La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « fichier STADE » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale ;
Vu le code de la sécurité intérieure, notamment ses articles L. 122-1, L. 122-2 et R. 236-11 et suivants ;
Vu le code du sport ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-1 (1°) et 26-1 (2°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre S1LVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « fichier STADE », sur le fondement de l'article 26 de la loi du 6 janvier 1978 modifiée.
Le traitement envisagé sera mis en œuvre par la direction de la sécurité de proximité de l'agglomération parisienne (DSPAP) de la préfecture de police de Paris, et plus particulièrement par le service transversal d'agglomération des événements (dite « cellule STADE »), qui est un service à vocation administrative et judiciaire. Afin de lui permettre de remplir ses missions, le traitement envisagé poursuit donc une finalité administrative et une finalité judiciaire. Dès lors, il y a lieu de faire application des dispositions prévues aux 1° et 2° du 1 de l'article 26 de la loi du 6 janvier 1978 modifiée, qui soumettent la mise en œuvre de ce traitement à un arrêté pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
L'article 1er du projet d'arrêté prévoit les finalités poursuivies par le traitement projeté.
Il s'agit, d'une part, de prévenir les troubles à l'ordre public, les atteintes à la sécurité des personnes et des biens ainsi que les infractions susceptibles d'être commises à l'occasion « des manifestations sportives et des rassemblements en lien avec ces manifestations » se tenant dans le ressort de le préfecture de police de Paris et des manifestations sportives du club du « Paris-Saint-Germain » et des rassemblements liés à ces manifestations se tenant à l'extérieur de la petite couronne. Il s'agit, d'autre part, de faciliter la constatation de ces infractions et la recherche de leurs auteurs.
En effet, la cellule STADE a tout d'abord une vocation administrative, puisque ses agents sont chargés de proposer les interdictions administratives de stade et de suivre la bonne mise en œuvre de ces mesures ainsi que d'anticiper et d'éviter les troubles à l'ordre public lors de ces événements. Elle a également une vocation judiciaire, puisque ses agents sont présents lors des manifestations sportives concernées et assurent le suivi judiciaire des infractions qui se commettent à cette occasion. Le traitement envisagé poursuit donc une finalité administrative et une finalité judiciaire.
Si la commission estime que chacune de ces finalités est déterminée, explicite et légitime, elle rappelle que le principe de finalité a pour corollaire le principe de spécialité, selon lequel un même traitement ne doit pas, en principe, répondre à des finalités multiples. Elle a toujours été attentive au respect de ce principe, afin d'éviter la mise en œuvre de traitements portant sur de nombreuses informations et consultées par des utilisateurs divers.
En ce qui concerne en particulier l'assignation de finalités administratives et judiciaires à des traitements relevant de l'article 26 de la loi du 6 janvier 1978 modifiée, le législateur est intervenu à plusieurs reprises, par le biais de lois spéciales, afin de prévoir cette double finalité. Ainsi en est-il, par exemple, de l'utilisation des fichiers d'antécédents judiciaires à des fins d'enquête administrative, aujourd'hui autorisée par les articles 230-6 et suivants du code de procédure pénale (CPP) ou de l'utilisation du Fichier des personnes recherchées (FPR), qui intéresse la sécurité publique, à des fins de police judiciaire, expressément prévue par l'article 230-19 du CPP.
Au regard de ces précédents, la commission s'interroge sur la légalité de la poursuite, par un traitement autorisé par simple arrêté ministériel, d'une double finalité administrative et judiciaire.
En l'occurrence, cette double finalité répond au caractère mixte des missions de ce service spécialisé. Par ailleurs, la commission relève que la mise en œuvre de deux traitements différents, utilisés par les mêmes personnels, serait de nature à compliquer leurs activités et à réduire l'efficacité de leurs actions. Elle observe enfin que la cellule STADE est constituée d'un faible nombre d'agents, ce qui constitue une garantie importante.
Par ailleurs, la commission relève que les finalités poursuivies par le fichier STADE sont proches de celles poursuivies par le traitement « Prévention des atteintes à la sécurité publique » (PASP), prévu aux articles R. 236-11 et suivants du code de la sécurité intérieure (CSI).
La commission relève toutefois que les caractéristiques de la cellule STADE et le domaine très particulier d'intervention du traitement envisagé, restreint par rapport à celui du fichier PASP, justifient une déclaration distincte du fichier STADE. En effet, et contrairement à PASP, le fichier STADE poursuit une finalité de police judiciaire en plus d'une finalité administrative, ce qui entraîne la collecte de données supplémentaires. Par ailleurs, le fichier STADE est alimenté, manuellement, par des données issues d'autres traitements mis en œuvre par le ministère de l'intérieur, ce qui est expressément interdit pour le traitement PASP.
