intègre dans le cadre des contrôles visant à s'assurer que lesdits produits frais importés sont conformes aux normes de commercialisation.
Dans la mesure où le premier module constitue un téléservice de l'administration électronique mis à la disposition des usagers, le traitement envisagé doit être autorisé par arrêté ministériel pris après avis motivé et publié de la commission en application des dispositions de l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée.
Sur la finalité du traitement
La DGCCRF est l'unique service de contrôle désigné au niveau national pour assurer le contrôle des normes de commercialisation de la filière « fruits et légumes » en application du règlement d'exécution n° 543/2011 du 7 juin 2011 portant modalités d'application du règlement (CE) n° 1234/2007 du Conseil en ce qui concerne les secteurs des fruits et légumes frais et des fruits et légumes transformés.
A ce titre, la DGCCRF désire mettre en œuvre une procédure, dont le premier module a pour but d'intégrer les notifications d'importations de fruits et de légumes normalisés déposées par les opérateurs de fruits et légumes « importateurs de fruits et légumes » et le second module de produire les certificats administratifs pour l'importation de fruits et légumes.
Dans ce cadre, la DGCCRF a pour mission de conduire une procédure de vérification et de contrôle visant à s'assurer que les importations des fruits et légumes frais en provenance des pays tiers sont conformes aux normes de commercialisation précitées.
Le traitement a donc une double finalité de gestion des notifications et de délivrance de certificats, d'une part, et de contrôle, d'autre part.
La commission relève que le présent traitement est le pendant mutatis mutandis du traitement FELEX relatif à l'exportation des fruits et des légumes, pour lequel la commission a donné son avis par délibération n° 2013-325 du 24 octobre 2013.
Au regard de ces éléments, la commission considère que la finalité assignée au traitement est déterminée, explicite et légitime, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées
L'article 3 du projet d'arrêté liste les données à caractère personnel qui seront traitées dans l'application projetée. Elles concernent l'identification des opérateurs de fruits et légumes, les éléments de notification de la déclaration d'exploitation et les certificats administratifs pour l'importation de fruits et de légumes. Elles n'appellent pas d'observation particulière de la commission.
Sur la durée de conservation des données
L'article 4 du projet d'arrêté prévoit plusieurs durées de conservation :
― les données relatives aux opérateurs sont conservées tant que celui dispose d'un compte adhérent ;
― les données relatives aux éléments de notification de déclaration d'importation et aux certificats administratifs pour l'importation de fruits et légumes sont conservées durant une durée maximale de trois ans à partir de la date de délivrance du certificat.
La commission estime que ces durées de conservation sont conformes aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée. Elle prend acte que des mécanismes d'effacement automatique, seuls à même de garantir le respect des durées prévues, sont mis en œuvre par le ministère.
Sur les destinataires des données
Sont seuls habilités à accéder directement au traitement les agents de la DGCCRF, les agents habilités affectés dans les directions départementales de la protection des populations (DDPP), dans les directions départementales de la cohésion sociale et de la protection des populations (DDCSPP), dans les directions des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIECCTE), dans les directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIRECCTE), en raison de leurs attributions respectives et en fonction de leur besoin d'en connaître.
Les agents des douanes sont destinataires, en raison de leurs fonctions, des informations contenues dans les certificats administratifs pour l'importation de fruits et de légumes délivrés aux professionnels « importateurs de fruits et légumes » qu'ils présentent lors des opérations de dédouanement.
Les certificats validés peuvent être consultés par les services douaniers en France par internet en entrant le numéro à douze chiffres du certificat afin de vérifier que le certificat papier présenté par l'opérateur est identique au numéro du certificat du dédouanement transmis par l'agent CCRF. Il s'agit donc de s'assurer de l'existence, de la validité et de la concordance du certificat de contrôle.
La commission considère que la liste des destinataires du traitement est appropriée au regard de la finalité du traitement poursuivi.
Sur les droits des personnes
Conformément aux dispositions des articles 39 et 40 de la loi du 6 janvier 1978 modifiée, les droits d'information, d'accès et de rectification s'exercent, pour les opérateurs de fruits et de légumes, auprès du service dont l'adresse est accessible depuis la page d'accueil de la téléprocédure et, pour les agents habilités, auprès des responsables hiérarchiques locaux. Le droit d'opposition des personnes concernées ne s'applique pas au traitement projeté, conformément aux dispositions de l'article 38 de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions
La commission rappelle que ce dispositif étant un téléservice de l'administration, il appartient au ministère qui en a la charge d'attester de sa conformité au décret n° 2010-112 susvisé (référentiel général de sécurité) et de le mentionner sur le site.
L'attribution des profils (affectation ou retrait) se fait après sélection d'un ou des agents d'une unité (affectation administrative) par l'administrateur local. Seuls les agents fruits et légumes et les personnels de la DGCCRF individuellement désignés et dûment habilités en fonction de leurs attributions respectives et du besoin d'en connaître sont affichés.
L'accès sécurisé aux services est assuré par un mot de passe concernant les opérateurs de fruits et légumes adhérents à la téléprocédure et par une clé USB à chiffrement avec saisie d'un code PIN (type clé PKI) concernant les agents habilités de l'administration « FELIM ».
Les mots de passe concernant les opérateurs sont transmis par courriel et devront être modifiés par les usagers dès leur première connexion au service.
La commission observe en outre que les agents habilités disposent d'un certificat de signature agent présent dans leur clé USB à chiffrement lorsqu'ils doivent émettre des certificats administratifs signés électroniquement. Une journalisation des accès est réalisée et l'article 3 du projet d'arrêté prévoit que les journaux applicatifs sont conservés pendant une durée maximale d'un an à compter de leur enregistrement.
Les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.