Articles

Article AUTONOME (Délibération n° 2015-009 du 22 janvier 2015 portant avis sur un projet de décret relatif au fichier national des interdits de gérer (FNIG) (demande d'avis n° 14031850))

Article AUTONOME (Délibération n° 2015-009 du 22 janvier 2015 portant avis sur un projet de décret relatif au fichier national des interdits de gérer (FNIG) (demande d'avis n° 14031850))


Après avoir entendu M. Gaëtan GORCE, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par le ministre de la justice d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif au fichier national des interdits de gérer (FNIG).
Les articles L. 128-1 à L. 128-5 du code de commerce, introduits par la loi du 22 mars 2012 susvisée, confient au Conseil national des greffiers des tribunaux de commerce (ci-après le CNGTC) le soin de mettre en œuvre le fichier national automatisé des interdits de gérer (FNIG). Ce texte étant issu d'une proposition de loi, la commission ne s'est pas prononcée sur les dispositions ayant créé ce traitement.
Le législateur a fixé les principales caractéristiques de ce traitement. Ainsi en est-il de la finalité (premier alinéa de l'article L. 128-1 du code de commerce), des mesures qui doivent être enregistrées dans ce traitement (deuxième alinéa de l'art. L. 128-1) ainsi que des personnels autorisés à prendre connaissance de ces informations (art. L. 128-2). Le code du commerce précise en outre que ce traitement ne peut faire l'objet d'interconnexion avec des traitements qui ne sont pas mis en œuvre par le ministère de la justice (art. L. 128-4).
L'article L. 128-5 du même code prévoit qu'un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les conditions de mise en œuvre de ce traitement. Le dernier alinéa de l'article L. 128-1 dudit code prévoit en outre que le FNIG est « mis en œuvre après accomplissement des formalités préalables prévues au chapitre IV de la loi du 6 janvier 1978 modifiée ». Or, dans la mesure où ce traitement a pour objet la prévention, d'infractions pénales, l'exécution de condamnations pénales et de mesures de sûreté, il relève des dispositions prévues à l'article 26-1 de cette même loi. La commission rappelle dès lors que la présente délibération devra être publiée avec le décret en Conseil d'Etat portant autorisation de la mise en œuvre de ce traitement, conformément auxdites dispositions.
Sur les finalités et le responsable de traitement :
Il existe actuellement plusieurs difficultés qui empêchent de garantir l'identification, en temps utile, des personnes ayant fait l'objet de mesures d'interdiction de gérer prononcées à titre de sanction civile ou commerciale ou à titre de peine et résultant des décisions juridictionnelles passées en force de chose jugée. D'une part, les mesures d'interdiction de gérer prononcées à l'encontre des non-commerçants ne sont pas inscrites au RCS, mais uniquement au casier judiciaire, auquel les greffes des tribunaux de commerce n'ont pas accès. D'autre part, il peut exister un délai entre l'immatriculation au registre du commerce et des sociétés (RCS) et la demande de vérification du casier judiciaire, qui peut prendre plusieurs semaines. Enfin, les greffiers des tribunaux de commerce n'ont accès qu'à leur seul registre, et non au RCS des autres ressorts. Il est dès lors possible d'inscrire au RCS une personne qui a en réalité fait l'objet d'une mesure d'interdiction de gérer.
C'est la raison pour laquelle le législateur a prévu la mise en place d'un fichier unique centralisant l'ensemble des décisions d'interdictions de gérer. En application des dispositions du code de commerce, le FNIG a en effet pour objet de « lutter contre les fraudes, de prévenir la commission des infractions prévues aux articles 434-40-1 du code pénal et L. 654-15 du présent code et de favoriser l'exécution des mesures d'interdiction de gérer prononcées par les juridictions judiciaires ».
Cette centralisation d'informations au sein d'un fichier unique permettra d'identifier de manière plus efficace et systématique les personnes qui font l'objet d'une mesure d'interdiction de gérer. En outre, cette information sera plus facilement accessible aux personnes ayant à en connaître et permettra ainsi une meilleure exécution des mesures d'interdiction de gérer.