A cet égard, la commission considère que la déclaration distincte du fichier STADE sur le fondement de l'article 26 de la loi du 6 janvier 1978 modifiée ne doit pas avoir pour conséquence de priver le traitement envisagé de certaines garanties importantes prévues pour le traitement PASP, notamment concernant le traitement des données relatives aux personnes mineures.
S'agissant du périmètre du traitement envisagé, l'ensemble des manifestations sportives et des rassemblements en lien avec ces manifestations intervenant dans la zone de compétence de la préfecture de police de Paris sont concernés. La commission relève que sont donc seules concernées les manifestations sportives et non, par exemple, les manifestations culturelles ou récréatives. En outre, ce périmètre dépasse le seul cadre des enceintes sportives et concerne également les événements sur la voie publique en lien avec ces manifestations sportives.
Par ailleurs, la commission prend acte qu'en dehors du périmètre de compétence de la préfecture de police de Paris, seules les manifestations sportives du club du « Paris-Saint-Germain » et les rassemblements liés à ces manifestations seront concernés par le traitement STADE, quelles que soient les équipes et les disciplines concernées, à l'exclusion de tout autre club.
Enfin, elle prend acte que le traitement envisagé ne pourra pas être consulté à des fins d'enquête administrative au sens de l'article L. 114-1 du CSI, conformément à l'article 8 du projet d'arrêté.
Sur les personnes concernées :
L'article 2 du projet d'arrêté prévoit les catégories de personnes concernées : il s'agit des « personnes se prévalant de la qualité de supporter d'une équipe ou se comportant comme tel ». Cette notion est utilisée dans plusieurs textes, notamment dans les articles L. 332-16-1 et L. 332-16-2 du code du sport relatifs aux restrictions de circulation des supporters.
Interrogé sur ce point, le ministère de l'intérieur a indiqué que cette notion est établie à partir de critères objectifs, notamment « le comportement d'ensemble à l'occasion des rencontres sportives, la tenue vestimentaire, les accessoires portés ou la détention de billets d'accès aux tribunes réservées aux supporters », La commission prend acte de ces précisions et relève que ce faisceau d'indices est également utilisé par les juridictions administratives appelées à connaître de ces questions.
Toutefois, elle relève la difficulté de définir de manière objective un supporter et, par conséquent, le risque d'enregistrer dans le traitement un nombre important de personnes, sans justification. Aussi, elle appelle l'attention du ministère sur le risque d'atteinte au droit au respect de la vie privée et à la protection des données personnelles, dans la mesure où de nombreuses personnes qui se rendent à un événement en tant que spectateur pourraient être considérées comme des supporters ou du moins des personnes se comportant comme des supporters.
Par conséquent, la commission rappelle que seules les personnes qui, d'une part, correspondent à la définition de supporter et, d'autre part, seraient susceptibles de troubler l'ordre public, de porter atteinte à la sécurité des biens et des personnes dans les manifestations sportives et rassemblements en lien avec ces manifestations ou d'être mises en cause dans des procédures judiciaires relevant de la compétence de la cellule, pourront figurer dans le fichier STADE.
En revanche, les personnes qui seraient susceptibles de troubler l'ordre public lors d'une manifestation sportive ou d'un rassemblement en lien avec cette manifestation, mais qui ne se prévaudraient pas de la qualité de supporter d'un club ou ne se comporteraient pas comme tel, pourront uniquement être enregistrées dans te traitement PASP,
La commission relève enfin que le traitement pourra porter sur des personnes mineures âgées d'au moins treize ans. Si, d'après le ministère, peu de personnes mineures sont amenées à figurer dans le traitement, la commission rappelle que le traitement de telles données appelle l'adoption de garanties renforcées. A cet égard, elle estime que le traitement des données relatives aux mineurs devrait être soumis à un contrôle particulier, par exemple celui exercé par le référent national en charge du traitement PASP, prévu à l'article R. 236-15 du CSI, qui assure le contrôle des modalités de traitement et de conservation des données relatives aux mineurs dans ce traitement.
Sur la nature des données traitées et le cadre de la collecte :
L'article 2 du projet d'arrêté énumère les données collectées, qui sont proches des données collectées dans le cadre de traitements similaires.
A titre liminaire, la commission relève que la nature de l'acte réglementaire interdit de fait tout traitement de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée. Toutefois, l'article 2 du projet d'arrêté ; relatif aux données collectées, prévoit que des données relatives aux « signes physiques particuliers et objectifs » pourront être traitées. Or, il résulte de l'article R. 236-13 du CSI relatif au traitement PASP que cette catégorie de données peut comporter des données relevant de l'article 8 de cette même loi.
