Après avoir entendu M. Gaëtan GORGE, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis par le ministre de la justice d'un projet d'arrêté portant création d'un traitement de données à caractère personnel destiné à assurer en cas de grave danger l'effectivité de la protection des personnes victimes de violences dans le cadre du dispositif de téléprotection « Téléphone Grave Danger » (TGD).
La loi du 9 juillet 2010 susvisée a institué à titre expérimental deux types de mesures visant à attribuer aux victimes, sous certaines conditions et avec leur accord, des dispositifs de téléprotection ou des dispositifs électroniques leur permettant d'alerter les autorités publiques en cas de violation des obligations imposées à la personne mise en examen ou condamnée et dès lors que celle-ci se trouve à proximité de la victime. C'est dans ce contexte que la commission a été amenée à se prononcer sur un projet de décret en Conseil d'Etat relatif à l'expérimentation d'un dispositif électronique destiné à assurer l'effectivité de l'interdiction faite à une personne condamnée ou mise en examen de rencontrer une personne protégée.
En marge de ces dispositifs et sur le fondement des pouvoirs généraux du procureur de la République en matière de prévention, un autre dispositif expérimental a été mis en place dans le ressort de plusieurs parquets, consistant en la remise, pour une période limitée, d'un téléphone d'alerte des services de police et de gendarmerie à des femmes en situation de grand danger.
Au regard des retours positifs sur ce dispositif expérimental, le législateur a souhaité le généraliser. C'est dans ce contexte que l'article 36 de la loi n° 2014-873 du 4 août 2014 susvisée a institué un dispositif de téléprotection des personnes victimes de violences au sein du couple ou de viols.
Ce dispositif sur lequel la commission est amenée à se prononcer pour la première fois consiste à doter, pour une durée déterminée, les personnes victimes de violences ou de viols, d'un téléphone portable d'alerte. Ce téléphone, attribué sur décision du Parquet, dispose d'un bouton d'appel préprogrammé renvoyant directement vers des écoutants professionnels. Ces derniers sont chargés de prendre contact directement avec les services de police ou de gendarmerie nationales afin que ces derniers interviennent dans de brefs délais.
Afin de permettre une identification plus rapide de la personne concernée et d'adapter la prise en charge ou les mesures de protection, ce traitement est susceptible de contenir une mention relative à un handicap ou un problème d'expression, sous la forme oui/non. La commission rappelle qu'en tant que telle, cette seule mention ne constitue pas une donnée sensible au sens de l'article 8 de la loi du 6 janvier 1978 modifiée. Dès lors que le traitement projeté ne contiendra aucune donnée sensible au sens de cet article, il y a lieu de faire application des dispositions de l'article 26-1 (2°( de cette même loi, qui prévoient qu'un tel traitement doit être autorisé par arrêté, pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
L'article 1er du projet d'arrêté énonce les finalités poursuivies par le traitement mis en œuvre dans le cadre du dispositif de téléprotection TGD. Il s'agit :
- d'alerter les services de la gendarmerie et de la police nationale s;
- de permettre la localisation de la personne victime « le bénéficiaire » lorsque l'alerte précitée est intervenue et de permettre aux forces de l'ordre de déclencher des mesures de protection appropriées ;
- de coordonner la diffusion des informations nécessaires pour assurer la protection du bénéficiaire du dispositif entre les parquets, la gendarmerie et la police nationales ainsi que les associations d'aide aux victimes.
La commission relève que la remise d'un téléphone d'alerte grave danger est subordonnée au consentement exprès de la personne victime. Ce dispositif est placé sous le contrôle du procureur de la République et vise à porter assistance et à permettre l'organisation des secours dus à cette victime.
Elle observe que le TGD ne peut être attribué qu'en cas de grave danger menaçant une personne victime de violences de la part de son actuel ou ancien conjoint, concubin, partenaire lié par un pacte civil de solidarité ou les personnes victimes de viol, en l'absence de cohabitation et dès lors que l'auteur des violences a fait l'objet d'une interdiction judiciaire d'entrer en contact avec la victime formalisée sur le plan judiciaire, conformément aux dispositions de l'article 41-3-1 du code de procédure pénale.
