Après avoir entendu Mme Dominique CASTÉRA, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le 23 octobre 2014, le ministre de l'intérieur a saisi la commission, en urgence, d'un projet de décret en Conseil d'Etat relatif au traitement automatisé de données à caractère personnel dénommé « référendum d'initiative partagée » (RIP). En application de l'article 8 de la loi organique n° 2013-1114 susvisée, les modalités d'application du RIP doivent être « fixées par décret en Conseil d'Etat pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés lorsqu'elles sont relatives à des données à caractère personnel », l'article 3 de la loi n° 2013-1116 susvisée précisant que « cet avis est publié avec le décret autorisant le traitement ».
La procédure de référendum d'initiative partagée (RIP), introduite aux troisième à sixième alinéas de l'article 11 de la Constitution telle que modifiée en 2008, vise à « élargir le champ de la démocratie directe en offrant aux citoyens un droit d'initiative nouveau pouvant conduire à l'organisation d'un référendum national ». Cette nouvelle procédure se situe par conséquent en amont de l'organisation du référendum proprement dit. Les lois du 6 décembre 2013 précitées, prises après l'avis de la CNIL en date du 16 novembre 2010, ont prévu les conditions générales de mise en œuvre de cette disposition constitutionnelle.
L'initiative prend la forme d'une proposition de loi, présentée par au moins un cinquième des parlementaires (soit, à ce jour, 185 parlementaires sur un total de 925). Déclarée recevable par le Conseil constitutionnel en application de l'article 45-3 de l'ordonnance du 7 novembre 1958 susvisée, la proposition de loi est diffusée sur un site internet du ministère de l'intérieur afin de permettre à tout électeur inscrit sur les listes électorales d'exprimer son soutien, uniquement par voie électronique, dans un délai de neuf mois. Le Conseil constitutionnel apprécie la recevabilité d'une liste de soutiens et précise si elle réunit au moins un dixième des électeurs (soit environ 4,5 millions à ce jour). Cette liste, qui peut être consultée par toute personne aux termes de la loi, est en pratique publiée de façon nominative sur le site internet du ministère de l'intérieur. Au terme de cette procédure et sans préjudice des réclamations et recours formulés devant le Conseil constitutionnel, la Constitution prévoit que « si la proposition de loi n'a pas été examinée par les deux assemblées dans un délai fixé par la loi organique, le Président de la République la soumet au référendum ».
Dans ce contexte, le présent projet de décret a pour objet de préciser les conditions de mise en œuvre, sous la responsabilité du ministère de l'intérieur, de l'ensemble des traitements de données à caractère personnel nécessaires à la gestion du dispositif. Il vise notamment à créer le téléservice de gestion des soutiens (module de collecte électronique des soutiens auprès des administrés et de suivi des RIP), qui relève par ailleurs des dispositions de l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée, et à autoriser la consultation du Répertoire national d'inscription des personnes physiques (RNIPP), sans inclure le numéro d'inscription au répertoire (NIR), géré par l'INSEE, telle que prévue à l'article 27-11 (1°) de la même loi.
A titre liminaire, la commission rappelle qu'un dispositif de pétition nominative et publique exprimée par voie électronique n'est pas considéré comme un système de vote électronique, tel que défini dans sa délibération n° 2010-371 du 21 octobre 2010 portant adoption d'une recommandation relative à la sécurité des systèmes de vote. Néanmoins, comme elle l'avait indiqué dans son avis du 16 novembre 2010, des garanties en matière de sécurité doivent entourer la mise en œuvre de ce dispositif de grande ampleur. Le recueil des soutiens étant limité aux électeurs inscrits sur les listes électorales et ces soutiens étant en outre rendus publics, la commission avait en particulier estimé que des garanties devaient être mises en œuvre s'agissant de l'authentification préalable des personnes concernées par le dispositif RIP, afin d'éviter notamment toute usurpation d'identité.
A cet égard, la commission relève que le dispositif présenté par le ministère s'appuie, en l'état, sur un mécanisme d'identification qui ne permet pas de certifier l'identité de la personne qui exprime son soutien par voie électronique, ni sa capacité électorale.
