Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre de l'intérieur d'un projet d'arrêté-cadre portant autorisation de mise en œuvre de systèmes de vidéoprotection et création de traitements automatisés de données à caractère personnel destinés à la sécurisation et au contrôle des accès aux locaux et emprises relevant du ministère de l'intérieur.
Les systèmes de vidéosurveillance et les traitements projetés destinés à la sécurisation et au contrôle des accès aux bâtiments du ministère de l'intérieur ont pour finalité de prévenir, constater et poursuivre des infractions pénales et peuvent, dans certains cas, concerner des lieux intéressants la sûreté de l'Etat et la sécurité publique. Il y a dès lors lieu de faire application des dispositions de l'article 26-I de la loi du 6 janvier 1978 modifiée qui soumettent la création de tels traitements à un arrêté ministériel pris après avis motivé et publié de la commission.
L'arrêté projeté constitue en outre un acte réglementaire unique au sens de l'article 26-IV de la loi du 6 janvier 1978 modifiée. Des engagements de conformité devront être adressés à la commission par chaque responsable de traitement (chef de brigade, commissaire, etc.), préalablement à leur mise en œuvre.
Sur les finalités du traitement :
A titre liminaire, le projet d'arrêté utilise le terme de « vidéoprotection » pour désigner les systèmes filmant l'intérieur des locaux et emprises relevant du ministère de l'intérieur. Conformément aux dispositions des articles L. 251-1 et suivants du code de la sécurité intérieure, ce terme concerne uniquement les systèmes de caméras installés sur la voie publique et dans les lieux ouverts au public. Le ministère a précisé que le choix de ce terme dans le projet d'arrêté relève uniquement d'une volonté sémantique, puisque les dispositifs de caméras sont installés pour protéger les personnes et les biens et non pas pour les surveiller.
La commission prend acte du choix de ce terme dans la mesure où il n'a aucune incidence sur le régime légal et réglementaire applicable à ces dispositifs. A cet égard, elle rappelle que l'installation de caméras dans des espaces ouverts au public (halls d'accueil, parkings, etc.) ne saurait être couverte par l'arrêté projeté et devra donc faire l'objet d'une demande d'autorisation auprès de l'autorité préfectorale territorialement compétente.
De manière générale, les traitements créés par ce projet d'arrêté ont pour objectif la sécurisation des locaux et emprises du ministère de l'intérieur sur l'ensemble du territoire national (préfectures, commissariats de police, brigades de gendarmerie, etc.). Plus précisément, l'article 1er du projet d'arrêté prévoit les deux finalités poursuivies : d'une part, la protection des bâtiments par le recours à des dispositifs de vidéoprotection et, d'autre part, le contrôle d'accès des personnes entrant dans ces mêmes lieux.
Les bâtiments concernés sont les immeubles de l'administration du ministère de l'intérieur, ceux de la police nationale, ceux de la gendarmerie nationale ainsi que ceux des directions militaires et de secours relevant du ministère de l'intérieur. Les catégories de services et de bâtiments qui seraient soumis à des dispositions spécifiques et qui nécessiteraient une réglementation particulière ne sont pas concernées par ce projet d'arrêté, par exemple les centres de rétention administrative ou les locaux d'audition.
Les dispositifs de vidéoprotection installés dans les bâtiments ne peuvent pas être installés dans des « les lieux d'intimité et ceux destinés aux activités syndicales ainsi que leurs accès », notamment les locaux dans lesquels se pratiquent des examens médicaux, les locaux de fouille, les WC, les lieux de toilette (lavabos, douches), les locaux dans lesquels se déroulent les entretiens avec les avocats, les vestiaires, les salles de repos et les locaux syndicaux. Toutefois, la commission considère que le projet d'arrêté devrait être modifié pour faire figurer, en plus des lieux d'intimité, tous les lieux dans lesquels des échanges protégés par le secret professionnel (médical, secret professionnel de l'avocat, etc.) sont susceptibles d'intervenir.
