Après avoir entendu M. Jean-Marie COTTERET, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'économie et des finances d'un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dénommé LRPDJ (logiciel de rédaction des procédures de la douane judiciaire).
Ce traitement doit permettre aux agents du service national de douane judiciaire (SNDJ), créé par l'arrêté du 5 décembre 2002 susvisé, de rédiger les procès-verbaux des actes judiciaires qu'ils sont habilités à réaliser sur le fondement de l'article 28-1 du code de procédure pénale. Il s'agit ainsi d'un traitement similaire aux logiciels de rédaction des procédures actuellement utilisés par la police et la gendarmerie nationales (LRPPN et LRPGN), autorisés par les décrets du 27 janvier 2011 susvisés. Tout comme ces derniers, le traitement LRPDJ permettra, par la suite, d'alimenter directement d'autres traitements qui composent la chaîne pénale, notamment le traitement des antécédents judiciaires (TAJ) dont les conditions de mise en œuvre sont prévues aux articles R. 40-23 à R. 40-34 du code de procédure pénale.
Ce traitement a ainsi pour objet la prévention, la recherche, la constatation et la poursuite d'infractions pénales. Dans la mesure où il est en outre susceptible de comporter des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, le traitement LRPDJ doit être autorisé par décret en Conseil d'Etat pris après avis motivé et publié de la commission, conformément aux dispositions du II de l'article 26 de la même loi.
Sur les finalités du traitement :
Aux termes de l'article 1er du projet de décret, la finalité du traitement LRPDJ est de permettre aux agents du SNDJ « d'assurer la clarté et l'homogénéité de la rédaction des procédures judiciaires qu'ils ont compétence pour mettre en œuvre ». Cette finalité bureautique, similaire à celle poursuivie par les traitements précités LRPPN et LRPGN, est déterminée, explicite et légitime, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Seuls les actes relatifs aux procédures judiciaires sont concernés par ce traitement, contrairement aux traitements LRPPN et LRPGN qui concernent également les procédures administratives que les agents de la police et de la gendarmerie nationales ont compétence pour mettre en œuvre. Les actes relatifs aux procédures administratives menées par les agents des douanes sur le fondement du code des douanes sont en effet enregistrés dans un traitement distinct, dénommé Garance et autorisé par arrêté du 21 mai 2013 pris après l'avis de la commission en date du 28 mars 2013, et aucun lien technique n'existe entre ces deux traitements.
La commission relève néanmoins que le traitement LRPDJ poursuit une seconde finalité d'alimentation d'autres traitements de données relatives aux procédures judiciaires, et en particulier du TAJ et de l'application Cassiopée mise en œuvre par le ministère de la justice. Cette seconde finalité, également poursuivie par les logiciels de rédaction des procédures de la police et de la gendarmerie nationales, est d'ailleurs expressément mentionnée dans les décrets portant création de ces traitements.
C'est pourquoi la commission considère que les dispositions du premier alinéa de l'article 1er du projet de décret, qui ont trait aux finalités du traitement, devraient être modifiées afin de mentionner cette seconde finalité d'alimentation. De même, les interconnexions ou mises en relation prévues avec les traitements en cause devraient être expressément mentionnées dans le projet de décret, à l'instar de la mise en relation entre l'application LRPGN et le traitement JUDEX prévue à l'article 4 du décret n° 2011-111 du 27 janvier 2011.
En ce qui concerne plus spécifiquement l'alimentation automatique du TAJ par l'application LRPDJ pour toutes les procédures réalisées par les agents du SNDJ, la commission rappelle que sa mise en œuvre nécessite la modification des dispositions de l'article R. 40-24 du code de procédure pénale. Celles-ci soumettent aujourd'hui l'enregistrement dans le TAJ des données recueillies dans le cadre des procédures établies par des agents des douanes habilités à exercer des missions de police judiciaire à la condition qu'un service de police ou une unité de gendarmerie soit appelé à en assurer la continuation ou la conduite commune. La commission rappelle que la modification de ces dispositions ainsi que les conditions techniques précises de cette alimentation devront lui être soumises pour avis.
Sur la nature des données traitées :
Les données à caractère personnel enregistrées dans le traitement sont mentionnées dans l'annexe au projet de décret. Elles concernent les personnes physiques mises en cause, les victimes, les témoins et plaignants, les personnes morales mises en cause ou victimes, ainsi que les faits visés par l'enquête, les lieux, la date de l'infraction et les informations relatives aux objets, y compris celles qui sont indirectement nominatives.
Le projet de décret reprend les catégories de données personnelles enregistrées dans les traitements LRPPN et LRPGN, à l'exception notable de la photographie des personnes concernées, qui dans l'ensemble n'appellent pas d'observation particulière de la part de la commission.
Des données supplémentaires sont néanmoins collectées concernant les personnes mises en cause, à savoir les références des documents d'identité, des titres et des moyens de transport ainsi que le numéro de plaque d'immatriculation, les numéros de compte bancaire et de téléphone et des données relatives à la situation patrimoniale (emprunts, biens immobiliers, biens mobiliers).
