Sur la finalité du traitement
L'article 2 du projet d'arrêté prévoit que le traitement projeté aura pour finalité de : « recueillir et analyser de manière centralisée les signalements (...) et de les orienter vers les autorités et institutions ayant reçu compétence de la loi ou règlement pour suites à donner ou pour information », l'article 1er précisant que les signalements pourront porter sur « tout comportement susceptible de mettre en cause les agents affectés dans un service de la police nationale ».
La commission relève que les arrêtés du 16 juin 2009 et du 30 novembre 2011, créant respectivement les traitements PHAROS et « pré-plainte en ligne » qui présentent certaines similarités avec le traitement projeté, sont plus précis que le projet d'arrêté portant création du traitement « plate-forme de signalement IGPN » s'agissant de leur périmètre.
A cet égard, elle relève que la notion de « comportement susceptible de mettre en cause les agents affectés dans un service de la police nationale » recouvre tout comportement incompatible avec la fonction, soit tout manquement permettant de mettre en cause ces agents pénalement, civilement ou disciplinairement. Elle prend acte de l'engagement du ministère de l'intérieur de mentionner dans les visas le nouveau code de déontologie des forces de sécurité, introduit aux articles R. 434-1 à R. 434-33 du code de la sécurité intérieure (CSI), afin de circonscrire au mieux la nature des faits qui pourront faire l'objet des signalements.
Par ailleurs, la commission relève que la formulation de l'article 2 du projet d'arrêt relatif aux finalités assignées au traitement projeté est proche de celle d'autres dispositifs de signalements, par exemple PHAROS ou « pré-plainte en ligne ».
Néanmoins, dans ces deux systèmes, les signalements mettent en cause un auteur inconnu (pré-plainte en ligne) ou un contenu illicite (PHAROS), plus qu'une personne physique identifiée. Aussi, le dispositif envisagé est novateur à deux points de vue : d'une part, il a pour objet de signaler des comportements d'une personne physique identifiée ou identifiable et, d'autre part, la personne mise en cause est une personne dépositaire de l'autorité publique. La commission estime dès lors qu'une attention particulière doit être apportée à la mise à jour et à l'exactitude des données ainsi qu'au respect du principe de limitation des destinataires des données tels que prévus par le projet d'arrêté.
La commission rappelle par ailleurs que ce signalement ne constitue pas formellement une plainte, ce qui est d'ailleurs expressément indiqué sur le formulaire. Le formulaire mentionne en outre les risques encourus en cas de dénonciation calomnieuse.
Le dispositif permettra de rendre la saisine de l'IGPN accessible à tous dans les mêmes conditions, répondant ainsi à un souci d'équité. A cet égard, elle note que le formulaire fait mention de l'adresse postale de l'IGPN, permettant une saisine par courrier postal, et les signalements adressés à l'IGPN par d'autres voies seront, sous certaines conditions, intégrés dans l'application et feront l'objet d'un traitement identique, participant à cet objectif d'équité et d'uniformité des procédures.
Par ailleurs, la commission rappelle que le traitement, s'il aura pour conséquence de mettre en cause des fonctionnaires de police, ne saurait en aucun cas constituer un « fichier d'antécédents » des agents affectés dans un service de la police nationale, et consultable à d'autres fins que celles prévues par le projet d'arrêté.
Enfin, ces signalements, anonymisés, seront également utilisés à des fins statistiques et de formation.
La commission estime, sous ces réserves, que les finalités assignées au traitement sont déterminées, explicites et légitimes.
Sur la nature des données traitées
L'article 3 du projet d'arrêté énumère les données collectées, qui sont relatives au déclarant, aux faits signalés, à l'agent de la plate-forme qui traite le signalement, aux suites de ce signalement et à l'agent mis en cause.