Elle relève également que les dispositifs utilisés ne visent pas à surveiller les membres du personnel et que les images collectées n'ont pas pour vocation à servir de fondement à des sanctions disciplinaires. Toutefois, elles pourront être utilisées, le cas échéant, dans le cadre d'une procédure disciplinaire à l'encontre d'un agent ayant mis en jeu la sécurité du site concerné.
Les dispositifs de contrôle d'accès mis en œuvre reposeront sur l'utilisation d'un badge permettant d'accéder aux locaux du ministère. La commission relève qu'aucun autre type de dispositif de contrôle d'accès n'est prévu dans le projet d'arrêté (contrôle d'accès humain, par biométrie, etc.). En particulier, aucun contrôle d'accès par reconnaissance faciale n'est prévu et la commission invite dès lors le ministère à l'indiquer clairement dans celui-ci. Si, du fait de la spécificité de certains locaux, des dispositifs d'accès biométriques venaient à être mis en œuvre localement, ils devront faire l'objet d'une formalité préalable distincte auprès de la commission.
Compte tenu de ces éléments, la commission considère que les finalités poursuivies sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 2 du projet d'arrêté énumère les catégories de données à caractère personnel et informations enregistrées dans les traitements mis en œuvre.
Aux fins du contrôle d'accès, toutes les personnes entrant dans les bâtiments du ministère feront l'objet d'une collecte de données. Le contrôle d'accès de toute personne souhaitant entrer dans un bâtiment du ministère de l'intérieur doit faire l'objet d'une délivrance préalable de droits d'accès particuliers. Pour cela, des données relatives aux agents, prestataires habilités et visiteurs sont collectées, notamment les données relatives à l'état civil et à l'identité, les données relatives aux entrées et sorties, aux zones accessibles, le nom de l'agent chargé de la délivrance des droits d'accès, les données relatives aux incidents et les images de vidéoprotection.
D'autres données relatives aux accès et énumérées à l'article 2 précité seront collectées en fonction des catégories de personnes concernées (agents du ministère, prestataires et visiteurs). Elles n'appellent pas d'observations particulières.
La commission considère dès lors que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 4 du projet d'arrêté prévoit que les images enregistrées par les caméras de vidéosurveillance sont conservées pendant un délai ne pouvant excéder trente jours. Cette disposition apparaît satisfaisante. Au terme de ce délai, les enregistrements qui n'ont fait l'objet d'aucune transmission à l'autorité judiciaire ou de poursuite disciplinaire sont effacés. La commission rappelle que cet effacement devra intervenir de manière sécurisée.
Cet article prévoit également que les données enregistrées dans les traitements sont conservées cinq ans au plus à compter de la fin de validité de l'autorisation d'accès pour les agents et les prestataires et trois mois au plus pour les visiteurs, la durée précise faisant l'objet d'une appréciation particulière par le chef d'établissement en fonction de la sensibilité du site.
A cet égard, le ministère n'a apporté aucune justification particulière sur la nécessité de conserver les données relatives aux agents et prestataires pendant cinq ans et en particulier les données relatives aux déplacements des personnes et des véhicules. Au regard de la finalité de contrôle d'accès aux locaux mentionnée à l'article 1er du projet d'arrêté, la commission considère que les données collectées sont conservées pendant une durée qui excède la durée nécessaire pour lesquelles elles sont collectées et traitées et que cette durée de conservation n'est dès lors pas conforme à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 3 du projet d'arrêté prévoit que seuls ont accès aux données à caractère personnel, à raison de leurs attributions respectives et de leur besoin d'en connaître :
- les agents, spécialement désignés et individuellement habilités par le responsable des locaux ou le chef d'établissement, chargés de la sécurité et de la surveillance du lieu concerné ;
- le responsable des locaux ou le chef d'établissement au sein duquel les traitements sont mis en œuvre ;
- le chef de service ou son représentant ;
- les personnes habilitées du service en charge de la discipline ;
- les agents des corps et services d'inspection et de contrôle relevant du ministère de l'intérieur.