Dès lors, si de telles informations étaient enregistrées dans le traitement STADE au titre de cette catégorie de données, la commission rappelle que le traitement devrait être autorisé par décret en Conseil d'Etat, et non par arrêté ministériel, conformément aux dispositions de l'article 26-Il de la loi du 6 janvier 1978 modifiée.
Dans la mesure où la cellule STADE a des missions de police judiciaire, le projet d'arrêté prévoit que les éléments de procédures judiciaires dont sont saisis les officiers de police judiciaire affectés à la cellule pourront être traités. Au titre de ces missions de police judiciaire, la cellule STADE est en effet amenée à collecter, sur réquisition judiciaire prise sur le fondement des articles 60-1, 77-1-1 et 99-3 du code de procédure pénale, des données à caractère personnel intéressant l'enquête concernée.
La commission relève à cet égard qu'il n'est pas fait de distinction explicite entre les données collectées dans un cadre judiciaire et celles collectées dans un cadre administratif, ce qui ne permet pas de garantir que les données sont traitées conformément à la finalité de leur collecte initiale.
La réquisition judiciaire permet aux officiers de police judiciaire de se faire communiquer, par un tiers et sous le contrôle d'un magistrat, des documents ou informations précis intéressant une enquête judiciaire en cours. Or, l'article 6 (2°) de la loi du 6 janvier 1978 modifiée dispose que les données « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».
Dès lors, la commission rappelle que la cellule STADE ne peut réutiliser les données dont elle e eu connaissance dans le cadre d'une réquisition judiciaire ni dans le cadre d'autres enquêtes que celle qui a donné lieu à la réquisition, ni à des fins administratives. Il convient dès lors de prévoir des modalités adaptées de conservation et d'utilisation de ces données.
La commission estime que l'inscription dans le traitement du « motif de l'enregistrement » (trouble à l'ordre public, faits susceptibles de recevoir une qualification pénale, infractions au code du sport et au code pénal lorsqu'elles sont liées à un événement) constitue une garantie dès lors que ce motif permet de vérifier que l'inscription est liée à la finalité du traitement et qu'il permet de justifier en quoi la personne peut porter atteinte à l'ordre public ou être mise en cause.
Les données photographiques enregistrées dans le fichier STADE proviennent uniquement du fichier national des interdictions de stade et de l'application CANONGE, à l'exclusion de toute photographie extraite des dispositifs vidéo installés dans les stades ou sur la voie publique. La commission prend acte que le traitement ne comporte pas de dispositif de reconnaissance faciale à partir de la photographie du visage des personnes et qu'aucune exportation des photographies, par exemple sur des terminaux mobiles, n'est prévue.
Les données relatives aux « activités publiques, comportements et déplacements, blogs et réseaux sociaux en lien avec les groupes de supporters d'appartenance » seront collectées par observation des déplacements, des comportements dans les tribunes et par lecture des réseaux sociaux ouverts en lien avec le milieu supporter. Plus précisément, concernant les données qui proviennent « des blogs et réseaux sociaux » en lien avec les groupes de supporters d'appartenance, le ministère a indiqué que les enquêteurs ne consultent que les réseaux sociaux ouverts et analysent les informations collectées et qu'ils n'utilisent dès lors pas de faux comptes. Nonobstant le caractère public et librement accessible des informations ainsi collectées, la commission rappelle que les principes de loyauté de la collecte, de pertinence et de proportionnalité s'appliquent à ces données.
Les données relatives « aux personnes entretenant ou ayant entretenu des relations directes et non fortuites avec l'intéressé » concernent des personnes inconnues de la cellule STADE mais qui interagiraient avec une personne enregistrée dans le traitement envisagé. La commission rappelle que ces données ne doivent être traitées que « dans la stricte mesure où elles sont nécessaires à la poursuite des finalités mentionnées à l'article 1er », conformément à l'article 2 du projet d'arrêté.
Des « données issues de certains traitements mis en œuvre par le ministère de l'intérieur », sans que cette alimentation ne soit automatisée, pourront enrichir le traitement envisagé. Le dossier de saisine précise les traitements concernés (TAJ, STIC, SNPC, GEVI, PASP, FNIS, FPR, CANONGE). Toutefois, la rédaction trop large du projet d'arrêté ne permet pas de déterminer précisément les données issues de ces traitements qui enrichiront le fichier STADE. Dès lors, si les données qui sont extraites de ces traitements sont différentes de celles déjà listées à l'article 2 du projet d'arrêté, la commission considère qu'il conviendrait d'ajouter au projet d'arrêté ces catégories de données, conformément aux exigences de l'article 29 de la foi du 6 janvier 1978 modifiée. La commission rappelle en outre qu'un contrôle strict de ces données devra être mis en œuvre et qu'elles ne devront enrichir le fichier STADE que si elles sont pertinentes et non excessives au regard des finalités poursuivies par Je traitement envisagé.