La commission prend acte que la localisation de la personne bénéficiaire du dispositif TGD est rendue possible grâce aux informations enregistrées dans le traitement, aux indications orales fournies par la personne protégée ainsi qu'à la fonction de géolocalisation intégrée à ce dispositif. Elle relève que le premier alinéa de l'article 41-3-1 précité énonce qu'avec l'accord de la victime ce dispositif peut, le cas échéant, permettre sa géolocalisation au moment où elle déclenche l'alerte. A cet égard, elle observe qu'un formulaire d'engagement « Téléphone Grave Danger » est remis au bénéficiaire du dispositif qui précise notamment le cadre dans lequel s'inscrit le dispositif, les conditions de remise et d'utilisation du téléphone d'alerte ainsi que les modalités de son utilisation. Selon les termes de ce formulaire, la victime, qui s'engage à communiquer au procureur de la République les éléments et informations pouvant faciliter sa protection, déclare consentir expressément à bénéficier du dispositif TGD et être informée que ce dispositif implique une géoiocalisation de sa position lorsque l'alerte est déclenchée et dès lors que les conditions techniques le permettent.
Ce formulaire d'engagement s'accompagne d'un formulaire papier « fiche navette » qui permet au procureur de la République de porter les éléments et informations relatives à la personne bénéficiaire à la connaissance du prestataire en charge de réceptionner les alertes, des forces de l'ordre pouvant intervenir localement et des associations d'aides aux victimes assurant le suivi de cette personne.
Compte tenu de ces éléments, la commission considère que les finalités poursuivies sont déterminées, explicites et légitimes, conformément à l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 2 du projet d'arrêté énumère les catégories de données enregistrées dans le traitement projeté en distinguant en substance celles qui sont relatives à la personne protégée, celles qui sont relatives à la personne faisant l'objet d'une interdiction judiciaire d'entrer en contact avec elle et celles relatives aux données générées par le matériel (alerte, conversation, géolocalisation).
En premier lieu, s'agissant des données relatives à la personne protégée et de la collecte de la photographie de son visage de face, la commission relève que ces informations sont destinées à faciliter son identification par les forces de l'ordre si elles ont à intervenir en cas de déclenchement du dispositif d'alerte. Elle relève, s'agissant de cette photographie, que le projet d'arrêté précise que les caractéristiques techniques de la photographie ne permettent pas une utilisation à des fins de contrôle biométrique, ce qui constitue une garantie essentielle dans le cadre du fonctionnement de cette mesure.
Dans la mesure où le dispositif TGD s'inscrit notamment dans un contexte de violence au sein du couple et de viol, il est nécessaire que les différents intervenants aient une vue complète de la situation du couple, justifiant ainsi la collecte de la situation familiale de la personne victime et de la personne interdite d'entrer en contact. De même, les informations liées à l'identité des enfants éventuels et à leur lieu de scolarité permettront aux forces de l'ordre de s'assurer de leur prise en charge si la personne bénéficiaire du TGD n'est pas en mesure de le faire. Par ailleurs, le Heu de scolarisation des enfants est un lieu « à risque » dans ce type de conflit, qu'il convient de prendre particulièrement en compte.
La collecte de l'adresse postale des lieux habituellement fréquentés par la personne protégée doit permettre aux forces de l'ordre d'avoir connaissance des lieux dans lesquels la personne bénéficiaire est susceptible de se trouver en cas d'alerte et de faciliter leur intervention, notamment en cas de dysfonctionnement du dispositif de géolocalisation.
Concernant les informations relatives à la situation professionnelle de la personne protégée, la commission relève que celles-ci ont vocation à permettre aux forces de l'ordre de contacter la personne sur son lieu de travail si nécessaire ou de s'y rendre en cas d'urgence. Par ailleurs, l'article 712-16-2 du code de procédure pénale prévoit que l'interdiction d'entrer en contact peut s'appliquer au domicile ou au lieu de travail.
Les autres données relatives à la personne protégée n'appellent pas d'observation particulière de la part de la commission.