La commission prend acte des justifications apportées par le ministère de l'économie et des finances quant à la collecte de ces informations, qui a pour objectif d'apporter une aide à l'enquête ou à la décision de l'autorité judiciaire. Elle rappelle néanmoins que l'article 6 (3°) de la loi du 6 janvier 1978 modifiée impose que seules les données pertinentes, adéquates et non excessives doivent être enregistrées dans le traitement LRPDJ pour chaque procédure judiciaire et qu'en tout état de cause toutes les informations mentionnées à l'annexe au projet de décret ne sauraient être systématiquement collectées.
Le second alinéa de l'article 1er du projet de décret prévoit l'enregistrement de données à caractère personnel relevant de l'article 8 de la loi du 6 janvier 1978 modifiée, « dans la stricte mesure où ces données sont nécessaires à la poursuite des finalités » du traitement.
La commission prend acte que ces données ne sont pas accessibles par un index ou un autre système automatisé de recherche et qu'aucun thésaurus, notamment le thésaurus relatif à l'état des personnes, ne fait apparaître de telles données. Ces données sensibles ne sont en outre pas transmises aux autres traitements de données relatives aux procédures judiciaires.
La commission considère néanmoins que ces dispositions devraient être modifiées, sur le modèle des dispositions de l'article R. 40-24 du code de procédure pénale, afin de préciser que ces données peuvent être traitées dans les seuls cas où ces informations résultent de la nature ou des circonstances de l'infraction ou se rapportent à des signes physiques particuliers, objectifs et permanents, en tant qu'éléments de signalement des personnes, dès lors que ces éléments sont nécessaires à la recherche et à l'identification des auteurs des infractions pénales visées par les procédures judiciaires.
Sur la durée de conservation des données :
L'article 3 du projet de décret prévoit que les données collectées sont conservées dans le traitement LRPDJ jusqu'à la clôture de la procédure et sa transmission à l'autorité judiciaire compétente. La commission estime que cette durée de conservation, identique à celle prévue pour le traitement LRPGN et largement inférieure à celle prévue pour l'application LRPPN, est conforme aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Elle rappelle qu'un mécanisme d'effacement automatique des informations doit être prévu afin de s'assurer que les données à caractère personnel ne sont pas conservées au-delà de cette durée.
Sur les destinataires des données :
La commission prend acte que seuls les agents du SNDJ, individuellement désignés et spécialement habilités par le magistrat délégué aux missions judiciaires de la douane ou, le cas échéant, par le directeur général de la douane et des droits directs peuvent accéder, à raison de leurs attributions et dans la limite du besoin d'en connaître, à la totalité ou une partie des données enregistrées dans le traitement LRPDJ. Elle prend également acte que les magistrats, à raison de leurs attributions et dans la limite du besoin d'en connaître, peuvent recevoir communication de ces données.
Le ministère a en outre indiqué que des organismes de coopération internationale en matière de police judiciaire et des services de police des étrangers peuvent être rendus destinataires, au cas par cas et dans les conditions prévues aux articles 695-9-31 à 695-9-49 du code de procédure pénale et dans les dispositions réglementaires en portant application, des données contenues dans le traitement LRPDJ. La commission estime dès lors que l'article 4 du projet de décret devrait être précisé sur ce point.
Sur les droits des personnes concernées :
Conformément aux dispositions du VI de l'article 32 de la loi du 6 janvier 1978 modifiée, le droit d'information des personnes concernées ne s'applique pas au traitement LRPDJ. La commission prend néanmoins acte que les victimes sont informées de l'enregistrement de leurs données personnelles dans ce traitement, comme le prévoit expressément le deuxième alinéa de l'article 6 du projet de décret.
Elle prend acte également que le droit d'opposition prévu à l'article 38 de la même loi ne s'applique pas au présent traitement et que les droits d'accès et de rectification s'exerceront auprès de la commission, conformément aux dispositions des articles 41 et 42 de la loi du 6 janvier 1978 modifiée.
Sur les sécurités du traitement :
Des profils d'habilitation pour accéder au traitement LRPDJ ont été définis et l'authentification des utilisateurs est basée sur l'utilisation d'une carte à puce (CADO, Carte Douanier) et d'un mot de passe associé (code PIN alphanumérique). La commission rappelle que les mots de passe doivent avoir une complexité suffisante et préconise qu'ils aient une longueur minimale de huit caractères et qu'ils contiennent au moins un chiffre, une minuscule et un caractère spécial.
Une fonctionnalité de journalisation des opérations de consultation, création, mise à jour et suppression est mise en œuvre. L'article 5 du projet de décret prévoit que les données journalisées sont conservées dans le traitement pendant trois ans.
Concernant les échanges de données entre LRPDJ et d'autres applications, la commission relève que toutes les modalités techniques ne sont pas encore spécifiées à ce jour et rappelle dès lors la nécessité d'assurer la confidentialité des transmissions, en particulier dans le cadre des interconnexions avec les traitements TAJ et Cassiopée.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.