La commission rappelle qu'elle a toujours estimé que la lutte contre la fraude constituait une finalité légitime. Dès lors, les finalités du FNIG, qui ont en tout état de cause été définies par le législateur, n'appellent pas d'observations particulières de sa part.
L'article L. 128-1 du code de commerce prévoit par ailleurs que « la tenue de ce fichier est une mission de service public assurée par le Conseil national des greffiers des tribunaux de commerce à ses frais et sous sa responsabilité ». Ces dispositions font ainsi du CNGTC, chargé de la tenue du fichier, le responsable de traitement, conformément à l'article 3 de la loi du 6 janvier 1978 modifiée. Aux termes du projet d'article R. 128-1 de ce même code, le CNGCT pourra recourir à un sous-traitant.
Sur les personnes concernées et la nature des données traitées :
L'article L. 128-1 du code de commerce liste les décisions qui sont inscrites dans ce fichier. Il s'agit de l'ensemble des mesures d'interdiction de gérer et de faillites personnelles prononcées par les juridictions correctionnelles, civiles et de commerce, à l'exclusion des sanctions disciplinaires, soit environ 700 décisions par an. L'article R. 128-2 du code de commerce tel que prévu par le projet de décret énumère les conditions d'enregistrement de ces décisions.
L'inscription sera réalisée par le greffier du tribunal de commerce dans le ressort duquel l'intéressé ou la personne morale concernée est immatriculée au RCS ou, à défaut d'immatriculation, par le greffier du tribunal de commerce du ressort de la juridiction qui a prononcé la mesure. S'agissant de personnes relevant du Bas-Rhin, du Haut-Rhin, de la Moselle ainsi que des départements et régions d'outre mer, l'inscription sera réalisée par le président du CNGTC.
L'article R. 128-3 tel que prévu par le projet de décret prévoit le délai dans lequel doit s'effectuer cette inscription, à savoir un jour ouvrable après réception de la décision ayant prononcé la mesure. Le projet de décret prévoit que les décisions à inscrire devront être communiquées aux greffes dans un délai de trois jours à compter de la date à laquelle cette décision n'est plus susceptible de recours suspensifs d'exécution. La commission relève que la transmission de décisions ayant un caractère définitif est une garantie supplémentaire, puisque cela permettra d'enregistrer des données exactes et pertinentes qui n'auront pas, sauf dans les hypothèses prévues par le projet de décret, à être mises à jour. Il en résulte que les erreurs d'enregistrement mais surtout de maintien dans le FNIG seront ainsi évitées. Toutefois, la commission appelle l'attention du ministère sur le nécessaire respect de ce délai maximum, sous peine de rendre le FNIG inefficace_
L'article R. 128-4 nouveau du code de commerce prévoit que des données à caractère personnel relatives à la personne concernée (nom de famille, nom d'usage, prénoms, date et lieu de naissance, nationalité et domicile) et à la mesure (nature, date et durée de cette mesure ; juridiction qui l'a prononcée ; le cas échéant, données relatives à la personne morale pour la gestion de laquelle la mesure a été prononcée) sont enregistrées dans le FNIG. Par ailleurs, la commission prend acte que les décisions ne sont pas entièrement reproduites dans le FNIG.
Ces données n'appellent pas d'observation de la part de la commission, qui considère qu'elles sont conformes aux dispositions législatives et adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Néanmoins, la commission appelle l'attention du ministère de la justice sur la vigilance avec laquelle les décisions antérieures à la mise en œuvre du traitement devront être intégrées dans ce dernier. Seules les décisions répondant strictement aux critères d'enregistrement précités devront en effet être intégrées au FNIG et sous réserve d'informer les personnes concernées dans les conditions prévues par l'article 32 de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation et la mise à jour des données :
Le futur article R. 128-5 du code de commerce tel que prévu par le projet de décret détermine les modalités de mise à jour du FNIG ainsi que la durée de conservation des données au sein du fichier. Les données collectées seront conservées en base active pendant le temps de la durée de validité de la mesure d'interdiction, ce qui est proportionné au regard des finalités assignées au traitement envisagé.
La commission relève que les données seront radiées du FNIG dans quatre hypothèses : la radiation du RCS de certaines des décisions qui ont entraîné l'inscription au FNIG dans les conditions prévues par le code de commerce, l'arrivée à son terme de la mesure ayant justifié l'inscription au FNIG, le relèvement et l'amnistie de la mesure prononcée.