Néanmoins, la commission observe que le législateur a expressément prévu plusieurs infractions pénales spécifiques notamment en cas d'utilisation détournée et d'usurpation des données des électeurs traitées dans le cadre de cette nouvelle procédure référendaire. En outre, des mécanismes de contrôle, au moment du recueil et de la publication des soutiens et, de manière plus renforcée, dans le cadre des recours et réclamations, de l'intégrité de l'exactitude des données traitées ont été prévus par les autorités compétentes. Le ministère de l'intérieur, responsable des traitements mis en œuvre dans le cadre de cette procédure, considère dès lors que ces mesures sont de nature à réduire significativement les risques liés à une usurpation d'identité.
Dans ce contexte, elle estime que des mesures complémentaires doivent être prévues afin de renforcer la sécurité du dispositif. Elle recommande ainsi au ministère de consolider l'identification des personnes concernées en développant, à l'avenir, une solution d'authentification adaptée à la gestion de ces référendums. En l'état, elle estime que des mesures additionnelles de contrôle préalable pourraient être envisagées, telles que l'interrogation du fichier électoral aux fins de vérification de la capacité électorale des personnes concernées et le contrôle de l'absence de déclaration de perte ou de vol des titres d'identités dont la référence est renseignée lors de l'expression du soutien.
Sur les finalités du dispositif :
Le projet de décret a pour finalité principale d'organiser, sous la responsabilité du ministère de l'intérieur, le recueil des soutiens exprimés par tout électeur inscrit sur une des listes électorales aux propositions de loi initiées par des membres du Parlement.
Le dispositif présente plusieurs composantes :
- un téléservice public national permettant aux internautes d'exprimer un soutien à chaque RIP et de contester les listes de soutien une fois validées et publiées ;
- un outil mutualisé accessible à distance, d'une part, par les agents du ministère et des autorités habilitées pour recueillir et gérer les soutiens (première interface) et, d'autre part, par les agents du Conseil constitutionnel pour effectuer ses missions de contrôle de conformité et d'examen des contestations (seconde interface) ;
- des opérations de transfert de certaines données à l'INSEE pour mettre en œuvre le service de « certification des données d'état civil » déclarées (ci-après « contrôle de vraisemblance ») ;
- des « traitements métiers » conservant les données traitées et les éléments afférents à chaque RIP ;
- une interface publique accessible à tout internaute permettant de consulter les listes de soutiens validées et publiées par le Conseil constitutionnel.
Ainsi, ce dispositif se décompose en deux traitements de données à caractère personnel. La première interface a pour finalité le recueil des soutiens exprimés par les électeurs. Plus précisément, il s'agit pour le ministère de l'intérieur, ses agents et ceux des autorités habilitées à recueillir des soutiens, de mettre en œuvre un contrôle de cohérence des données collectées. Ce contrôle s'effectue en trois points : vérification de la structure du numéro de pièce d'identité renseigné par l'internaute ; consultation du RNIPP par le service de l'INSEE chargé de certifier des données d'état civil concernant uniquement les électeurs nés en métropole et dans les collectivités régies par l'article 73 de la Constitution ; contrôle de l'absence de soutien déjà apporté par l'électeur à la même proposition de loi.
Dans les cinq jours suivant l'expression du soutien, les soutiens sont ainsi réputés valides et publiés sur le site internet du ministère de façon nominative pendant le temps nécessaire au recueil des soutiens, soit une période de neuf mois, et jusqu'à l'expiration d'un délai de dix jours à compter de la clôture de cette période. A cette fin, l'article 4 du projet de décret prévoit de publier les noms de famille, prénoms, commune, village ou consulat d'inscription sur les listes électorales.
La seconde interface du dispositif RIP a pour finalité l'examen, par le Conseil Constitutionnel, de la régularité des opérations de recueil de soutiens et l'instruction des recours et des réclamations à l'encontre de soutiens publiés, réputés validés ou accompagnant la décision de recevabilité.
L'article 6 du projet de décret précise expressément que les données sont utilisées aux seules fins prévues à l'article 3 de la loi organique du 6 décembre 2013 précitée. Toute finalité de prospection, commerciale ou politique, à partir des données à caractère personnel traitées dans le cadre du dispositif RIP est ainsi proscrite.