A cet égard, la commission relève que les signalements ne seront pas anonymes, l'ensemble des données relatives au déclarant devant obligatoirement être renseigné par l'internaute, à l'exception du numéro de téléphone. La collecte de ces données permettra tout d'abord de responsabiliser le déclarant. En effet, signaler un comportement susceptible de mettre en cause un agent affecté dans un service de la police nationale ne pourra se faire sans s'être identifié au préalable, ce qui implique également que l'identité du déclarant pourra être amenée à apparaître ultérieurement dans la procédure qui pourra être engagée à l'encontre de cet agent. De cette manière, le déclarant sera sensibilisé au fait que son signalement peut avoir des conséquences importantes. Par ailleurs, cette identification obligatoire permettra à l'IGPN de prendre contact avec lui pour toute demande d'information complémentaire, ainsi que pour le tenir informé des suites de son signalement.
S'agissant des données relatives à l'agent mis en cause, la commission relève que l'article 3 du projet d'arrêté ne mentionne pas ses noms et prénoms ou tout autre numéro d'identification, le dossier précisant par ailleurs que l'application n'a pas vocation à traiter d'informations nominatives concernant le fonctionnaire mis en cause.
Toutefois, l'objet même de ce traitement, au regard des articles 1er et 2 du projet d'arrêté, est non seulement de centraliser les signalements mettant en cause des fonctionnaires de police, mais également de les analyser et les orienter pour information ou action, ce qui implique nécessairement une identification du fonctionnaire mis en cause pour qu'une suite puisse être donnée à ce signalement. Par ailleurs, le code de déontologie a introduit la notion d'identification des policiers lors de leurs interventions (R. 434-15 du CSI), les conditions et les modalités de port de ce numéro d'identification individuel ayant été précisées par l'arrêté susvisé du 24 décembre 2013.
Le ministère n'estime pas opportun de faire figurer dans le projet d'arrêté, au titre des données collectées, les données relatives à l'identification du fonctionnaire mis en cause (identité ou numéro d'identification individuel), considérant que l'identification des fonctionnaires au stade du dépôt du signalement sur la plate-forme ne constitue pas l'une des finalités assignées au traitement envisagé. La commission considère toutefois que le traitement des signalements conduira inévitablement à l'identification du ou des fonctionnaires de police mis en cause et que les données relatives à ces personnes devraient dès lors être mentionnées dans le projet d'arrêté.
Par ailleurs, elle estime que l'article 3 du projet d'arrêté devrait être complété quant aux catégories de personnes concernées par la mention : « le cas échéant, les autres témoins des faits », dans la mesure où des données relatives à ces personnes pourront apparaître dans le champ libre « résumé ».
Elle estime en outre que des mesures spécifiques devront être mises en œuvre, s'agissant du champ libre « résumé », afin que les données y figurant soient pertinentes, adéquates et non excessives au regard des finalités poursuivies, et prend acte que les éventuelles pièces en possession du signalant ne seront pas communiquées via la plate-forme.
La commission estime enfin indispensable, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée, que les suites données aux signalements, qu'elles soient administratives, judiciaires ou disciplinaires, soient mises à jour de manière effective.
Sous ces réserves, la commission considère que les données collectées sont adéquates, pertinentes et non excessives au regard des finalités assignées au traitement « plate-forme de signalement IGPN ».
Sur la durée de conservation des données
L'article 4 du projet d'arrêté prévoit que les données à caractère personnel sont effacées à l'issue des investigations effectuées et, en tout état de cause, au plus tard à l'issue d'un délai de deux ans. Les autres informations sont quant à elles conservées cinq ans à compter de leur enregistrement.
Cette rédaction permet d'effacer les données à caractère personnel avant l'expiration du délai de deux ans, ce dont la commission ne peut que se féliciter.
La commission considère par ailleurs que cette durée de conservation s'applique à l'ensemble des données à caractère personnel, c'est-à-dire aussi bien celles relatives au signalant que celles relatives à l'agent de la plate-forme traitant le signalement ou au fonctionnaire mis en cause.