La commission relève néanmoins que ta radiation de l'inscription au FNIG n'emporte pas immédiatement effacement des données, mais désactivation de celles-ci, qui ne sont alors plus communicables aux destinataires. Ainsi, pendant une première période de trois mois suivant la radiation, l'inscription désactivée demeure dans la base de données, mais ne peut plus être retrouvée lors d'une recherche : les données désactivées ne sont alors accessibles qu'aux personnes chargées de la tenue du fichier. Cette durée de conservation en mode désactivé doit uniquement permettre de vérifier le bien fondé de la radiation d'une mesure du fichier et de corriger d'éventuelles erreurs matérielles.
Au regard de la nature des informations enregistrées dans le FNIG, qui relèvent de l'article 9 de la loi du 6 janvier 1978 modifiée, et des conséquences de ces décisions sur les personnes concernées, la commission estime qu'une attention particulière devra être apportée à la mise à jour du FNIG en cas de « suite favorable », c'est-à-dire de relèvement ou d'amnistie. D'une manière générale, la commission rappelle que les décisions entraînant la radiation de l'inscription au FNIG devront être transmises dans le strict respect du délai prévu à l'article R. 128-2 afin que la mise à jour soit effective rapidement et que les données ne puissent plus être consultées.
A l'issue de ce délai de trois mois, les données sont automatiquement supprimées de ia base de données et sauvegardées sur un support externe pendant dix-huit mois. La commission prend acte des justifications apportées par le ministère, à savoir que ce délai s'avère nécessaire pour la production de preuves dans l'éventualité de contentieux. La commission relève que ces durées de conservation sont déjà appliquées en matière de tenue des registres par les greffiers des tribunaux de commerce.
Dans la mesure où ces deux dernières durées de conservation répondent à des objectifs bien déterminés et où des destinataires limités ont accès aux données pendant ces délais, la commission considère que ces durées de conservation sont conformes à l'article 6-5° de la loi du 6 janvier 1978 modifiée.
Sur les destinataires :
L'article L. 128-2 du code de commerce liste les destinataires du traitement, en distinguant les personnels bénéficiant d'un accès direct aux données, des personnels à qui ces informations peuvent être communiquées. En ce qui concerne les premiers, il s'agit des greffiers des tribunaux de commerce et des greffiers des tribunaux civils statuant en matière commerciale, qui sont chargés de traiter les données.
En application de cette même disposition, les personnels auxquels les informations peuvent être communiquées sont : les magistrats et les personnels des juridictions de l'ordre judiciaire, pour les besoins de l'exercice de leurs missions ; les personnels des services du ministère de la justice, pour les besoins de l'exercice de leurs missions ; les représentants de l'administration et d'organismes définis par décret en Conseil d'Etat ; les personnels des chambres de métiers et de l'artisanat départementales et de région et les personnels des chambres de métiers d'Alsace et de Moselle, dans le cadre de leurs missions respectives de tenue du répertoire des métiers et du registre des entreprises, désignés selon des modalités définies par décret en Conseil d'Etat.
La commission relève par ailleurs que le législateur a prévu que les personnels des services du ministère de la justice informent le secrétaire général du comité interministériel de restructuration industrielle (CIRI), à sa demande, du fait qu'une personne pressentie pour exercer des fonctions de direction, gestion, administration ou contrôle dans un dossier dont ce comité a été saisi est inscrite dans ce fichier. Cet accès indirect constitue une garantie importante, qui permet non seulement d'avoir une information utile dans le cadre des missions du GIRL, tout en réduisant le nombre de personnes accédant directement aux données.
Conformément au 3° de l'article L. 128-2 du code de commerce, le projet d'article R. 128-6 du même code précise tout d'abord la liste des représentants de l'administration et d'organismes qui peuvent être destinataires, au sens du II de l'article 3 de la loi du 6 janvier 1978 modifiée, des informations et des données à caractère personnel enregistrées dans le fichier. Il s'agit des officiers de police judiciaire de la police et de la gendarmerie nationale, des officiers fiscaux judiciaires en fonctions à la brigade nationale de la répression de la délinquance fiscale, des agents des services des douanes, des agents de la direction générale des finances publiques, des agents du service TRACFIN, des agents des organisme nationaux et locaux de sécurité sociale et des agents de Pôle emploi, chacun en fonction du besoin d'en connaître.