La commission considère dès lors que les finalités poursuivies par le dispositif sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les catégories de données à caractère personnel traitées :
L'annexe du projet de décret énumère les catégories de données collectées par l'interface de recueil des soutiens et celles traitées dans l'interface d'examen de la régularité des opérations de recueil et de gestion des réclamations et des recours.
Pour la première interface dénommée « recueil des soutiens », il s'agit :
- de données d'identité relatives aux électeurs dans le cadre du dépôt de leur soutien sur le site internet du ministère de l'intérieur (à savoir, les noms de famille et d'usage ; les prénoms figurant sur l'acte de naissance ; le sexe, la date, la commune, le département ou collectivité, et le pays de naissance ; la commune, le village ou le consulat d'inscription sur liste électorale ; le numéro de carte nationale d'identité ou de passeport ; la date, le département, la collectivité ou le consulat de délivrance de la pièce d'identité ; une adresse électronique ou postale pour les électeurs déposant leur soutien en format papier et ne disposant pas d'adresse électronique) ;
- de chaque proposition de loi soutenue ;
- des adresses IP recueillies lors du dépôt d'un soutien sur le site internet ainsi que des dates et heures de l'enregistrement ;
- le cas échéant, de l'identifiant de l'agent de l'autorité habilitée ayant enregistré le soutien ;
- du numéro de récépissé de dépôt enregistré et délivré par l'interface aux électeurs déposant directement leurs soutiens sur le site internet ;
- des données d'état civil certifiées par l'INSEE au regard des données inscrites au RNIPP ainsi que l'éventuelle mention de décès, dans le cas des électeurs nés en métropole et dans les collectivités régies par l'article 73 de la Constitution quel que soit le mode d'expression de leur soutien ;
- des données d'identité relatives aux agents habilités à enregistrer des soutiens exprimés sur formulaire papier.
Pour la seconde interface dénommée « examen de la régularité des opérations de recueil des soutiens, gestion des réclamations et recours », il s'agit :
- des données d'identité demandées aux électeurs dans le cadre d'une réclamation ou d'un recours déposé sur le site du ministère comprenant notamment le numéro de récépissé de dépôt enregistré et délivré par l'interface aux électeurs déposant directement leurs soutiens sur le site internet ainsi que, le cas échéant, la copie du récépissé délivré en format papier ;
- de la proposition de loi sur laquelle porte la réclamation ou le recours ;
- des adresses IP recueillies lors du dépôt d'un soutien sur le site internet, ainsi que des dates et heures de l'enregistrement ;
- le cas échéant, de l'identifiant de l'agent de l'autorité habilitée ayant enregistré la réclamation ;
- des données d'identité relatives aux électeurs ayant déposé leur soutien ; de la liste publique et nominative des soutiens.
L'article 8-II du projet de décret indique que seules les huit premières données concernant les personnes nées en métropole ou dans une collectivité régie par l'article 73 de la Constitution sont communiquées à l'INSEE pour vérification de leur inscription au RNIPP, sans inclure le NIR. L'article 9 précise les données relatives aux agents accédant directement au dispositif RIP (identification de l'agent, date et heure de la consultation).
La commission prend acte que le projet de décret ne prévoit pas le traitement de données personnelles relatives aux parlementaires susceptibles d'initier un RIP.
S'agissant des modalités de collecte des données, l'article 5 de la loi organique précitée prévoit que « ce soutien est recueilli sous forme électronique » et qu'un « soutien ne peut être retiré ». Trois modalités de dépôt sont prévues en application de l'article 6 de la même loi, l'article 2 du projet de décret rappelant qu'il s'agit pour l'électeur :
- soit de déposer son soutien à l'initiative référendaire sur internet, par ses propres moyens (exemple : ordinateur fixe ou portable, ordiphone, tablette, etc.) ;
- soit de déposer son soutien à l'initiative référendaire via des points d'accès situés « au moins dans la commune la plus peuplée de chaque canton ou au niveau d'une circonscription équivalente et dans les consulats » ;
- soit de faire « enregistrer électroniquement son soutien présenté sur papier par un agent de la commune ou du consulat », cette troisième modalité n'étant rendue obligatoire que pour « un électeur ne disposant ni d'une carte nationale d'identité ni d'un passeport », afin de lui permettre de justifier de son identité « par tous moyens ».