En deuxième lieu, s'agissant des données relatives à la personne faisant l'objet d'une interdiction judiciaire d'entrer en contact avec la personne protégée sont collectées
- son identité (nom de famille, nom d'usage, prénoms, alias, date et lieu de naissance, sexe) ;
- sa situation familiale ;
- son adresse de résidence, l'identité de son hébergeur le cas échéant, le type d'habitat, la présence d'animaux domestiques ;
- ses coordonnées téléphoniques personnelles ;
- la décision prononçant l'interdiction d'entrer en contact avec la personne protégée, conformément aux dispositions de l'article 41-3-1 du code de procédure pénale ;
- les dates de début et de fin de l'interdiction d'entrer en relation avec la personne protégée.
La commission considère que ces données n'appellent pas d'observation particulière.
En troisième lieu, sont également enregistrés les date, heure, minute, nature de l'appel, le contenu de l'ensemble des conversations téléphoniques entre le bénéficiaire du dispositif TGD, le prestataire de téléassistance et les services de police et de gendarmerie, ainsi que les coordonnées de géolocalisation du bénéficiaire du dispositif au moment où il déclenche l'alerte. Cette liste n'appelle pas d'observation particulière.
La commission relève par ailleurs que l'article 2 de l'arrêté projeté énonce que les identités et traces des personnes qui accèdent au traitement mis en œuvre par le prestataire de téléassistance chargé de la réception des appels d'alerte et de leur orientation sont également enregistrées. A cet égard, elle constate que le prestataire du ministère pour ce projet a déclaré le traitement lui permettant d'assurer la collecte, l'enregistrement, l'utilisation et la transmission ou la communication des données transmises dans le cadre de la mise en œuvre du dispositif TGD.
Le projet d'arrêté prévoit enfin que les données collectées pourront donner lieu à des exploitations statistiques. La commission prend acte des précisions suivantes apportées par le ministère :
- ces statistiques ont pour finalité de permettre l'évaluation de la mesure du dispositif TGD sous la forme d'indicateurs permettant de suivre et de dresser un bilan continu, sous la forme de tableaux, dans le cadre de la mise en œuvre de ce dispositif ;
- les tableaux statistiques sont édités par le prestataire de téléassistance et par les services du ministère de la justice, sous la responsabilité du procureur de la République ;
- ces tableaux statistiques peuvent être transmis au ministère de la justice, de l'intérieur, des droits des femmes et de la ville, de la jeunesse et des sports, aux cours d'appels, aux tribunaux de grande instance, aux préfectures, aux représentants de la police et de la gendarmerie, aux collectivités locales ainsi qu'aux associations d'aide aux victimes désignées par le parquet et impliquées dans le dispositif.
Si cette exploitation statistique n'appelle pas d'observation particulière, la commission rappelle que ce traitement statistique doit s'effectuer dans le strict respect des conditions énoncées à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée. Elle recommande par ailleurs qu'une attention particulière soit portée aux indicateurs croisés utilisés dans le cadre de l'élaboration de ces statistiques (nom, âge, sexe, etc.) afin de limiter au maximum les risques de réidentification des personnes.
La commission considère dès lors que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 5 du projet d'arrêté indique que les données relatives à la personne protégée ou à la personne faisant l'objet d'une interdiction judiciaire d'entrer en contact avec celle-ci sont conservées, par les autorités judiciaires, le temps de la durée de l'interdiction judiciaire d'entrer en contact, ce qui est conforme aux dispositions de l'article 6 (5°) de la foi du 6 janvier 1978 modifiée.
Ce même article prévoit que les données relatives à la géolocalisation sont conservées pendant une durée de trois jours, qui peut être portée à huit jours sur autorisation du procureur de la République territorialement compétent, notamment dans le cadre d'une enquête de flagrance, sans préjudice de leur conservation pour les besoins d'une procédure pénale. Si cette durée n'appelle pas d'observation particulière de la part de la commission, elle prend acte de l'engagement du ministère de compléter le projet d'arrêté en indiquant expressément le point de départ de celle-ci (enregistrement des données).