La finalité de lutte contre la fraude assignée au FNIG est de nature à justifier ce nombre élevé de destinataires du traitement. Cependant, la commission estime que des mesures de sécurité et de traçabilité doivent être mises en place, afin de prévenir des consultations abusives de celui-ci et des éventuels détournements de finalité. Par ailleurs, le nombre et la diversité des destinataires du traitement imposent la mise en œuvre de mesures juridiques et techniques de nature à garantir des accès restreints aux seules données strictement nécessaires à l'accomplissement de leurs missions.
A cet égard, elle prend acte que l'article R. 128-6 nouveau du code de commerce prévoit les modalités de désignation individuelle et d'habilitation de l'ensemble de ces destinataires.
Elle rappelle en revanche que, conformément à l'article L. 128-2 du code de commerce, l'ensemble de ces personnels peuvent être rendus destinataires des informations enregistrées dans le FNIG dans le seul cadre de leur mission de lutte contre les fraudes. Dès lors, l'accès direct à ces informations ne pourra en aucun cas intervenir dans le cadre des autres missions dévolues à ces organismes. A cet égard, la commission prend acte de l'engagement du ministère à modifier le projet de décret en indiquant que les destinataires ne recourent au traitement FNIG que dans le cadre des finalités énoncées par l'article L. 128-2 du code de commerce.
Le 4° de l'article L. 128-2 de ce même code prévoit en outre que les modalités de désignation des personnels des chambres de métiers et de l'artisanat départementales et de région et les personnels des chambres de métiers d'Alsace et de Moselle, dans le cadre de leurs missions respectives de tenue du répertoire des métiers et du registre des entreprises, sont précisées par décret en Conseil d'Etat. Le projet de décret prévoit ainsi qu'ils sont individuellement désignés et dûment habilités par le président de l'assemblée permanente des chambres de métiers et de l'artisanat, sur proposition de chaque président de chambre.
Au regard de ces éléments, la commission estime que ces destinataires ont un intérêt légitime à connaître des données collectées.
Le législateur n'a pas précisé les modalités de transmission des données enregistrées dans le FNIG aux différents destinataires. Ces précisions sont dés lors apportées par le présent projet de décret, le projet d'article R. 128-7 du code de commerce indiquant que les destinataires font une « demande de communication » au CNGTC par voie électronique et que « la communication de ces informations se fait par voie électronique ».
Ainsi, ces destinataires recourent à un système d'interrogation à distance, qui automatise les demandes, vérifie leur provenance, rejette les demandes formulées de manière trop vague et permet de communiquer les seules informations auxquelles ces destinataires ont droit, sans possibilité de les réutiliser. Ces destinataires, pour interroger le dispositif, devront disposer de trois informations, à savoir les nom, prénom et date de naissance de la personne concernée. Par ailleurs, l'interrogation ne pourra se faire que de manière unitaire ; il n'y aura donc pas d'interrogation par liste par exemple. Dans la mesure où ce dispositif interdit, à titre d'exemple, les extractions de la base par liste ou les copies des extraits du FNIG sur les ordinateurs des destinataires, la commission considère qu'il s'agit de mesures techniques adaptées.
Le projet d'article R. 128-8 du même code prévoit que ces modalités de transmission devront faire l'objet de conventions ou d'un cahier des charges entre le CNGTC et les destinataires prévus au 1° à 4° de l'article L. 128-2 du code de commerce, le ministère de la justice pour l'accès des greffiers des tribunaux civils statuant en matière commerciale aux informations et enfin les greffiers des tribunaux de commerce. Ce même article détaille les informations qui devront figurer dans ces documents, à savoir, notamment, les exigences de sécurité applicables au système d'accès, les mesures permettant d'assurer la communication sécurisée des informations, l'authentification des destinataires et la traçabilité des accès.
A cet égard, la commission relève que le projet de convention qui lui a été communiqué contient des dispositions satisfaisantes relatives aux contraintes techniques permettant d'assurer la confidentialité des données. Elle rappelle toutefois que l'ensemble des conventions ainsi que le cahier des charges devront contenir le même niveau de contraintes techniques.