Cette dernière modalité de collecte, présentée par le projet de décret à titre dérogatoire, permet de recueillir un soutien après enrôlement d'un électeur qui se présente physiquement devant une autorité habilitée, ce qui constitue une solution adéquate en termes d'identification et permet de créer un mécanisme d'authentification. Par ailleurs, la commission prend acte que la liste des pièces justificatives susceptibles d'être présentées aux agents chargés des recueillir les soutiens sous format papier, sera utilement précisée par le ministère, par renvoi à l'arrêté du 12 décembre 2013 pris en application des articles R. 5 et R. 60 du code électoral.
A titre plus général, la commission rappelle que les dispositions législatives relatives au RIP réservent aux seuls électeurs inscrits sur les listes électorales la possibilité d'apporter leur soutien à une proposition de loi présentée en application de l'article 11 de la Constitution.
A cet égard, le mécanisme prévu de collecte des données pourrait être complété de mesures additionnelles de nature à s'assurer de la pertinence et de l'exactitude des données. En effet, les données de personnes n'ayant pas ou plus la qualité d'électeur français, mais se déclarant comme tel, pourraient être enregistrées dans le traitement. De même, dans la mesure où ces données sont accessibles à de nombreux tiers, principalement électeurs, candidats et partis politiques en application des dispositions du code électoral, et sont uniquement déclarées sans faire l'objet de vérifications supplémentaires, elles peuvent être renseignées par d'autres personnes que les électeurs concernés.
Dans ces conditions, la commission recommande que le fichier électoral national géré par l'INSEE fasse l'objet d'une interrogation pour vérifier la qualité d'électeur. Si cette mesure ne saurait permettre, à elle seule, de se prémunir de ces risques, elle permettrait néanmoins de connaître toute éventuelle déchéance de droits civiques d'un électeur.
Enfin, il est prévu, conformément aux dispositions législatives précitées, d'assurer une publicité légale, par le biais du site internet du ministère, des soutiens réputés valides. En 2010, la commission avait observé que ce principe constituait une garantie en termes de contrôle des opérations du recueil des soutiens.
Dans le cadre du dispositif RIP présenté pour avis en 2014, une fonctionnalité de recherche interne au site permet de requêter la liste des soutiens nominatifs, notamment à partir d'une zone géographique.
A cet égard, la commission rappelle que le Conseil constitutionnel, au considérant 28 de sa décision du 5 décembre 2013, souligne que le législateur a « également entendu interdire qu'à l'occasion de cette consultation [par toute personne, de la liste nominative des soutiens publiés], il soit possible de procéder à une extraction spécifique visant à regrouper un ensemble de soutiens, notamment d'une même zone géographique ». Si la commune de rattachement peut donc figurer, la commission recommande, d'une part, qu'il ne soit pas possible d'effectuer une recherche sur le seul critère géographique et, d'autre part, que cette donnée ne puisse être utilisée qu'en cas de besoin (notamment pour permettre de distinguer, au sein de la liste nominative publiée, un soutien exprimé parmi d'éventuels homonymes).
Sur la durée de conservation :
La durée pendant laquelle les électeurs peuvent apporter leur soutien à l'initiative est de neuf mois. Jusqu'à l'expiration de ce délai, les soutiens sont diffusés au fur et à mesure qu'ils sont réputés valides. Au terme de cette période de recueil, il appartient au Conseil constitutionnel d'apprécier la régularité des opérations et de publier la décision de recevabilité accompagnée, ou non, de la liste des soutiens définitifs.
Conformément à l'article 7, alinéa 2, de la loi organique précitée, le projet de décret précise que, sauf réclamation à examiner, la destruction des données collectées dans le cadre des opérations de recueil des soutiens intervient dans les deux mois à compter de la publication au Journal officiel de la décision du Conseil constitutionnel déclarant si la proposition a obtenu, ou non, le nombre de soutiens nécessaires.