L'article 4 du projet d'arrêté prévoit en outre que le traitement projeté peut recevoir des données contenues dans les traitements gérés par les organismes de coopération internationale en matière de police judiciaire ou les services de police étrangers, conformément à l'article L. 235-1 du code de la sécurité intérieure.
Enfin, au même titre que les données relatives aux interdictions administratives de stades, qui sont expressément prévues par le projet d'arrêté, la commission estime que les données relatives aux interdictions judiciaires devraient apparaître au titre des données collectées.
Sous réserve de ces observations, la commission considère que les données enregistrées dans le traitement envisagé sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Sur la durée de conservation des données :
L'article 7 du projet d'arrêté prévoit que les données ne peuvent être conservées plus de cinq ans après l'intervention du dernier événement de nature à faire apparaître un risque d'atteinte à la sécurité publique ayant donné lieu à enregistrement.
Il ressort de cette formulation que cela permettra ainsi l'effacement de données qui ne seraient plus utiles avant l'expiration de la durée de conservation fixée par le projet d'arrêté, conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée. Si la commission ne peut qu'être favorable à ce système, elle regrette néanmoins, en l'absence de précision de la part du ministère sur les critères justifiant l'effacement des données avant la durée de, conservation prévue, le manque de lisibilité et de prévisibilité de ces dispositions pour les personnes concernées.
La commission relève qu'une durée de conservation spécifique de trois ans a été prévue pour les personnes mineures, ce qui constitue une garantie importante.
Sur les destinataires des données :
L'article 5-1 du projet d'arrêté définit les catégories de personnes pouvant accéder directement aux données enregistrées dans le fichier STADE, à savoir les agents spécialement habilités de la cellule STADE.
Les officiers de police judiciaire de la police et de la gendarmerie nationales, les autorités judiciaires et les organismes de coopération internationale sont quant à eux habilités à recevoir communication de données enregistrées dans le traitement envisagé, conformément au 11 de l'article 5 du projet d'arrêté. La commission relève que l'autorité administrative et les clubs recevant les équipes concernées dans leurs stades ne figurent pas au titre des personnels habilités à recevoir communication de données enregistrées dans le traitement projeté. Or, il apparaît que les préfets des départements où s'effectuent des déplacements à l'extérieur des équipes du PSG, tout comme les clubs, peuvent être destinataires de certaines données, notamment concernant les interdictions de stade. Dès lors, la commission invite le ministère à modifier le projet d'arrêté en ce sens.
Sur les droits des personnes :
Le droit d'information prévu au I de l'article 32 de la loi du 6 janvier 1978 modifiée et le droit d'opposition prévu à l'article 38 de cette même loi ne s'appliquent pas au présent traitement.
Toutefois, la commission estime que, dans le cadre du volet judiciaire, notamment le suivi des interdits de stade, l'information de la personne concernée du traitement de ses données dans le fichier STADE ne semble pas remettre en cause tes fins poursuivies par le traitement. Dès lors la commission estime que l'information devrait être délivrée aux personnes concernées par le volet judiciaire du traitement projeté,
Les droits d'accès et de rectification s'exerceront indirectement, soit auprès de la commission, en application des dispositions de l'article 41 de la loi du 6 janvier 1978 modifiée, ce qui n'appelle pas d'observation particulière.
Sur la sécurité des données et la traçabilité des actions :
L'article 7 du projet d'arrêté prévoit que les consultations des données sont tracées de façon nominative dans un Journal d'activité auquel seul l'administrateur de la base a accès, les traces étant conservées pendant cinq ans.
Le ministère de l'intérieur a précisé qu'il n'existe pas de lien avec d'autres applications, Les données sont enregistrées dans l'application uniquement par ses utilisateurs.
La commission relève que l'application est accessible uniquement depuis des postes de travail du ministère de l'intérieur et qu'il n'existe pas d'accès distant à celle-ci.
Elle rappelle la nécessaire mise en œuvre d'un flux chiffré entre le poste client et l'application permettant d'assurer la confidentialité des données échangées.
L'accès à l'application s'effectuant par la combinaison d'un identifiant et d'un mot de passe, la commission rappelle que ce dernier doit être composé d'au moins huit caractères comportant au moins une majuscule, une minuscule et un chiffre ou caractère spécial, renouvelé périodiquement. Une évolution devra être mise en œuvre pour prendre en compte l'authentification par la carte agent.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.