Sur les droits des personnes :
Les projets d'articles R. 128-9 et R. 128-10 du code de commerce prévoient les modalités d'exercice des droits des personnes. Conformément à l'article 38 de la loi du 6 janvier 1978 modifiée, le droit d'opposition ne s'applique pas au traitement projeté, ce qui n'appelle pas d'observation particulière de la part de la Commission.
La commission relève que le ministère n'entend pas faire application des dispositions prévues au V ou au VI de l'article 32 de la loi du 6 janvier 1978 modifiée : les personnes concernées seront donc informées du traitement de leurs données. Afin d'informer les personnes inscrites au FNIG, les décisions des tribunaux et des cours d'appels, tant civiles et commerciales que correctionnelles prononçant une interdiction de gérer porteront une mention précisant qu'en application des dispositions concernées du code de commerce, la sanction fera l'objet d'une inscription au FNIG. Afin de se conformer aux recommandations de la commission, le ministère s'est engagé à compléter cette information, notamment par l'intermédiaire du site du CNGTC, de l'ensemble des mentions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée. La commission rappelle à cet égard que l'identité du responsable de traitement devra apparaître dans les mentions d'information présentes sur les décisions de justice. Elle recommande enfin que celles-ci fassent clairement apparaître le fait que l'information complète sur ce fichier est disponible sur le site du CNGTC.
Les utilisateurs du FNIG (destinataires et greffiers des tribunaux) seront quant à eux informés que leurs actions seront tracées.
Le projet d'article R. 128-11 du code de commerce tel que prévu par le projet de décret prévoit que les droits d'accès et de rectification s'exerceront dans les conditions prévues aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, c'est-à-dire directement auprès du Conseil national des greffiers des tribunaux de commerce. La commission prend acte que le responsable de traitement s'engage à communiquer les informations dans un délai moyen de quinze jours ouvrés à compter de la réception de la demande. Eu égard aux conséquences importantes, pour les personnes concernées, de l'inscription au FNIG, elle estime que ce délai de traitement est satisfaisant et appelle l'attention du responsable de traitement sur la nécessité de traiter dans ces délais toute demande d'exercice des droits d'accès ou de rectification.
Sur la sécurité des données et la traçabilité des actions :
S'agissant des éléments de sécurité et de traçabilité liés à la mise en œuvre du fichier national des interdits de gérer (FNIG), la commission estime que les éléments suivants permettent d'assurer le respect de la confidentialité et de l'intégrité des données traitées.
Pour ce qui est de la sécurité, le ministère précise notamment que les accès informatiques seront limités aux seules adresses IP des organismes dûment autorisés et confirme que le référentiel général de sécurité (RGS) s'impose au prestataire en sus des contraintes fixées dans les annexes relatives au cahier des charges du projet.
Concernant l'authentification et la gestion des habilitations des utilisateurs, la commission note que toutes les requêtes d'interrogation du FNIG feront l'objet d'un contrôle systématique des privilèges de l'utilisateur afin de s'assurer que celui-ci est habilité à effectuer la requête demandée. Elle relève à cet égard que des procédures formelles seront mises en place afin de garantir la mise à jour des listes de personnes dûment habilitées, en tenant compte notamment des départs, arrivées et changements de poste des utilisateurs.
L'article R. 128-9 du code de commerce tel que prévu par le projet de décret précise que les « consultations » du FNIG seront enregistrées et conservées pendant trente mois à compter de leur enregistrement. Après précision du ministère de la justice, la commission prend acte que la « consultation » recouvre en réalité toutes les actions effectuées sur le système, aussi bien par les personnels traitant les données que les destinataires. Afin de clarifier ce point, la commission prend acte de la proposition du ministère de modifier le projet de décret en ce sens.
Elle prend également acte du fait que les accès et les interrogations se feront de façon unitaire. Les requêtes interrogeant, consultant, modifiant ou ajoutant plus d'une entrée dans le fichier seront proscrites et seules les requêtes orthographiquement exactes et contenant le triplet nom, prénom et date de naissance seront acceptées.
Au regard de ces éléments, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.