Sont concernées par cette destruction, définitive et sécurisée, les données collectées dans le cadre des opérations de recueil des soutiens. La commission s'interroge néanmoins sur l'articulation entre ces dispositions et celles du code du patrimoine.
Enfin, les données relatives aux actions des agents accédant directement au dispositif RIP sont conservées trois ans.
Sous ces réserves, les durées de conservation des données traitées dans le cadre du dispositif RIP n'appellent pas d'observation particulière au regard de la loi « Informatique et Libertés ».
Sur les destinataires :
L'article 8-I du projet de décret précise que les agents du ministère de l'intérieur, les agents des autorités habilitées à recueillir les soutiens et les membres du Conseil constitutionnel ainsi que les agents, individuellement désignés et dûment habilités par décision du président du Conseil constitutionnel, accèdent directement aux données personnelles traitées, dans la limite de leurs attributions.
L'article 8-II du projet indique les données communiquées à l'INSEE pour vérification au regard du RNIPP.
La liste de ces destinataires n'appelle pas d'observation particulière de la part de la commission.
Sur les droits « Informatique et Libertés » :
L'article 5 de la loi organique précise notamment que « les électeurs sont réputés consentir à l'enregistrement de leur soutien aux seules fins définies par la présente loi organique ».
Lorsqu'un électeur exprime son soutien directement sur le site internet, il reçoit immédiatement un numéro de récépissé électronique. Ce récépissé est délivré « par affichage sur l'écran après dépôt » du soutien. Lorsqu'il s'agit d'un dépôt sur formulaire papier, l'agent habilité à collecter le soutien remet un récépissé papier, différent du récépissé électronique que l'agent recevra et conservera après l'enregistrement du soutien dans le dispositif RIP.
Durant la période de recueil des soutiens et jusqu'à dix jours après la clôture des recueils, l'article 8-III du projet de décret précise que « tout électeur peut être informé des propositions de loi qu'il a soutenues ». En ce sens, il peut s'identifier par deux moyens :
- le numéro de récépissé affiché sur l'écran lorsque l'internaute enregistre lui-même son soutien ;
- les neuf premières données renseignées dans le formulaire de participation et listées au 1° du I de l'annexe du projet de décret.
La commission souligne que les modalités pratiques pour valider l'expression d'un soutien doivent être de nature à éviter les erreurs de manipulation de l'outil par l'internaute et à informer ce dernier, de façon complète et pédagogique, tout particulièrement sur la publication de son soutien.
De même, l'écran affichant le numéro de récépissé électronique devrait informer précisément l'internaute de l'utilité de cette donnée pour accéder au soutien exprimé. La commission recommande également d'adresser, de façon automatique ou sur demande, un tel récépissé par courriel dès lors qu'est collectée une adresse électronique auprès de l'électeur exprimant un soutien ou de prévoir une fonction de téléchargement de ce récépissé dans le souci de faciliter la conservation de ce récépissé par l'internaute.
En tout état de cause, elle rappelle que le site internet du ministère et tout formulaire, papier ou électronique, utilisé pour collecter un soutien ou une réclamation doivent comporter toutes les informations mentionnées à l'article 32-1 de la loi du 6 janvier 1978 modifiée.
S'agissant des droits des personnes concernées, la commission rappelle que l'article 5 de la loi organique précitée interdit le retrait de tout soutien exprimé. Cette disposition ne doit néanmoins pas faire obstacle à l'exercice, par les personnes concernées, de leurs droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée. La commission invite dès lors le ministère à compléter le projet de décret sur ce point, conformément à l'article 29 de la même loi.
Sur la sécurité et la traçabilité :
La commission a considéré en 2010 que, même si le dispositif envisagé diffère dans son fonctionnement du vote électronique, les principes relatifs à la sécurité, tels que l'intégrité du recueil du soutien ou la traçabilité des opérations, exprimés dans sa délibération n° 2010-371 précitée, devraient s'appliquer au dispositif de recueil des soutiens en matière de RIP. La commission relevait également que la création d'une liste électorale nationale regroupant potentiellement au moins 4,5 millions d'électeurs présentait certains risques, notamment en termes d'usurpation d'identité. Elle estimait que des précisions devaient être apportées sur ce point dans le présent projet de décret d'application. L'interdiction finalement faite par la loi de retirer un soutien réputé valide et la publication des soutiens exprimés rendent d'autant plus nécessaire l'adoption de garanties fortes en matière de sécurité du dispositif.
