La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'économie et des finances d'une demande d'avis relatif à un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « contrôle d'accès et système biométrique » ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la défense, notamment ses articles R. 1143-1 à R. 1143-8 ;
Vu le code pénal, notamment ses articles 413-7 et R. 413-1 à R. 413-5 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 27-I (2°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale ;
Après avoir entendu M. Emmanuel de GIVRY, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique des libertés (CNIL) a été saisie pour avis par le ministère de l'économie et des finances d'un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « contrôle d'accès et système biométrique ».
Ce traitement automatisé de données est destiné à contrôler l'accès aux locaux du haut fonctionnaire de défense et de sécurité (HFDS) du ministère de l'économie et des finances par authentification des 60 personnes autorisées à pénétrer dans le service, via la reconnaissance de deux de leurs empreintes digitales.
Conformément à l'article 27-1 (2°) de la loi du 6 janvier 1978 modifiée, ce traitement est autorisé par décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL.
Sur la finalité du traitement :
Les locaux du service du HFDS du ministère de l'économie et des finances abritent de nombreux documents bénéficiant de la protection du secret de la défense nationale. Ils constituent une « zone protégée » au sens de l'article 413-7 du code pénal.
La finalité du contrôle d'accès aux locaux du HFDS identifiée dans l'article 1er du projet de décret répond effectivement à un « besoin de protection [...] déterminé par le ministre qui a la charge des installations, du matériel ou des recherches, études, fabrications à caractère secret qu'il désigne » (article R. 413-2 du code pénal).
La finalité identifiée dans l'article 1er du projet de décret n'appelle aucune observation de la commission. Toutefois, l'alinéa 2 pourrait utilement préciser que le traitement mis en œuvre consiste en un « contrôle d'accès [...] par authentification des agents habilités ».
La commission considère que la finalité ainsi définie est déterminée, explicite et légitime.
Sur la nature des données traitées :
Concernant l'article 2 du projet de décret, la commission observe qu'un composant électronique ne constitue pas une catégorie de données. C'est pourquoi elle recommande que le projet de décret mentionne uniquement « le gabarit de l'empreinte digitale d'un doigt de chaque main ».
La commission relève l'absence de dispositions relatives, d'une part, à l'existence d'un dispositif de secours (utilisé en cas de défaillance du lecteur biométrique ou du système d'enrôlement ou bien lorsque la prise d'empreinte est impossible) et, d'autre part, au traitement des informations relatives aux visiteurs.
Elle recommande que les articles 2 et 3 du projet de décret soient complétés sur ces points.
Sur la durée de conservation des données :
Concernant l'article 3 du projet de décret, la commission propose au ministère de supprimer la mention « et informations », qui est redondante avec la mention « les données ».
Elle demande à ce que la mention « à la fin des fonctions de l'agent » soit remplacée par « à la cessation définitive ou temporaire des fonctions de l'agent ». En effet, la démission, le licenciement ou le départ à la retraite des agents ne constituent pas les seules situations susceptibles d'être visées. Celles-ci pourraient également concerner les détachements ou les congés maladie longue durée des agents, par définition temporaires.
Elle relève l'absence de disposition propre à la durée de conservation des éléments relatifs aux déplacements des personnes. Elle rappelle que la durée de conservation traditionnellement recommandée est de moins de trois mois.
Sur l'information des personnes :
L'alinéa 4 de l'article 73 de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale approuvée par l'arrêté du Premier ministre en date du 30 novembre 2011 dispose : « Des mesures d'interdiction d'accès sont prises par l'autorité responsable. L'ensemble des accès doit être contrôlé en permanence afin que toute pénétration à l'intérieur d'une zone protégée ne puisse être exécutée par ignorance. A cet effet, des pancartes sont disposées en nombre suffisant aux endroits appropriés ».
La commission considère donc qu'il existe une obligation générale d'information du public sur l'interdiction d'accéder aux locaux du HFDS.
Elle prend note que, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, une information sera donnée à chaque agent au moment de l'enrôlement sur le traitement de données à caractère personnel mis en œuvre par le ministère.
Toutefois, compte tenu de l'absence de disposition relative à l'information des agents concernés dans le projet de décret, elle préconise l'insertion d'un article relatif au droit à l'information des personnes sur la qualification des locaux du HFDS en zone protégée et sur les droits des agents autorisés à y accéder via le recours à un dispositif biométrique.
Sur les droits d'accès, de rectification et d'opposition des personnes :
L'article 6 du projet de décret, pris en application des articles 39 et 40 de la loi du 6 janvier 1978 modifiée, et l'article 7, pris en application de l'article 38, alinéa 3, de la loi précitée, n'appellent aucune observation de la commission.
Sur la sécurité des données et la traçabilité des actions :
Concernant les dispositions de l'article 1er, la commission relève que le service du HFDS ne dispose pas d'éléments concernant le niveau de fiabilité du dispositif biométrique. Toutefois, la fiabilité de ce dispositif est assurée par les réglages d'usine effectués par le constructeur, et modifiables par l'installateur du dispositif.
En outre, le dispositif biométrique n'intègre pas de mesure anti-fraude. Toutefois, le fonctionnement de ce dispositif intervient de manière simultanée au dispositif de vidéosurveillance mis en place. Ainsi, ces deux dispositifs indépendants peuvent être considérés complémentaires.
Concernant les dispositions de l'article 2, les gabarits des empreintes seront chiffrés et stockés uniquement sur le badge d'accès de l'agent. Aucune donnée ne sera extraite du traitement ou exploitée par le service du HFDS. En cas de perte ou de destruction du badge d'accès, une nouvelle carte d'accès sera délivrée à l'agent et un nouvel enrôlement sera effectué.
Concernant les dispositions de l'article 4, la mise en œuvre du dispositif sera assurée par le responsable informatique du service et l'officier de sécurité intérieure. Ces personnes seront formées par l'installateur à la gestion des enrôlements, au traitement des données et à leur effacement. Seules ces deux personnes seront habilitées à effectuer la prise d'empreintes digitales durant l'enrôlement et accéder au traitement du contrôle d'accès.
La commission relève qu'une journalisation des accès sera mise en place. La traçabilité des mouvements d'entrée sera conservée en mémoire pendant une durée de trois mois glissants. Ces données seront conservées sur un ordinateur dédié à cet usage.
Concernant les dispositions de l'article 5, la commission relève l'absence de journalisation des tâches d'administration du dispositif. Cette absence est néanmoins acceptable dans la mesure où seuls le responsable informatique du service et l'officier de sécurité intérieure peuvent réaliser ces tâches.
Dès lors, au regard de l'ensemble de ces éléments, la commission considère que les mesures retenues par le responsable de traitement sont de nature à garantir la sécurité du traitement et la protection des droits fondamentaux des personnes.
Toutefois, le traitement pourrait utilement prévoir :
― des garanties contractuelles d'information en cas de modification par l'installateur de la fiabilité du dispositif ;
― une journalisation des tâches d'administration.