L'alinéa 3 de l'article 5 du projet d'arrêté énonce que les données à caractère personnel enregistrées dans le terminal de communication sont effacées lors de la restitution de ce dernier. La commission observe toutefois que le formulaire d'engagement remis à la personne bénéficiaire du TGD met en évidence que celle-ci déclare être informée que les données collectées seront conservées pendant quatre mois après la restitution du téléphone. Elle relève, qu'à sa demande, le formulaire sera modifié afin de préciser que les données enregistrées dans le terminal de communication sont conservées jusqu'à la réception de l'attestation de restitution de ce dernier par le prestataire.
Les données accessibles au prestataire de téléassistance sont conservées pendant toute la durée de la mesure de protection et devront être effacées de son application au plus tard trois jours après la réception de l'attestation de restitution du terminal de communication d'alerte, sans préjudice de leur conservation pour les besoins d'une procédure pénale.
Cette durée se justifie par la nécessité de pouvoir reconstituer les événements et les échanges en cas d'enquête.
L'article 6 du projet d'arrêté indique que « les modifications et suppressions font l'objet d'un enregistrement comprenant l'identification du consultant ainsi que les date et heure de l'action ». La commission prend acte des précisions apportées par le ministère selon lesquelles cette traçabilité des actions est mise en œuvre dans la base logicielle du prestataire.
La commission relève que les données relatives à la traçabilité de ces actions sont effacées au terme d'un délai de six mois à compter de la réception de l'attestation de restitution du terminal de communication d'alerte, ce qui n'appelle pas d'observation particulière.
Sur les destinataires des données :
La commission relève que le projet d'arrêté, dans son article 3, délimite strictement les personnes habilitées à accéder directement aux données à caractère personnel énoncées à l'article 2 précité, dans la limite de leurs attributions et du besoin d'en connaître. Il s'agit, d'une part, des services du procureur de la République dans le cadre de la mission de suivi du dispositif de téléprotection et, d'autre part, des agents du prestataire de téléassistance chargés de la réception des appels d'alerte et de leur orientation.
La commission relève que les agents du prestataire de téléassistance sont individuellement désignés et spécialement habilités par le secrétaire général du ministère de la justice ou son représentant. Par ailleurs, elle observe que ces agents n'ont ni accès à la photographie du visage de la personne protégée ni aux données relatives à la personne faisant l'objet d'une interdiction d'entrer en contact avec celle-ci.
L'article 4 du projet d'arrêté dresse la liste des personnes qui peuvent être rendues destinataires des données à caractère personnel enregistrées dans le traitement, en fonction de leurs attributions et du besoin d'en connaître. Il s'agit des officiers ou agents de police judiciaire et de la gendarmerie nationales intervenant pour porter assistance à la personne protégée ou affectés dans les services ou unités chargés de réguler les interventions des forces de l'ordre ainsi que des agents de l'association de rattachement chargés de l'accompagnement de la personne protégée.
S'agissant des deux premières catégories énumérées à cet article, la commission relève que ces agents n'ont toutefois pas accès aux identités et traces des personnes qui accèdent au traitement mis en œuvre par le prestataire de téléassistance.
Elle prend acte que la transmission des alertes aux agents des services de police et de gendarmerie nationales s'effectue par voie téléphonique (ligne haute priorité) pour la gendarmerie, et via le système RAMSES pour la police, qui est un système d'alarme mis en place dans chaque centre d'information et de commandement de la sécurité publique de la préfecture de police de Paris.
La commission observe que les données ainsi transmises peuvent faire l'objet d'un traitement de données à caractère personnel au sein de leurs services, dans le strict respect des conditions prévues aux articles R. 236-38 et suivants du code de la sécurité intérieure s'agissant de la gendarmerie nationale et de l'arrêté du 21 janvier 2008 susvisé pour la police nationale.
Les agents de l'association de rattachement chargés de l'accompagnement de la personne protégée peuvent quant à eux être rendus destinataires des données relatives aux seules personnes dont elles assurent l'accompagnement, à l'exception des coordonnées de géolocalisation du bénéficiaire du dispositif au moment où il déclenche l'alerte. Pour ce qui est des données relatives à la personne faisant l'objet d'une interdiction d'entrer en contact avec la personne protégée, le projet d'arrêté prévoit expressément que ces agents ne peuvent être destinataires que des seules dates de début et de fin de l'interdiction d'entrer en relation avec le bénéficiaire du dispositif TGD. Elle observe que ces agents de l'association sont individuellement désignés et spécialement habilités par le procureur de la République.