A cet égard, la commission relève que le projet de dispositif RIP s'appuie sur un mécanisme d'identification qui ne permet pas de certifier l'identité de la personne qui s'exprime, ni sa capacité électorale.
Aussi, elle considère que la mise en œuvre de toute mesure visant à assurer une fonction d'authentification serait de nature à consolider la valeur des soutiens recueillis et, ainsi, à limiter les risques d'usurpation d'identité.
Au-delà de la création d'infractions pénales spécifiques prévues en la matière, l'article 4 du projet de décret précise que, pour qu'un soutien soit réputé valide, le ministère met en œuvre, dans les cinq jours à compter de l'enregistrement d'un soutien sur le site internet, les trois types de mesures mentionnées de nature à vérifier l'existence de la personne concernée.
La commission estime néanmoins que le contrôle de la pièce d'identité n'apporte pas une forte plus-value dès lors qu'il ne repose que sur une simple vérification de la cohérence de référence renseignée par un internaute. En effet, un numéro cohérent pourrait être accepté alors qu'il n'est associé à aucune pièce d'identité existante. De plus, le contrôle opéré ne permet pas de détecter si cette référence correspond à une pièce déclarée volée ou perdue. Enfin, l'expression d'un soutien au moyen d'une vraie référence ne pourrait être invalidée.
C'est pourquoi elle recommande qu'un contrôle de l'absence de déclaration de perte ou de vol des titres d'identité dont la référence est renseignée lors de l'expression du soutien, soit également réalisé.
Elle considère que si la publication des soutiens nominatifs, réputés valides ou déclarés recevables, est de nature à améliorer la détection éventuelle d'une usurpation d'identité, il ne s'agit que d'une mesure de détection et non de protection. Dès lors, des évènements redoutés liés à l'usurpation d'identité pourraient se produire.
Par ailleurs, dans son avis du 16 novembre 2010, la commission recommandait qu'un expert informatique soit adjoint à la commission chargée de contrôler la gestion de la procédure électronique de recueil des soutiens. Dans la mesure où les termes de la loi autorisent « toute personne qualifiée » à assister l'autorité de contrôle, la commission recommande à nouveau que le Conseil constitutionnel puisse s'appuyer sur un expert dont les compétences informatiques permettront de renforcer le contrôle des opérations.
En ce qui concerne les mesures de sécurité générales encadrant le traitement, il est prévu que le ministère adresse aux services concernés plusieurs données dans des conditions sécurisées de nature à assurer notamment l'intégrité et la confidentialité des données. A cet égard, la commission rappelle qu'il convient de se conformer aux recommandations actuelles de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), dont la politique de sécurité des systèmes d'information de l'Etat (PSSIE) applicable au 1er janvier 2015 et la version actuelle (version 2) du référentiel général de sécurité (RGS).
Dès lors que les données mises à disposition à titre de publicité légale ne peuvent être utilisées à d'autres fins que celle de consultation, de vérification, de contrôle et de contestation, la commission estime que le ministère doit mettre en œuvre les mesures adaptées pour éviter tout détournement de finalité. Il s'agit notamment d'éviter toute récupération des données de manière automatique, de paramétrer l'indexation de façon proportionnée et de garantir la disponibilité et l'intégrité des données publiées ainsi que leur suppression dans les délais impartis.
La commission précise également que l'adresse IP dans le contrôle de vraisemblance ne doit pas avoir pour effet de bloquer un soutien ; cela ne doit être qu'un critère. En effet, des soutiens légitimes peuvent être exprimés depuis un point d'accès identifié par une même adresse IP, ce qui doit être pris en compte.
S'agissant de la gestion des accès des agents au dispositif RIP, il conviendra enfin que ces derniers soient authentifiés, et non uniquement identifiés, comme le laissent supposer la rédaction de l'article 9 et l'annexe du projet de décret.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.