Elle estime que cette durée de conservation est conforme aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée. En outre, elle prend acte de l'engagement du ministère de modifier l'article 4 du projet d'arrêté afin d'améliorer sa lisibilité, en indiquant que « les données à caractère personnel sont effacées à l'issue des investigations effectuées et, en tout état de cause, au plus tard à l'issue d'un délai de deux ans. Les autres données, conservées à des fins statistiques, sont effacées cinq ans après leur enregistrement ».
Les éventuelles pièces en possession du signalant ne sont pas conservées dans le traitement et sont exploitées, le cas échéant, selon les règles classiques en matière de procédure judiciaire ou administrative.
Sur les destinataires des données
L'article 5 du projet d'arrêté énumère les destinataires des données enregistrées dans le traitement envisagé, en distinguant les personnels bénéficiant d'un accès direct aux données des personnels à qui ces informations peuvent être communiquées.
En ce qui concerne les premiers, il s'agit des agents de l'IGPN individuellement désignés et spécialement habilités par le chef de l'IGPN, soit, en pratique, des fonctionnaires affectés à l'unité de coordination des enquêtes (UCE) de l'IGPN. Auront en outre accès au traitement le directeur de l'IGPN et ses adjoints, le secrétaire général et le cadre de permanence. Cela n'appelle pas d'observation de la part de la commission.
Les personnels auxquels les informations peuvent être communiquées sont les agents des directions ou services d'emploi de la DGPN et de la préfecture de police de Paris saisis pour suites à donner ou pour information, les militaires de la gendarmerie nationale affectés au sein de l'inspection générale de la gendarmerie nationale, les autorités judiciaires ainsi que certains organismes avec lesquels l'IGPN est amenée à échanger des informations. Il s'agit de toute administration de l'Etat ou établissement public en relevant, par exemple le CNAPS, du Défenseur des droits ainsi que du Contrôleur général des lieux de privation de liberté, compétents pour veiller au respect de la déontologie de certaines professions. Ainsi, des signalements reçus par l'IGPN mais ne concernant pas des fonctionnaires de police pourront être transmis à ces autorités, ces échanges pouvant également concerner des signalements en cours.
Si, au regard des compétences respectives de chacun de ces destinataires, ces échanges n'appellent pas de réserve de la part de la commission, cette dernière rappelle que des mesures doivent être mises en œuvre pour assurer la confidentialité des données transmises.
Sur les droits des personnes
L'article 7 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exerceront de manière directe par les personnes effectuant le signalement, en application des articles 39 et 40 de la loi du 6 janvier 1978 modifiée, et que le droit d'opposition ne s'applique pas au traitement projeté.
Par ailleurs, le droit d'information sera assuré via des mentions sur le formulaire en ligne, complétées lors des échanges avec le signalant. La commission relève qu'il n'est pas mentionné que l'adresse IP utilisée par le signalant sera automatiquement collectée et considère que cette information devrait être délivrée, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions
Cette plate-forme constitue un téléservice au sens de l'ordonnance du 8 décembre 2005 susvisée et la commission rappelle à ce titre la nécessité de se conformer au référentiel général de sécurité (RGS) et de réaliser l'étude de risque informatique prévue à cet égard.
Concernant les usagers de la plate-forme, le site internet mis à disposition des usagers n'utilise pas de protocole sécurisé (https). La commission rappelle la nécessité d'assurer la confidentialité des données transmises et recommande d'améliorer le niveau de sécurité de ces transmissions d'informations.
Le responsable de traitement a défini des profils d'habilitation et mis en place une politique de mot de passe conforme aux préconisations de la commission.
Enfin, l'article 6 du projet d'arrêté prévoit qu'une fonctionnalité de journalisation des opérations de consultation, de création, de mise à jour et de suppression des données est mise en œuvre, étant précisé que les données journalisées sont supprimées au bout de trois ans.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.