La commission considère que les finalités du traitement mis en œuvre justifient que les destinataires énumérés par le projet d'arrêté puissent avoir accès aux données collectées dans le cadre de leurs missions et habilitations respectives.
Sur les droits des personnes concernées :
L'information de la personne bénéficiaire du TGD et le recueil de son consentement sont assurés par l'intermédiaire du formulaire d'engagement, de la fiche navette et d'un guide d'utilisation du dispositif remis par le procureur de la République territorialement compétent. La commission recommande qu'une attention particulière soit portée à la bonne information des personnes s'agissant en particulier du dispositif de géolocalisation.
Les droits d'accès et de rectification, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent auprès du procureur de la République compétent.
Le droit d'opposition prévu à l'article 38 de cette même loi, dont bénéficie la personne protégée, ne s'applique pas aux personnes faisant l'objet d'une interdiction judiciaire d'entrer en contact avec la personne protégée. Eu égard aux finalités poursuivies par ce dernier, ce point n'appelle pas d'observation particulière de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
En premier lieu, la commission relève que le ministère a choisi un modèle de téléphone doté d'un bouton d'alarme ayant l'apparence d'un téléphone moderne classique afin de limiter, d'une part, les risques de stigmatisation de la personne protégée vis-à-vis de son entourage et, d'autre part, de ne pas attirer l'attention d'une personne dangereuse au moment du déclenchement de l'alerte. Elle prend acte des précisions apportées par le ministère selon lesquelles le dispositif choisi est peu soumis aux pannes et qu'une vérification du bon fonctionnement du système, y compris du téléphone, est effectuée au minimum toutes les deux semaines par un appel de la téléassistance.
En tout état de cause, la commission rappelle qu'il est nécessaire de prendre en compte les spécificités du système d'exploitation, et notamment les possibilités de contrôle que celui-ci offre, particulièrement concernant l'accès à la localisation. Afin de limiter les risques relatifs à la géolocalisation de l'utilisateur, il convient ainsi de s'assurer que l'application ne collecte les données de localisation que lorsque cela est strictement nécessaire.
En deuxième lieu, la commission s'interroge sur la façon dont les associations obtiennent les fiches navettes concernant les bénéficiaires du dispositif TGD. La mutualisation des locaux et des moyens étant courante dans le monde associatif et la fiche relais particulièrement détaillée, la commission recommande au ministère de souligner l'importance de mettre en œuvre des solutions permettant d'assurer la confidentialité de celles-ci. Ainsi, le fax ne devrait, par exemple, être utilisé que dans le cas où il n'est pas partagé avec une autre association étrangère au dispositif et s'il est conservé dans une pièce fermée à clef.
En troisième lieu, elle relève qu'afin d'éviter toute indisponibilité accidentelle du système d'information, l'ensemble de celui-ci est refondé avec des technologies différentes. De plus, afin de limiter l'impact d'un incident, un plan de continuité d'activité a été mis en place par le prestataire. Ce plan d'urgence est composé de procédures testées de manière hebdomadaire.
En dernier lieu, la commission relève que des profils d'habilitation sont mis en œuvre et que chaque téléassistant se connecte au système d'information via son identifiant et un mot de passe. La politique de mot de passe (plus de huit caractères, blocage automatique après trois essais infructueux, changement tous les quatre-vingt-dix jours, interdiction de réutiliser les huit derniers mots de passe) est cohérente avec l'état de l'art.
L'ensemble des appels entrant et sortant ainsi que toute modification ou création dans l'application sont journalisés. Les actions et commentaires du chargé de téléassistance sur la plate-forme sont intégrés, horodatés dans le compte rendu d'appel consultable par les autres chargés de téléassistance et les personnes chargées de leur encadrement.
A la fin de leur durée de conservation, les données dématérialisées (fiche du bénéficiaire, enregistrements sonores ou traces) sont automatiquement supprimées par une procédure d'effacement sécurisée. Les documents papiers sont détruits par broyage.
La commission considère que les mesures de sécurité sont conformes à l'exigence de sécurité prévue à l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.