S'agissant des accès des personnes habilitées du service en charge de la discipline ainsi que des agents des corps et services d'inspection et de contrôle, ceux-ci ne devraient intervenir qu'en cas d'atteinte à la sécurité d'un site relevant du ministère de l'intérieur.
Elle considère que les finalités des traitements mis en œuvre justifient que l'ensemble de ces destinataires puissent avoir accès aux données collectées dans le cadre de leurs missions et habilitations respectives.
Sur l'information des personnes :
Le projet d'arrêté prévoit que les personnes susceptibles d'être filmées sont informées de l'existence d'un système vidéo et des modalités d'accès aux images les concernant par affiches apposées à l'entrée des immeubles relevant du ministère de l'intérieur.
Par ailleurs, les caméras sont visibles par les personnes et non dissimulées. La mise en œuvre des dispositifs de vidéo sera effectuée après avis des comités compétents en matière d'hygiène, de sécurité et des conditions de travail. Les instances représentatives des personnels seront également informées lors d'un comité technique ministériel. La commission invite le ministère à faire figurer ce dernier point dans le projet d'arrêté.
Dans la mesure où l'absence d'information des personnes sur le dispositif relatif au contrôle d'accès n'apparaît pas nécessaire au respect des finalités poursuivies par le traitement, la commission estime que cette information devrait être délivrée aux personnes concernées, dans le respect des conditions prévues par l'article 32 de la loi du 6 janvier 1978 modifiée.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas aux traitements autorisés par le projet d'arrêté.
Les droits d'accès et de rectification prévus aux articles 39, 40 et au dernier alinéa de l'article 41 de la même loi s'exercent directement auprès du service local gestionnaire du traitement. A cet égard, la commission relève qu'il est ainsi fait application des dispositions qui permettent, lorsque la communication d'informations aux personnes concernées ne met pas en cause la finalité du traitement, comme cela est le cas en l'espèce, de prévoir un droit d'accès direct pour un fichier intéressant la sécurité publique.
Sur les sécurités :
Toutes les actions réalisées dans les traitements seront conservées pendant une durée de trois ans. Ces dernières font l'objet d'un enregistrement comprenant l'identifiant du consultant, la date et l'heure de la consultation et de l'extraction, Cette disposition apparaît satisfaisante, Toutefois, dans un souci de lisibilité, la commission invite le ministère à faire figurer les dispositions relatives à la traçabilité des actions relatives aux traitements précités dans un article spécifique.
Si, du fait des contraintes locales et de la multiplicité des techniques, les systèmes installés ne seront pas strictement identiques dans tous les bâtiments, tous les dispositifs doivent bénéficier de mesures de sécurité satisfaisantes.
La commission prend acte que les images collectées seront circonscrites à un réseau informatique local (enregistreurs et serveurs locaux dédiés) en l'absence de transmission wi-fi et sans possibilité de consultation des images depuis internet.
Par ailleurs, elle relève que les images collectées sont visionnées en temps réel ou de manière différée, que le son n'est pas enregistré et que les caméras sont opérationnelles sans interruption.
S'agissant des données collectées dans le cadre des dispositifs de contrôle d'accès, la commission prend acte que l'accès aux données par les destinataires habilités s'effectuera à partir d'un accès local, ces dernières ne faisant pas l'objet d'un enregistrement dans une base centrale. Elle prend également acte qu'il n'y aura pas de consultation à distance des données collectées dans le cadre des traitements mis en œuvre ni de transmission à un autre service de l'Etat.
Sous réserve de ces observations, la commission estime que les mesures de sécurité mises en œuvre sont satisfaisantes au regard des obligations de l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite une réévaluation régulière des risques et la mise à jour des mesures de sécurité en tant que de besoin. A cet égard, l'engagement de conformité adressé à la commission par chaque responsable de traitement devra être accompagné d'un dossier technique de présentation indiquant les mesures de sécurité prises par chaque site.